GDPRに対応したプライバシーポリシーを作成する際のポイントを解説

EU域内の利用者の個人情報を取り扱う場合はGDPRに対応する必要があり、GDPRに合わせたプライバシーポリシーを作成しなければなりません。しかし、GDPRを詳しく理解できていないため、自社のサイトは対応が必要なのかどうか、どう対応すればよいかがわからない方も多いのではないでしょうか。

そこで本記事では、GDPRの概要やGDPRに対応したプライバシーポリシーを作成するポイントを解説します。また、日本の対応状況や有名企業の事例を紹介するので、参考にしてみてください。

GDPRとプライバシーポリシーについて

GDPRに対応するプライバシーポリシーとはどのようなものなのでしょうか。ここでは、GDPRの概要や、GDPRのプライバシーポリシーの義務について解説します。

GDPRとプライバシーポリシー

GDPRとは、EUが定める個人情報の保護やその取り扱いを詳細に定めた規則です。GDPRは、欧州経済領域（EEA：EU加盟国とスイスを除くEFTA加盟国であるアイスランド、リヒテンシュタイン、ノルウェー）で適用されます。以下のような場合には、日本企業でも適用の対象になることがあります。

• EU域内のデータ主体に対する商品やサービスを提供している
• EU域内でデータ主体の行動のモニタリングを行っている

データ主体とは、識別されたまたは識別可能な自然人であり、個人データが関連する個人のことを指します。

上記に当てはまる企業は、プライバシーポリシー（プライバシーノーティス）を見直し、改訂する必要があります。万が一、GDPRに違反した場合は、最大2,000万ユーロ、または全世界の売上4％相当額を支払わなければなりません。

参考：日本貿易振興機構｜「EU一般データ保護規則（GDPR）」

EU圏諸国との取引を安心して行うためにも、プライバシーポリシーの確認は必須だといえるでしょう。

GDPRで定められている個人データ取得時の「情報提供」

GDPRでは、個人データを取得する際に、管理者はデータ主体に対して一定の情報を提供しなければならないと定められており、GDPRの12条1項には情報提供の方法が記載されています。

内容は以下のとおりです。

• 簡潔、透明で、分かりやすく容易にアクセスできること
• 明瞭かつ平易な文言を用いること
• 子どもへの情報提供には、適切な措置を講じること
• 書面、適切な場合においては電子的手段、その他の手段により提供されること
• データ主体から要求があった場合、情報を口頭で提供できること

また、GDPR第12条5項では、情報の提供は無償でなければならないと記載されています。自社のプライバシーポリシーが上記の内容を満たしているかを確認し、必要に応じて改訂しましょう。

GDPR対応のプライバシーポリシーに改訂する際のポイント

GDPRでは、「データ主体本人から個人データを取得する場合（GDPR第13条）」「データ主体以外から個人データを取得する場合（GDPR第14条）」それぞれに関して、個人データの管理者がデータ主体に対して明示すべき項目を複数あげています。

管理者の明示すべき項目には、以下のようなものがあげられます。

• 管理者の身元、詳細な連絡先
• 代理人がいる場合は、代理人の身元、詳細な連絡先
• データ主体のアクセス、訂正、消去、制限、データポータビリティ、意義の権利
• 個人データの処理目的、法的根拠
• 個人データが保存される期間、または該当機関を決定するための基準
• 関連する個人データの種類

明示項目には、日本のプライバシーポリシーにはなかった項目もあるため、その点を重点的に改訂していかなければならないでしょう。日本の個人情報保護法を踏まえたプライバシーポリシーについては、こちらの記事をご参照ください。

関連記事：個人情報保護法を踏まえたプライバシーポリシー作成時のポイントとは？

ここでは、日本の個人情報保護法を踏まえたプライバシーポリシーにはなかった点を中心に、改訂のポイントを解説します。

データ処理の適法性に関する根拠

GDPRでは、個人情報保護法にはなかった「データ処理の適法性の根拠」の明示が義務付けられています。個人データの取り扱いが適法になる根拠は、以下の6つです（GDPR第6条）。

• データ主体の同意
• 契約の履行
• 法的義務
• 生命に関する利益
• 公共の利益
• 正当な利益

上記6つのうち1つが適用されれば適法と判断されるため、プライバシーポリシーにその旨を明示しましょう。はじめて情報を取得する個人に対しては、新しいプライバシーポリシーで同意してもらうことで対応できます。

しかし、ここで注意しなければならないのが、すでに同意を得ていた利用者への対応です。プライバシーポリシーの改訂前に同意を得ていた人に対しては、改めて同意を取り直す必要があるでしょう。

