弁護士 石田 優一
コラム
目次
第1章 はじめに
第2章 アプリをGDPRに対応させなければならない理由
1 GDPRの域外適用とは
2 AppStoreの審査
3 Google Playの審査
4 ここまでのまとめ
第3章 プライバシーポリシーを作成する前に
1 GDPRが適用されうる個人データを洗い出す
2 特別カテゴリに属する個人データを取り扱わないかを検討する
3 個人データを適法に取り扱うための根拠を検討する
4 データ主体から同意を得るためのプロセスを検討する
5 アプリの仕様に問題がないかを検討する
6 EU圏に代理人を置く必要があるかどうかを検討する
第4章 プライバシーポリシーを作成する
1 個人データを収集する際に提供しなければならない情報
2 プライバシーポリシーを作成・提供する際に気をつけること
第5章 おわりに
第1章 はじめに
GDPRの施行から2年が経過し、GDPR対応の必要性が、IT業界においても広く認知されるようになりました。
特に、アプリの開発においては、AppStoreやGoogle Play においてGDPR対応が審査対象になっていることから、GDPR対応は重要です。GDPRに対しては世界的な意識が高まっているため、今後、GDPR対応の審査は、現在よりも一層厳格になっていくことが予想されます。
このコラムでは、関係するGDPRの条項の日本語訳をご紹介しながら、アプリの仕様やプライバシーポリシーをGDPRに対応させるために必要な知識を詳しく説明します。
第2章 アプリをGDPRに対応させなければならない理由
1 GDPRの域外適用とは
GDPR第3条第2項
この規則は、EU域内で設立されていない管理者又は処理者が、EU域内のデータ主体の個人データを取り扱う場合(当該取扱活動が、次のいずれかに関連する場合に限るものとする。)に適用する。
(a) データ主体が支払を要するか否かにかかわらず、EU域内のデータ主体に対して、商品又はサービスを提供する場合
・・・(以下省略)・・・
GDPRは、たとえEU域内に拠点のない企業であったとしても、EU域内のデータ主体に商品やサービスを提供する場合には適用対象になります。AppStoreやGoogle PlayにおいてEU圏の国を配信地域に含めた場合、EU域内のデータ主体にアプリを提供する意図を表明することになるため、GDPRの適用を受ける可能性があります。
2 AppStoreの審査
App Store Reviewガイドライン(抜粋)
5.法的事項
5.1 プライバシー
5.1.1 データの収集および保存
(ⅱ)許可:ユーザーや使用状況に関するデータを収集するAppでは、収集するデータが収集の時点またはその直後の時点で匿名であると考えられる場合でも、そのデータ収集に関してユーザーから同意を得る必要があります。有料の機能は、ユーザーデータへのアクセスをユーザーが許可することに応じるもの、またはそれを条件とすることはできません。また、Appでは、簡単にアクセスできるわかりやすい方法でユーザーが同意を撤回できるようにする必要があります。必ず、「目的」でデータの用途を明確かつ十分に説明してください。正当な利益のため、同意を得ることなくデータを収集するAppは、EU一般Data protection規則(GDPR)の規約、またはそれに類する制定法のすべての条項を遵守する必要があります。・・・
5.1.4「子ども向け」
多くの理由から、子どもの個人データを扱う場合は厳重な注意が求められます。・・・EU一般Data protection規則(GDPR)のような法律、およびその他の適用される規制または法律をすべて慎重に確認してください。・・・
AppStoreでは、アプリの仕様やプライバシーポリシーをGDPRに対応させなければならないことが明示されています。GDPRに対応していないと、AppStoreへの登録が拒否されたり、いったん登録された後に公開停止の措置を受けたりする可能性があります。
3 Google Playの審査
ユーザーデータ
・・・アプリが個人情報や機密情報を扱う場合は、以下の「個人情報や機密情報」に記載されている追加の要件もご確認ください。これらの Google Play の要件は、プライバシー保護とデータ保護に関する適用法令が規定する要件に加えて適用されます。
ファミリーポリシー要件
アプリのターゲット ユーザーに子供が含まれる場合は、以下の要件を満たす必要があります。要件を満たしていない場合、アプリの削除や公開停止の対象となることがあります。
法規制の遵守: アプリは、・・・EU の一般データ保護規則(GDPR)、その他適用されるすべての法規制を遵守する必要があります。
Google Playにおいては、特に、アプリのユーザーに子どもが含まれる場合において、GDPRを遵守すべきことが明示されています。また、ユーザーデータの取扱いは、GDPRを含め、個人情報保護に関する法令を遵守することが前提となっています。GDPRに対応していないと、Google Playにおいても、アプリの公開停止の措置を受けるなどの可能性があります。
4 ここまでのまとめ
アプリは、AppStoreやGoogle Playを通じて世界をターゲットとした配信を簡単にすることができます。アプリの配信地域にEU圏の国を含めた場合、GDPRの適用を受ける可能性があり、AppStoreやGoogle PlayにおいてもGDPR対応の有無が審査対象となります。
