プラットフォーマーにおける個人情報と検討ポイント

このコラムでは、民間企業でビジネス経験のある法務担当者が、企業法務の世界に関心のある方向けに、初めてでも分かりやすい内容に噛み砕いてノウハウを公開していきます。

 

1) はじめに

企業法務のミッションとは、事業の法的リスクに関するアドバイスや法的トラブル防止、トラブル時の損失最小化であり、それらを通じて事業収益に貢献することです。ただ、営業職のような利益に直結する数値目標がないため、何をすれば企業の利益を守れるのかを常に考えていないと、頭でっかちなだけで実践的でないアドバイス・必要以上の事務負担をしてしまいがちです。

本コラムは、ビジネスの現場で法務担当者が本当に役立つためにはどうしたらいいか、という視点で様々なノウハウをお伝えしています。今回は、プラットフォーマーにおける個人情報の取扱いのポイントについて書きたいと思います。

 

2) 炎上データの筆頭、個人情報

前回のコラムでは、企業のデータ利活用戦略に伴って様々な法的論点が発生する可能性についてお伝えしました。今回は、その中でも最も丁寧に取り扱うべきと言っても過言ではない、個人情報にまつわる規制の状況と検討ポイントをお伝えします。

個人情報は、個人情報保護法に定めるとおり、事前に本人へ利用目的について通知・公表を行うことが必要とされ(法18条)、取得した個人情報を第三者へ提供する場合には、原則的に本人の事前同意が必要です(法23条第1項)。ただし、保護法の議論以前の段階でのビジネス設計や世間とのコミュニケーション、例えばweb上での丁寧な説明や広報活動の工夫などが重要なカギを担っていると言えますので、法務担当者としてはそうした世間の温度感にアンテナを立てることまで検討の視野に入れてビジネスを見立てていくべきだと考えます。個人の重要な情報を預かっていることについて、配慮が欠落した状態でマネタイズした場合、昨今のリクナビの内定辞退率予測データ販売のように大きなレピュテーション問題に発展しがちです。これは今に始まったことではなく、2013年のSuica乗降履歴データ販売が中止に追い込まれた事案や、今年のYahoo!スコア開始に伴う炎上も同様の課題を持ち合わせています。法律以前の問題として、ユーザー視点で「気持ち悪い」施策や、ユーザーの預かり知らないところでユーザーに不利な情報を活用する可能性のある施策を行えば、法律がどうだとか事実がどうだという以前に、ユーザーの不信感が肥大化してしまい、メディアに大きく取沙汰され、ビジネスモデルが立ち行かなくなる危険性を孕んでいます。

これから顧客や取引先のデータを収集して活用する企業すべてがプラットフォーマーとなりうる前提においては、自社のデータベースに個人情報を蓄積する場合、上記のようなレピュテーションを敏感に捉えつつ、保護法上の遵守も当然に行うというスタンスが重要と思われます。

 

3) 業種によって特別ルールが上乗せされている個人情報保護法

一般的に、企業が個人情報の取扱いについて検討する場合は、個人情報保護法の法律、施行規則に加え、実務上の指針となるガイドラインやQ&Aを確認する必要があります。また、業種によっては、特定分野のガイドラインや保護法以外の業法規制についての配慮を優先的に検討することになります。具体的に、データプラットフォームを構築することが多い業種(①広告、②SNS等のチャットサービス、③金融、④人材紹介)における主な検討ポイントを取り上げたいと思います。ページの都合上詳細は割愛しますので、目次代わりに活用いただき、気になる論点を掘り下げていっていただければと思います。なお、個人情報保護に関する法律・ガイドラインの体系イメージは、個人情報保護委員会のウェブサイトに掲載されている表が参考になります。

 

★個人情報保護委員会「個人情報保護に関する法律・ガイドラインの体系イメージ」

https://www.ppc.go.jp/files/pdf/personal_framework.pdf

★個人情報保護法の法令・ガイドライン・Q&A

https://www.ppc.go.jp/personalinfo/legal/ 

 

  • 広告事業者

上記リンク※より閲覧可能なガイドライン(通則編)、ガイドラインのQ&Aに加えて、ネット広告事業者が主に参加する一般社団法人日本インタラクティブ広告協会(JIAA)のガイドラインが参考となります。cookie(ブラウザを識別する広告識別子)、AdID(Android端末の広告識別子)、IDFA(iOS端末の広告識別子)など、単体では個人を特定することができず、よって現状の日本法では個人情報ではないと整理される情報について、そうはいってもユーザーのプライバシー懸念が生じやすいという背景から、運用のポイントを定めています。

これらは法的な強制力がなく、JIAA会員企業に適用される自主規制という位置づけにはなりますが、識別子に関する施策を検討する際には参考になります。

 

★JIAA プライバシーポリシーガイドライン

各種の識別子など個人情報以外の情報を広く「インフォマティブデータ」と定義し、端末識別ID(13条)や位置情報(15条)といったインフォマティブデータは他の情報と容易に照合しやすく、個人情報該当性を持ちやすい点について指摘しています。

 

★JIAA 行動ターゲティング広告ガイドライン

ターゲティング広告実施における透明性確保や、オプトアウト導線の確保(利用者関与の確保、5条)の必要性と指針を定めています。

 

URL(上記いずれも) http://jiaa.org/guideline.html

 