この場合、プライバシーポリシーに6つの適法の根拠のうち1つを記載し、改訂に対する同意をもらうような形で対応する方法があげられます。

取得する情報の項目と利用目的

従来のプライバシーポリシーでは、取得する情報と利用目的、利用規約などを同ページに記載し、まとめて同意を得る形が多い傾向にありました。しかし、GDPRでは利用者が何に対して同意をするのか、その対象を明確化する必要があるとしています。

取得する情報ごとに利用目的を記載し、それぞれに同意を得るような表示形式を用いるといいでしょう。

利用目的の明確化

GDPRでは、取得情報の利用目的を明確に示さなければならないとしています。例えば、利用目的が「サービス向上のため」のような内容だと目的が曖昧すぎるため、不適切と判断される可能性があります。

また、目的に適合しない追加的な取り扱いはできないとされているため、その点も注意してプライバシーポリシーを改訂しましょう。

消去権・データポータビリティ権

従来のプライバシーポリシーに、アクセス権や訂正権の記載をしていた企業は多いでしょう。しかし、GDPRでは、「消去権・データポータビリティ権」についても記載が必要とされています。

消去権とは、利用者が管理者から個人データを消去してもらう権利のことを指します。データポータビリティ権とは、個人データを別のサービスへと移動できる権利のことです。

例えば、携帯電話会社Aから携帯電話会社Bに、契約者のデータや履歴データなどを移すことがあげられます。GDPRに対応するためには、プライバシーポリシーにこれらの権利についての記載が必要です。

データの保存期間の明示

GDPRでは、従来のプライバシーポリシーには記載がなかった「個人情報の保存期間」の明示が必要です。期間を決定できない場合は、保存期間の決定基準を明示する方法でも対応可能であるとしています。

日本企業のGDPRの対応状況

一般財団法人日本情報経済社会推進協会と株式会社アイ・ティ・アールの「企業IT利活⽤動向調査2021」集計結果（詳細版）の調査情報をご紹介します。

調査結果によると、GDPRに対応している企業は少なく、GDPRに対応中（検討中）である企業が26.1％と最多でした。2021年の集計時点では、EUと個人データの移転がない企業も多い傾向です。

EUとの個人データのやり取りの調査結果は以下のとおりです。

上の図を見ると、「現在、やりとりはなく、今後もやりとりする予定はない」と答えた企業が44.4％で最多。「これまでやりとりがあったが、GDPR施⾏以降、EU、⽇本それぞれでデータの処理をしている」と答えている企業が12％でした。

「現在はやりとりがないが、今後やりとりする予定」は25.9％、「現在、やりとりをしている」17.6％と、今後EUとやり取りする企業が増える可能性はあるものの、2021年の調査時点では少ないことがわかります。

出典：JIPDEC／ITR「企業IT利活用動向調査2021」

有名企業のGDPRへの対応

GDPRに対応したプライバシーポリシーに改訂したいけれど、どのような内容にすればいいかわからないという方も多いでしょう。ここでは企業のGDPR対応の事例として、GoogleとFacebookのGDPRへの対応内容を詳しく解説します。

GoogleのGDPR対応

Googleでは、GDPRに対応するために以下を発表しました。

• ユーザーに対する透明性の向上
• ユーザーによる管理の改善
• データポータビリティの向上
• 保護者の同意と子どもの適切なインターネット利用に向けたツール改善
• ビジネスユーザー・パートナーのサポート
• プライバシーコンプライアンスプログラムの強化

ここでは、詳細を解説します。

参照：Google「EU 一般データ保護規則 （GDPR）に向けた Google の取り組みについて」

ユーザーに対する透明性の向上

Googleが収集する情報とその理由を分かりやすくする・情報を見つけやすくするため、プライバシーポリシーを改善・更新しています。他にあげられている内容は以下のとおりです。

• 情報の管理・エクスポート・削除に関する詳細を追記
• テキスト以外に動画や図表を追加

また、プライバシー設定ページを容易に開けるよう、設定を変更しています。

ユーザーによる管理の改善

GDPRに対応するため、ユーザーの管理方法を改善しています。変更した内容は以下のとおりです。

• マイアクティビティでデータの表示・削除が可能
• トピック・日付・製品で検索できる機能を付与
• 自分に合ったプライバシー設定の確認が可能
• 表示される広告を管理・非表示が可能
• Googleダッシュボードで、データの把握が可能

また、GDPRが施行される以前より、ユーザーの情報や広告などが管理しやすいように変更されています。

データポータビリティの向上

GoogleにはGoogleフォトやドライブ、カレンダー、Gmailなどのさまざまなサービスがあります。Googleがデータポータビリティに関してGDPR対応のために実施している内容は以下のとおりです。