アプリを開発する事業者は、GDPR対応についても意識しておかなければ、せっかく開発したアプリをAppStoreやGoogle Playを通じて配信することができない不利益を負うおそれがあります。
第3章 プライバシーポリシーを作成する前に
1 GDPRが適用されうる個人データを洗い出す
GDPR第4条(1)
「個人データ」とは、特定され、又は特定することができる自然人(データ主体)に関連する一切の情報をいう。特定することができる自然人とは、直接又は間接に、特に、氏名、識別番号、位置データ、オンラインIDその他の識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的若しくは社会的な同一性を明らかにする要素を参照することによって、特定することができる自然人をいう。
GDPR前文(26)
・・・自然人を特定することができるか否かを決定するにあたっては、管理者又は管理者以外の第三者が、選別その他の当該自然人を直接又は間接に特定するために用いられることが合理的に見込まれるあらゆる手段をしん酌しなければならない。当該自然人を特定するために用いられることが合理的に見込まれる手段であるか否かを確認するにあたっては、(個人データを)取り扱う時に利用することができる技術及び技術的な発展を考慮したうえで、特定のために要する費用及び時間その他一切の客観的な要素をしん酌しなければならない。・・・
GDPR前文(30)
自然人は、IPアドレス、cookie ID又はRFIDタグその他のIDといった、デバイス、アプリケーション、ツール及びプロトコルが提供するオンラインIDと結びつきうるものである。これは、サーバーが受信するユニークIDその他の情報と結びつくことによって、当該自然人のプロファイルを作成し、又は当該自然人を特定するための証跡となりうるものである。
まずは、アプリで取り扱うことが予定される個人に関連した情報を洗い出します。そのうえで、それぞれの情報が、個人データに該当するかどうかを検討します。
【事例】
ユーザーが訪れたお店やその他の施設の情報を記録して、「よく訪れる場所マップ」を自動的に作成するアプリを提供することにしました。アプリの仕様上、ユーザーのGPSの履歴情報を記録して、アプリ運営元のサーバーに保存します。GPSの履歴情報は、個人データに該当するのでしょうか。
GPSの履歴情報は、それ自体で、「だれの情報か」を特定することはできません。ただ、日々情報を集積すると、そのユーザーが、毎日どのような場所に滞在する時間が多く、日常的にどのような経路で移動する機会が多いかを把握することができます。そこに、その地域の一般的な人の生活スタイルに関する情報を加味することで、ユーザーが、どこに住んでいて、どこで仕事をしているかを把握することができます。
例えば、アプリ運営元と提携関係にある他企業が、別サービスを提供するためにアプリ提供地域の市民の住所情報と勤務地情報を収集している場合、アプリが収集したGPSの履歴情報と別サービスの住所情報・勤務地情報が結びつくことで、ユーザーが「だれ」であるかが特定される可能性があります。そうすると、GPSの履歴情報は、GDPRにいう「個人データ」であると解釈される可能性があります。
事例で取り上げた位置情報のほか、IPアドレス、デバイスの固有識別番号といった情報も、サービス提供者が保有する情報と結びつくことによって、「だれからのアクセス」であるかを特定することができる可能性があります。IPアドレス、デバイスの固有識別番号といった情報から個人を特定することができるのであれば、これらの情報や、一体として収集されたその他の情報は、「個人データ」に該当することになります。
また、現状においては個人の特定にはつながらない情報であったとしても、AI技術の進歩によって将来的に個人の特定につながる可能性のある情報であれば、「個人データ」に該当する可能性があります。例えば、収集した情報を抽象化することで人間の理解では個人の特定が容易でない程度に加工しても、高度なAI技術で分析することで将来的に個人を特定することができる可能性があれば、加工後の情報も「個人データ」に該当しえます。
ある収集情報が「個人データ」に該当するのであれば、その情報とあわせて収集されたその他の個人に関連する情報も、「個人データ」に該当することになります。
「個人データ」に該当するか否かの考え方は以上のとおりですが、どの情報が「個人データ」に該当し、どの情報が「個人データ」に該当しないかという線引きはとても難しいです。
アプリ運営者としては、「個人データ」に該当するか否かが曖昧な情報であれば、「個人データ」に該当することを前提に考えておくことが安全です。
2 特別カテゴリに属する個人データを取り扱わないかを検討する
GDPR第9条
1.人種・民族的な出自、政治的意見、宗教上・思想上の信条若しくは労働組合への加入の有無を明らかにする個人データを取り扱うこと、及び、遺伝子データ、自然人を一意に特定するための生体データ、健康に関するデータ又は自然人の性生活若しくは性的指向に関するデータを取り扱うことは、禁止される。
2.第1項の規定は、次のいずれかの場合には適用しない。
(a) データ主体が、明示された目的のために当該個人データを取り扱うことに対して明示的に同意した場合。ただし、EU法または加盟国の国内法に、データ主体が自ら第1項の規定の適用を排除することができないことが定められているときを除く。