 

  • SNS・チャットサービス

上記リンク※より閲覧可能なガイドライン(通則編)、ガイドラインのQ&Aに加え、以下のガイドラインを確認する必要があります。SNS・チャットサービス等、他人の通信を媒介する機能を持つサービスを提供する企業は、電気通信事業法の電気通信事業者に該当し、登録等(クローズドチャットについては届出)が必要と解されていますが、以下の個人情報ガイドラインは「電気通信事業法の適用除外とされている同法第 164条第1項各号に定める事業を営む者についても、同法第4条(秘密の保護)の規定の適用 があり個人情報保護の必要性に差はないことから、本ガイドラインの対象とする」という建付けであることに注意が必要です。164条3項の定めにより、電気通信事業法の適用除外となる電気通信事業を営む者の取扱中に係る通信についても、3条(検閲の禁止)や4条(通信の秘密)の適用があるためです。

 

★電気通信事業における個人情報保護に関するガイドライン

http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/telecom_perinfo_guideline_intro.html

 

  • 金融

上記リンク※より閲覧可能なガイドライン(通則編)、ガイドラインのQ&Aを見る前に、以下のガイドライン、自主規制、その他業法上の個人情報保護法より厳格なルールを確認するというのが実務においてはポイントとなります。通則編との差分を把握するために、二段表の活用をお奨めします。なお、金商法を根拠とする金融商品取引業協会である日本証券業協会の規則については、金融行政観点から遵守が求められるのが実態ですので、併せて掲載しておきます。

 

★金融分野における個人情報保護に関するガイドライン

★金融機関における個人情報保護に関するQ&A

★「個人情報の保護に関する法律についてのガイドライン(通則編)」と「金融分野における個人情報保護に関するガイドライン」の二段表

URL(上記いずれも)https://www.ppc.go.jp/personalinfo/legal/guidelines/

 

★日本証券業協会 個人情報の保護に関する指針、解説

いずれも以下の日証協ウェブハンドブック(自主規制・個人情報関係)より確認可能。

http://www.jsda.or.jp/about/jishukisei/web-handbook/104_kojin-jyoho/index.html

 

人材紹介編は、次回取り上げます。

 

 

 

==========
本コラムは著者の経験にもとづく私見を含むものです。本コラム内容を業務判断のために使用し発生する一切の損害等については責任を追いかねます。事業課題をご検討の際は、自己責任の下、業務内容に則して適宜弁護士のアドバイスを仰ぐなどしてご対応下さい。

 

【筆者プロフィール】
高橋 ケン

慶應義塾大学卒。

大手メーカー法務部にて国際法務(日英契約業務を中心に、ビジネス構築、社内教育、組織再編、訴訟予防等)、外資系金融機関にて法人部門の企画・コンプライアンス・webマーケティング推進業務を経験。現在、大手ウェブ広告企業の法務担当者として、データビジネス最前線に携わる。

企業の内側で法務に携わることの付加価値とは何か?を常に問い続け、「評論家ぶらない」→「ビジネスの当事者になる」→「本当に役に立つ」法務担当者の姿を体現することを目指す。

シンプルに考えることが得意。

 

関連記事

More from my site

  • 2021年8月15日 GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(38)-自動意思決定ガイドライン   GDPRは, データ主体に対し, プロファイリングを含む個人データの自動意思決定に服さない権利を与えており(22), 第36回Q6,Q7でその概要を解説しました。 この自動意思決定に服さない権利およびプロファイリング(4(4))については, WP29が2017年10月3日に採択し2018年2月6日に修正した“Guidelines on […]
  • 2021年8月1日 GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(37)-データポータビリティーガイドライン   GDPRは, データ主体の権利に関し, 従来のアクセス権等に加え, データ保護指令にはないデータ・ポータビリティーの権利を新設し(20), 本シリーズの第35回でGDPR上の規定を中心としてその概要を解説しました。 この権利については, WP29が2016年12月13日に採択し2017年4月5日に改訂された“Guidelines on the […]
  • 2021年7月15日 GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(36)-異議申立権/自動意思決定に服さない権利   今回は, ①異議申立権, および, ②自動意思決定に服さない権利に関し解説します。    【目  次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: 異議申立権とは? Q2: 正当利益等に基づく処理に対する異議申立権とは? Q3: ダイレクトマーケティング目的での処理に対する異議申立権とは? Q4: […]
  • ゼロから始める企業法務(第20回/法務担当者の選考方法)2021年7月12日 ゼロから始める企業法務(第20回/法務担当者の選考方法) 皆様、こんにちは!堀切です。 これから企業法務を目指す皆様、念願かなって企業法務として新たな一歩を踏み出す皆様が、法務パーソンとして上々のスタートダッシュを切るための「ノウハウ」と「ツール」をお伝えできればと思っています。今回は法務担当者の選考方法(必要な力量の洗い出しとその見極め方等)について記事にしたいと思います。   「1人法務」から「複数法務」 […]
  • 2021年7月1日 GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(35)-受領者への通知/データ・ポータビリティーの権利   今回は, ①管理者が, データ主体の要求に応じ行った個人データの訂正, 消去または処理制限を, その個人データを開示(提供)した各受領者に通知すべき義務, および, ②データ主体のデータ・ポータビリティーの権利に関し解説します。      【目  次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: […]
to top