• データのダウンロードに対応するサービス・管理項目の拡充
• 定期的なダウンロードをスケジューリングする機能の追加

保護者の同意と子どもの適切なインターネット利用に向けたツール改善

Googleでは、保護者と子どもの適切なインターネット利用のため、ファミリーリンクアプリを提供しています。ファミリーリンクの利用により、保護者が子ども用のアカウントを作成可能です。

アプリでは、「利用時間の管理」「端末の一時停止」など、家でのルールを設定・管理できるようになっています。

ビジネスユーザー・パートナーのサポート

GDPRに対応するため、Googleパートナー（広告主やサイト運営者など）がサイトやアプリ内でユーザーの同意を求めることに関するポリシーを更新しました。他にあげられる内容は以下のとおりです。

• GDPR遵守をサポートするツールの提供
• Googleの広告サービスを利用する企業の認定プロセスの厳格化
• データ処理条件の更新
• データポータビリティ・データインシデント通知などの詳細情報を提供

プライバシーコンプライアンスプログラムの強化

GDPRに対応するため、プライバシーコンプライアンスプログラムの強化を実施しています。内容は以下のとおりです。

• プライバシープログラムの改善
• 製品審査プロセスの強化

また、データ処理についても、より包括的に文書化を行っています。

FacebookのGDPR対応

FacebookではGDPRへの対応として、以下を発表しています。

• 表示広告からの情報取得についての確認
• プロフィール情報の選択
• 顔認証技術についての確認（EU・カナダ）
• 更新されたサービス規約・データに関する合意
• 情報へのアクセス・削除・ダウンロードが容易な機能の導入
• 若年層への情報提供について

ここでは、詳細を解説します。

参照：Facebook「一般データ保護規則（GDPR)の順守と新たなプライバシー保護の提供について」

表示広告からの情報取得についての確認

Facebookのパートナーは、「いいね！」ボタンのクリック・Facebookが提供するツールから得た情報を広告表示に利用しています。広告に関する情報を利用者に提供し、パートナーからの情報を広告表示のために利用できるかを選択できるようにしています。

プロフィール情報の選択

Facebookのプロフィールには政治観、宗教・信仰、人間関係の情報が記載・公開されています。これらの情報について、利用者は「今後も公開し続けるか」「公開している情報を広告に利用していいか」を選択できます。

プロフィール情報はいつでも自由に選択でき、利用者が望む場合は簡単に削除が可能です。

顔認証技術についての確認（EU・カナダ）

Facebookでは、EU加盟国とカナダの利用者に対し、顔認証技術を利用するか否かを選択できるようにしています。また、それ以外の利用者も自由に選択可能です。

更新されたサービス規約・データに関する合意

サービスの仕組みに関する疑問への詳細な情報を含む「サービス規約」「データに関するポリシー」への合意を求める表示がされます。

情報へのアクセス・削除・ダウンロードが容易な機能の導入

「個人データ管理ツール」の使用により、自分に関するデータを確認・削除が可能です。また、簡単にデータをダウンロード・エクスポートできるようにしています。

モバイル端末でのアクティビティのログ機能を更新し、利用者が過去にどのような情報を共有したかを確認しやすくしています。

若年層への情報提供について

Facebookではもともと、十代の利用者を対象とした制限を設けています。内容は以下のとおりです。

• 広告カテゴリーの制限
• 顔認証の利用不可（18歳以下）
• 十代の利用者が共有する情報の閲覧・検索の制限

また、初期設定で情報を「公開」されないような仕様になっています。

FacebookではGDPRに対応するため別途、規定を設けています。EU加盟国の利用者の場合、広告の閲覧やプロフィールの記載（宗教・信仰、政治観など）には保護者の許可が必要です。

それ以外の地域では、パートナーから取得したデータを広告表示に利用していいか、プロフィールに個人的な情報を公開していいかを選択できるようにしています。

まとめ：GDPRは日本法よりも個人データの範囲が広く対応が必須

GDPRでは、「取得情報ごとの利用目的の明確化」「消去権・データポータビリティ権の明示」「保存期間の明示」など、さまざまな規定があり、従来の日本法より利用者の権利範囲が幅広くなっています。

GDPR違反をした場合は多額な制裁金を支払う必要があり、EU域内の個人情報を取り扱う企業はGDPRに対応していかなければなりません。EU域内で事業展開をしている・今後進出を考えている企業は、GDPRに合わせたプライバシーポリシーを作成しましょう。

当事務所による対策のご案内

モノリス法律事務所は、IT、特にインターネットと法律の両面に豊富な経験を有する法律事務所です。近年、グローバルビジネスはますます拡大しており、専門家によるリーガルチェックの必要性はますます増加しています。当事務所では国際法務に関するソリューション提供を行っております。

モノリス法律事務所の取扱分野：国際法務・海外事業