(e) 個人データが自ら公開したことが明白な個人データに関する取扱いである場合。
特別カテゴリに属する個人データを取り扱うことができる場合は、一般の個人データと比べて大きく制限されています。そのため、アプリにおいて取り扱う可能性のある個人データを洗い出した後には、その個人データの中に特別カテゴリに属する個人データが含まれていないかどうかを検討する必要があります。
アプリでの収集が考えられる主なものとして、顔認証や指紋認証、虹彩認証といった生体認証データや、ユーザーの健康状態に関するデータが挙げられます。
特別カテゴリに属する個人データは、明示された目的のために取り扱うことに対してユーザーが明示的に同意した場合などでなければ、収集することができません。後述するとおり、GDPRでは同意の要件が日本よりも厳格であるため、特別カテゴリに属する個人データを取り扱うことには特に慎重でなければなりません。
可能な限り、特別カテゴリに属する個人データは取り扱わない方向で、アプリの仕様を検討すべきです。もっとも、ユーザー以外がアプリにアクセスすることを防止するためにセキュリティ上の観点から生体認証技術を利用することが適切な場合や、ユーザーの健康状態を管理するアプリである場合には、特別カテゴリに属する個人データを収集する必要がある場合もあります。このような場合には、ユーザーからの明示的な同意を得るための仕様や、プライバシーポリシーの内容・表示方法を工夫しなければなりません。
なお、特別カテゴリに属する個人データを大規模に取り扱う場合には、データ保護オフィサー(DPO)を選任する義務が生じます。データ保護オフィサーは、通常、EU現地の専門家に依頼することが一般的で、相応のコストを要します。
3 個人データを適法に取り扱うための根拠を検討する
GDPR第6条
1.個人データは、次のいずれかの場合に該当する場合に限り、その範囲において取り扱うことができる。
(b) データ主体が当事者である契約を履行するために、又は、契約を締結することに先立ってデータ主体の求めに応じた手続を講ずるために、個人データを取り扱うことが必要である場合。
(f) 管理者又は第三者が追求する正当な利益のために個人データを取り扱うことが必要である場合。ただし、個人データの保護を求めるデータ主体の利益又は基本的人権が、このような利益に優越する場合(特に、データ主体が子どもである場合)を除く。
(1)同意以外の方法で取り扱うことができる個人データであるかどうかを検討する
GDPRは、日本の個人情報保護法よりも「同意」に厳格な要件が課されていることから、まずは、同意以外の方法で個人データを取り扱うことができるかどうかを検討すべきです。同意以外の方法で個人データを取り扱うことのできる場合は、主に次の3パターンです。ただし、特別カテゴリに属する個人データについては、データ主体の明示的な同意がなければ適法に取り扱うことはできません。
ア 契約の履行のために個人データを取り扱うことが必要である場合(第6条第1項(b))
ユーザーとの間の契約の履行のために個人データを取り扱うことが必要である場合には、ユーザーの同意がなくても、その個人データを取り扱うことができます。
例えば、アプリ内での課金のためにクレジットカード情報を取得したり、アプリで商品の注文を受け付けるために氏名や住所を取得したりすることは、このパターンに該当すると考えられます。
もっとも、「個人データを取り扱うことが必要である」という要件は厳格に解されていることに注意が必要です。例えば、ネットオークションのサービスを提供するアプリにおいて、本人の嗜好に合った商品をおすすめとして表示するために商品の閲覧履歴や購入履歴を収集することは、「ネットオークションのサービスを提供するためになければならない情報」を収集するものではないので、要件を満たしません。要件を満たすかどうかは、サービスの本質的な部分との関連性がどの程度大きいかを踏まえて判断する必要があります。
イ 契約を締結することに先立ってデータ主体の求めに応じた手続を講ずるために個人データを取り扱うことが必要である場合(第6条第1項(b))
契約締結前であっても、データ主体から何らかの手続を求められたため、その手続のために必要な個人データを収集することができます。例えば、ネットオークションのサービスを提供するアプリであれば、商品の配送可能地域であるかどうかを確認するための画面で、配送可能地域であるかどうかを確認するために郵便番号の入力を求めることが該当例として考えられます。ただし、ユーザーが特に配送可能地域であるかどうかの確認を求めていないにもかかわらず、郵便番号の入力を求めることは該当しません。なぜなら、この場合には、「データ主体の求めに応じた」とはいえないからです。
ウ 管理者又は第三者が追求する正当な利益のために個人データを取り扱うことが必要である場合(第6条第1項(f))
管理者又は第三者が追求する正当な利益のために個人データを取り扱うことが必要で、かつ、そのような利益よりもデータ主体の利益又は基本的人権のほうが優越するような場合でなければ、データ主体の同意がなくても、個人データを適法に取り扱うことができます。GDPRではデータ主体の同意の要件が厳格であるため、この根拠に基づいて個人データを収集することがしばしばあります。
アプリの提供において主張することができる「正当な利益」として、例えば、ユーザーに広告を配信する目的や、アプリの不正利用を防止する目的などが考えられます。
ただし、単にこのような「正当な利益」が認められればよいのではなく、データ主体側の権利や利益とを天秤にかけて、「正当な利益」よりもデータ主体側の権利や利益のほうが優越すると判断される場合には、この根拠に基づいて個人データを収集することはできません。
例えば、ネットオークションのサービスを提供するアプリにおいて、過去の商品の購入履歴や閲覧履歴からユーザーの嗜好を分析して、特定の嗜好を持ったユーザーのみに優待クーポンを配信するような仕組みは、根拠の不明瞭な分析によってユーザーを差別することにつながり、個人データの収集によって制約されるデータ主体側の権利や利益のほうが優越すると評価される可能性があります。
アプリの提供者としては、(a)その個人データを収集するとユーザーにどのようなマイナスの影響が出るか、(b)収集する個人データはどれくらい重要なものか、(c)その個人データを利用することでプラスの影響があるか、(d)他にユーザーに対するマイナスの影響が小さい方法はないかといった事情も踏まえながら、個人データを収集することに対してユーザーが納得のいく説明ができるかどうかを検討すべきです。
また、そのままの形では個人データを適法に収集することができない場合には、他の情報と結び付けない限りは個人の特定ができないように情報の一部を削除すること(仮名化)が考えられます。このような加工によって個人データでなくなるわけではありませんが、ユーザーへの影響が小さくなることにより、適法に個人データを収集する根拠になりえます。
なお、データ主体が子どもである場合には、この根拠によって個人データを収集するハードルが高くなるため、同意による取得を検討する必要があります。
(2)同意以外で取り扱えない個人データについては同意によって取得するかを検討する
GDPR第6条
1.個人データは、次のいずれかの場合に該当する場合に限り、その範囲において取り扱うことができる。
(a) データ主体が、特定の目的のために個人データを取り扱うことを同意した場合。
(1)について検討しても適法に個人データを取り扱う根拠を説明することができない場合や、特別カテゴリに属する個人データを取り扱う場合には、データ主体の同意を得ることを検討しなければなりません。データ主体の同意については、厳格な要件が課されているうえに、同意の撤回を認めなければならないルールもあることから、アプリの仕様やプライバシーポリシーについてそれを踏まえた検討が求められます。詳細については、次項で詳しく説明します。
(3)収集した個人データを当初とは異なる目的で利用する可能性がないかを検討する
GDPR第6条
4.管理者は、個人データをデータ主体の同意に基づくことなく・・・収集された目的以外の目的のために取り扱う場合、個人データを収集した当初の目的と別の目的とが適合するか否かを確認するために、特に、次に掲げる事項を考慮しなければならない。
(a) 個人データが収集された目的と予定される追加での取扱いの目的との間の一切の関連
(b) 個人データが収集された経緯(特にデータ主体と管理者との関係性に関連したもの)
(c) 個人データの性質(特に第9条に定めるところにより特別カテゴリに属する個人データを取り扱うものであるか否か・・・)
(d) 予定される追加での取扱いによってデータ主体に生じうる結果
(e) 適切な保護措置(暗号化又は仮名化を含む。)を講じていること
GDPR第5条第1項(b)
個人データは、特定の明示的で正当な目的のために収集することができるものであって、さらに、その目的とは適合しない方法によって取り扱ってはならないものである。・・・
個人データを当初の収集目的とは異なる目的で利用する可能性がある場合には、他の目的で適法に取り扱うことができるかどうかをあらかじめ検討しておかなければなりません。当初の目的とは適合しない目的でデータ主体の同意なく個人データを取り扱うことは許されないからです。
例えば、ネットオークションのサービスを提供するアプリにおいて、商品を配送する目的でユーザーから住所情報を収集した後、その情報をDMの発送に利用することは、当初の収集目的とは適合しない目的での利用に該当すると考えられます。一方で、管理者の正当な利益を根拠に「自社の既存商品の広告の発送」を目的としてユーザーから住所情報を収集した後、「自社の新商品やグループ会社のサービスの案内広告の発送」を目的として住所情報を利用することは、両目的の関連性が大きく、データ主体への影響もあまり変わらないことから、当初の収集目的とは適合する目的での利用に該当すると考えられます。
当初の収集目的と適合する異なる目的で個人データを取り扱うのであれば、改めてユーザーの同意などを得る必要はありませんが、あらかじめ、プライバシーポリシーなどでその目的などに関する情報を示さなければなりません(GDPR第13条第3項)。
個人データを当初の収集目的とは異なる目的で利用する可能性があり、その目的が当初の収集目的と適合しない可能性があるならば、あわせてその目的で適法に個人データを取り扱うための根拠を検討しなければなりません。
4 データ主体から同意を得るためのプロセスを検討する
(1)一般的な個人データを取り扱う際の「同意」
GDPR第4条(11)
データ主体の「同意」とは、自由意思により、特定された目的ごとに、必要な情報を与えられたうえで、明瞭になされたデータ主体の表示であって、それによって、口頭又は明確な積極的行為により、データ主体が自らに関する個人データを取り扱うことを同意する意思を示すこととなるものをいう。
GDPR第7条
1.(個人データの)取扱いが同意に基づく場合には、管理者は、データ主体が個人データの取扱いに同意したことを証明することができるようにしなければならない。
2.データ主体の同意をその他の事項にも関連する書面での意思表示において取得する場合には、その他の事項とは明確に区別することができ、理解しやすく容易にアクセスすることができる形式により、明瞭で平易な文言を使用して、同意を求める旨を表示しなければならない。本規則に違反する当該意思表示のいかなる部分も、効力を有しない。
3.データ主体は、いつでも、同意を撤回する権利を有する。同意の撤回は、撤回される前の同意に基づいてされた取扱いの適法性に影響を及ぼすものではない。データ主体に対しては、これらのことについて、同意に先立って情報を提供しなければならない。同意の撤回は、同意と同程度に容易にすることができなければならない。
4.同意が自由にされたものであるか否かを評価する際には、特に、契約の履行(サービスの提供を含む。)のために必要でない個人データの取扱いに同意することを契約の履行の条件としているか否かについて、最も考慮しなければならない。
ユーザーから同意を得たことを根拠にして個人データを取り扱う際には、注意が必要です。なぜなら、日本の個人情報保護法とは異なり、GDPRでは、同意について厳格なルールが適用されるからです。具体的にルール違反となるケースには、次のようなものがあります。
ア サービスの提供に必要がない個人データの取扱いに同意することがサービスを受けるための必須条件になっている
【NG例】
動画共有アプリにおいて、その地域に合った広告を配信するために、位置情報の取得に同意することをユーザーに求める。位置情報の取得に同意しなければ、アプリを使用することができない。
イ 複数の目的での取扱いをまとめて同意しなければならない
【NG例】
「(1)ユーザーが過去に閲覧した商品と関連性のある商品をおすすめとして表示してユーザーの利便性に資する目的及び(2)ユーザーが過去に閲覧した商品の価格総額に応じてユーザーにクーポンを配信する目的で、ユーザーの商品閲覧履歴を収集・保存します」と表示して、商品閲覧履歴の収集・保存に同意を求める。
NG例では、2つの目的での個人データの取扱いをまとめて同意するように求めており、要件を満たしません。それぞれの目的を分けて、個別に同意を求める必要があります。
ウ 説明が抽象的で分かりにくい
【NG例】
「ユーザーの皆さまに提供するサービスを向上するために、閲覧履歴を収集します」と表示して、閲覧履歴の収集に同意を求める。
NG例では、サービスの向上とは具体的に何を向上させることで、閲覧履歴をどのようにサービス向上に活かす予定であるかが分かりません。この点の具体的な明示が必要です。
エ 積極的に同意の意思表示を示すことができる仕様になっていない
【NG例】
チェックボックスにあらかじめ同意のチェックが入っていて、同意しない場合にはそのチェックを外すような仕様になっている。
NG例では、同意を積極的な行為によってしたとはいえません。チェックをあらかじめ外しておいて、同意する場合のみ、チェックするように求めることが適切です。
オ いったんした同意を簡単に撤回することができる仕様になっていない
【NG例】
アプリの画面でいったんした同意を撤回するためには、管理者にメールで連絡しなければならない。
いったんした同意は、同意した場合と同程度に簡単な手順で撤回することができるようにしなければならない。NG例を改善するためには、同意画面を表示するのと同程度に簡単な手順で同意の撤回のための画面を表示することができるようにしなければなりません。
(2)特別カテゴリに属する個人データを取り扱う際の「同意」
GDPR第9条
1.・・・省略(特別カテゴリに属する個人データの取扱いを原則禁止する旨)・・・
2.第1項の規定は、次のいずれかの場合には適用しない。
(a) データ主体が、明示された目的のために当該個人データを取り扱うことに対して明示的に同意した場合。・・・
特別カテゴリに属する個人データを取り扱う際の同意は、(1)で説明したルールに従わなければならないことに加えて、さらに厳格なルールが適用されます。このような場合には、目的を明示したうえで、明示的な同意をユーザーから得なければなりません。具体的には、特別カテゴリの個人データの目的を強調表示したうえで同意のチェックを求めたうえで、さらに、「本当に同意しますか」といった確認画面を表示して明確な意思を確認する方法が考えられます。
(3)ユーザーが子どもである場合の「同意」のルール
GDPR第8条
1.子どもに対して直接に情報社会サービスを提供することに関連して第6条第1項(a)が適用される場合【データ主体の同意によって個人データを取得する場合】において、その子どもが16歳以上であるときは、その子どもの個人データを適法に取り扱うことができる。その子どもが16歳未満であるときは、その子どもの親権を有する者が同意し、又は本人の同意を承認した場合に限り、その範囲において、(その子どもの)個人データを適法に取り扱うことができる。加盟国は、その年齢が13歳を下回らない限りにおいて、法律により、これらの目的のためにより低い年齢を定めることができる。
2.管理者は、利用することができる技術を考慮したうえで、その子どもの親権を有する者が同意し、又は本人の同意を承認したことを確認するための合理的な努力をしなければならない。
16歳未満の子ども(EU加盟国によっては対象年齢を法律で引き下げているケースもあります。)に対してオンラインサービスを提供する際に、本人の同意を根拠として個人データを収集するには、親権者が代わりに個人データの収集に同意するか、又は、親権者が本人の同意を承認することが必要です。その際には、同意・承認をする人が本当に親権者であるかどうかの確認も求められます。
例えば、ユーザーに年齢確認をして16歳未満であることが申告された場合には、保護者のメールアドレスを入力させたうえで、保護者にメールで同意を求める個人データの取扱いの内容を通知し、承諾の可否を問い合わせる対応が考えられます。
5 アプリの仕様に問題がないかを検討する
(1)ユーザーからの同意のプロセスを意識した仕様に
個人データをユーザーの同意によって取得するのであれば、プライバシーポリシーだけではなく、同意を取得するためのプロセスも重要になります。このようなプロセスは、アプリの仕様自体に盛り込まなければなりません。ですから、アプリ開発の初期段階において、同意を取得するためのプロセスを盛り込んだ仕様設計を検討しておかなければなりません。特に、GDPR対応の担当者(法務担当など)がアプリ開発の会議に参加していない場合には、十分に注意が必要です。
(2)個人データの消去や取扱いの制限を自由にすることができる仕様に
詳細は次章で説明しますが、個人データは、ユーザーからの求めに応じて、消去したり、取扱いを制限したりする必要がある場合があります。ですから、アプリ開発の初期段階において、個人データを自由に管理することができる仕様設計や、管理担当者が利用しやすいユーザーインターフェースを検討しておかなければなりません。特に、GDPR対応の担当者(法務担当など)がアプリ開発の会議に参加していない場合には、十分に注意が必要です。
(3)データポータビリティ権に対応した仕様に
GDPR第20条
1.データ主体は、管理者に提供した自己に関する個人データが、第6条第1項(a)若しくは第9条第2項(a)の同意又は第6条第1項(b)の契約に基づいて、かつ、自動化された手段によって取り扱うものである場合においては、構造化し、一般に用いられ、かつ、機械による可読性がある形式で当該個人データを受領する権利を有し、及び、当該個人データを提供した管理者に妨げられることなく、当該個人データを他の管理者に移行する権利を有する。
2.データ主体は、第1項に定めるところによりデータポータビリティ権を行使する場合において、技術的に可能であるときには、個人データを直接他の管理者に移行させる権利を有する。
ユーザーからの同意に基づいて個人データを収集する場合や、契約の履行のために必要であることを理由に個人データを収集する場合には、ユーザーにデータポータビリティ権が発生します。
データポータビリティ権は、簡単にいえば、他サービスへの乗り換えを簡単にすることができるように、これまでアプリ提供者が収集した個人データを他サービスで利用しやすい形式で受け取ったり、そのまま他サービスに移行させたりすることができる権利のことをいいます。
ユーザーに提供したり、他サービスに移行したりするデータは、構造化し、一般に用いられ、機械による可読性のあるものでなければなりません。例えば、XMLやJSON、CSVでの提供が考えられますが、どのようなフォーマットを選択すべきかを検討するにあたっては、他社の同種アプリで一般に用いられるものを考慮すべきです。
また、データの提供や移行に伴う情報漏えいを防止するために、暗号化手段や本人認証の方法についても検討すべきです。
データポータビリティに対応した仕様の検討に当たっては、法務担当者と開発担当者の連携が重要です。
6 EU圏に代理人を置く必要があるかどうかを検討する
GDPR第27条
1.・・・(EU域外適用が適用される場合)管理者又は処理者は、書面によって、EU域内の代理人を指定しなければならない。
2.第1項に定める義務は、次の場合には適用しない。
(a) 散発的で、第9条(1)に定める特別カテゴリのデータの取扱い・・・を大規模には含まれず、自然人の権利及び自由に対するリスクが生じる可能性が低い取扱い(取扱いの性質、経緯、範囲及び目的を考慮するものとする。)・・・
(a)個人データの取扱いが散発的(occasional)なレベルを超えている、(b)特別カテゴリの個人データの取扱いを大規模に含む、(c)自然人の権利及び自由に対するリスクが生じる可能性が低くない、のいずれかに該当する場合には、EU圏に代理人を置かなければなりません。
例えば、特定のサービスの提供に限って個人データを取り扱うケースであれば、散発的な取扱いのレベルにとどまることから、代理人の選任は不要であろうと考えられます。一方で、サービスの提供にあたって多くの場面で個人データの取扱いが必要になり、散発的な取扱いのレベルを超えているのであれば、代理人の選任が必要になり得ます。
代理人は、ユーザーの所在国のうちの1か国に置かなければなりません。代理人業務については、EU域内の専門企業や専門家に依頼することが一般的です。
第4章 プライバシーポリシーを作成する
1 個人データを収集する際に提供しなければならない情報
アプリで個人データを収集する際に提供しなければならない情報を挙げると、おおむね次のとおりです(GDPR第13条)。必要な情報をプライバシーポリシーとして列挙して、ユーザーに提示することが一般的です。
(1)管理者の氏名・名称や連絡先
プライバシーポリシーの末尾などに連絡先として記載することが一般的です。電話番号・メールアドレス・住所などの複数の連絡手段を記載すべきです。
(2)代理人の氏名・名称や連絡先/データ保護オフィサーの連絡先(選任した場合)
プライバシーポリシーの末尾などに管理者の連絡先とともに記載することが一般的です。
(3)予定されている個人データの取扱いの目的及びその取扱いの法的根拠(管理者又は第三者の正当な利益を法的根拠とするのであればその正当な利益)
個人データの種別ごとに、あらかじめ検討した個人データを適法に取り扱うための根拠を明示します。
(4)個人データを提供することが契約上必要であるかどうか、契約を締結するために必要であるかどうか、ユーザーが個人データを提供する義務を負うかどうか、個人データを提供しないことによってユーザーにどのような影響が生じるか
個人データの種別ごとに、あらかじめ検討した個人データを適法に取り扱うための根拠との関係を意識しながら、それぞれの事項を明示します。
(5)プロファイリングなどでユーザーに対して法的効果又はそれと同様の重大な影響を及ぼす自動的な決定をアプリがすることに関する事項
GDPR第13条第2項(f)
プロファイリングを含めて、第22条第1項及び第4項に定める自動的な決定をすること、及び、そのような決定をする場合には、その決定に関する論理、データ主体のこのような取扱いに対する重要性及び予想される結果に関する有益な情報
GDPR第22条
1.データ主体は、自己に関する法的効果又はそれと同様に重大な影響を生じさせる自動化された(個人データの)取扱い(プロファイリングを含む。)のみによってされた決定に左右されない権利を有する。
2.第1項の規定は、次のいずれかに該当する決定については適用しない。
(a) データ主体と管理者との間の契約の締結又は契約の履行のために必要である場合
(c) データ主体の明示的な同意に基づく場合
3.第2項(a)及び(c)に規定する場合においては、その個人データの管理者は、データ主体の権利、自由及び正当な利益、少なくとも、(決定について)管理者に属する人の介在を受ける権利、自己の見解を表明する権利及び決定について争う権利を保護するための適切な手段を実施しなければならない。
4.第9条第2項(a)・・・が適用され、かつ、データ主体の権利、自由及び正当な利益を保護するための適切な手段が講じられている場合を除くほか、第2項に定める決定を、第9条第1項に定める特別カテゴリの個人データによってすることはできない。
例えば、アプリがユーザーから収集した個人データをAIで分析して、特定の評価を受けたユーザーでなければ一部のサービスの提供を受けられないような仕様にする場合が想定されます。このような仕様を設ける際には、厳格なルールが適用されることから、できれば、はじめからこのような仕様を採用しないことが安全です。実際、このルールが適用されるケースは、「法的効果又はそれと同様の重大な影響を及ぼす自動的な決定」に限られることから、アプリにおいてこのルールの適用を受ける仕様を採用しなければならないことは極めて限定的であると思われます。
(6)(個人データを第三者と共有する際に)その第三者又は第三者の類型
グループ会社など、個人データを第三者と共有する際には、その共有者の明示が必要です。
(7)個人データの保存期間(保存期間を示すことができなければその期間を決定する基準)
個人データは、必要な期間を超えて保存することはできません。あらかじめ、個人データをいつまで保存する必要があるかを検討して、その検討結果を明示しなければなりません。
(8)ユーザーには次の権利があること
ア 個人データに対するアクセスを管理者に対して求める権利
ユーザーは、自己に関連する個人データが取り扱われているかどうかを管理者に確認することができます。また、個人データの取扱いがある場合には、その個人データの開示を求めたり、次の情報を求めたりすることができます(GDPR第15条第1項)。
・取扱いの目的
・個人データの種別
・個人データを共有する第三者
・保存期間(保存期間を示すことができなければその期間を決定する基準)
・訂正や消去を求める権利があること
・個人データの取扱いの制限を求める権利があること
・取扱いに対して異議を述べる権利があること
・データ保護監督機関に不服を申し立てる権利があること
・(5)の決定を自動的にすることに関する情報
管理者は、ユーザーからこのような求めがあった場合に迅速に対応することができるように、対応フローを検討しておかなければなりません。
イ 個人データの訂正又は消去を管理者に対して求める権利
ユーザーは、(開示して確認した)個人データが不正確であれば、その訂正を求める権利があります(GDPR第16条)。
また、(開示して確認した)個人データに次の事情があれば、その消去を求める権利があります(GDPR第17条第1項)。
・収集した目的又はその他の取扱いの目的との関係で必要のないものとなっている場合
・データ主体が同意を撤回して他に取扱いの法的根拠がない場合
・エの異議を述べる権利を行使された場合
・違法な取扱いをされた場合
・子どもに対するオンラインサービスの提供のために収集された場合
ウ ユーザーと関連する取扱いの制限を管理者に対して求める権利
ユーザーは、個人データに次の事情があれば、その取扱いを制限する権利があります(GDPR第18条第1項)。
・正確性についてユーザーが管理者に疑義を主張している場合(正確性を管理者が確認する期間について)
・取扱いが違法である場合
・ユーザーが法的請求などのために必要としているが管理者には必要でない場合
・エの異議を述べる権利を行使した場合
エ 個人データの取扱いに対して異議を述べる権利
GDPR第21条
1.データ主体は、第6条第1項・・・(f)に基づいて・・・自己に関する個人データを取り扱うことに対して、自己の個別的な事情を理由に、いつでも、異議を述べる権利を有する。管理者は、個人データを取り扱うことについてデータ主体の利益、権利又は自由を優越するやむを得ない正当な根拠があること又は法的請求の立証、攻撃若しくは防御のためのやむを得ない正当な根拠があること証明しない限り、(異議を述べる権利を行使された)以後、個人データを取り扱うことができない。
2.データ主体は、個人データをダイレクトマーケティングの目的で取り扱う場合において、いつでも、ダイレクトマーケティングの取扱い(ダイレクトマーケティングに関するプロファイリングを含む。)に対して異議を述べる権利を有する。
3.データ主体がダイレクトマーケティングの目的での個人データの取扱いに対して異議を述べた場合は、当該個人データは、以後、この目的のために取り扱うことができない。
ユーザーには、正当な利益のために個人データを取り扱うことが必要であることを根拠としてアプリ提供者が個人データを取り扱っている場合には、個人データを取り扱うことに対して異議を述べる権利があります。これに対して、管理者は、ユーザーの権利や利益に優越するようなやむを得ない正当な根拠があることなどを証明することができない限り、個人データを継続して取り扱うことができなくなります。また、特に、ダイレクトマーケティング(特定の個人に対する広告の発信)に対する異議を述べられた場合には、ダイレクトマーケティングの目的で引き続き個人データを取り扱うことができなくなります。
アプリ提供者としては、ユーザーから異議を述べる権利を行使された場合に個人データを引き続き利用する根拠をきちんと説明することができる準備をしておくとともに、そのような説明が困難な場合に備えて、個人データを消去することができる仕様をアプリに備えておく必要があります。
オ データポータビリティ権
データポータビリティ権については、前章で説明しました。データポータビリティ権をユーザーが有しているのであれば、あらかじめ検討した仕様に応じて、データポータビリティ権の具体的な内容を明示します。
カ (ユーザーの同意によって個人データを取り扱う場合)撤回前の同意に基づく取扱いの
適法性に影響を与えることなくいつでも同意を撤回する権利
同意の撤回については、前章で説明したとおりです。プライバシーポリシーなどでも、改めて同意の撤回について説明をしておくことが望ましいです。ただし、同意の撤回については、プライバシーポリシーで明示しておけば足りるというものではなく、同意を取得するプロセスの中でもユーザーに明示する仕様でなければなりませんので、その点にはご注意ください。
キ データ保護監督機関に不服を申し立てる権利
ユーザーにはデータ保護監督機関に不服を申し立てる権利があることを明示します。
2 プライバシーポリシーを作成・提供する際に気をつけること
GDPR第12条第1項
管理者は、第13条及び第14条に定める情報(特に子どもに対して特別に提供する情報)・・・を、簡潔で、透明性があって、分かりやすく、容易にアクセスすることができる形式により、かつ、明確で平易な文言を用いて提供するために、適切な措置を講じなければならない。・・・
プライバシーポリシーを作成・提供する際に特に気をつけなければならないのが、ユーザーがすぐに見つけられる配置になっているか、そして、内容についても理解しやすいものになっているかです。特に、ユーザーに子どもが含まれている場合には、特に子どもにかかわる内容は子ども向けの説明ページを設ける対応が望ましいです。
まず、プライバシーポリシーは、ユーザーがすぐにいつでも参照できるように、アプリのメニューのトップに近い位置に配置すべきです。また、内容についても、項目分けをして読みやすくしておくことや、必要に応じて図表を用いたりすることが望ましいです。さらに、プライバシーポリシーにおいては、難解な用語や、あいまいな表現を避け、だれが読んでも同じように解釈することができるように配慮すべきです。
第5章 おわりに
このコラムでは、アプリをGDPRに対応するために必要なノウハウを詳しく説明しました。もっとも、本格的にGDPRに対応するためには、ここで紹介したことに加えて、個人データの情報漏えいを防止するためのセキュアな仕様設計や、万が一情報漏えいなどのインシデントが発生した場合の対応フローなど、さらなる検討が必要です。
GDPR対応のことでお困りの際には、ぜひ、Web Lawyersのサポートプランをご検討ください。
関連サービスのご案内
