個人情報保護における、これからのプライバシーポリシーのあり方とは?(PMが留意したい観点)

Toshiki Okada/t-okada

 t-okadaです。

今回はPMのマネジメントの領域ではないですが、サービスローンチ時に必ず設定しなくてはならない、プライバシーポリシーについてこれからの個人情報の取り扱いの観点で執筆してみました。

PMにとっては、プライバシーポリシーの設定は個人情報を取得する以上、サービスローンチ時に必須になってくるかと思います。

その意味を込めて、是非一度読んでみてください。

この記事を読んでもらいたい方

・現在業務でPMをやられている方

・サービスローンチ時において、プライバシーポリシー(プラポリ)の社内申請などを検討している方

個人情報やプライバシーポリシーの取り扱いが見直されている

今やインターネットの普及や特にコロナ禍において、「インターネット上で自分の個人情報を個人データとして登録する」というのは当たり前な世の中になっています。

しかし、この個人情報を巡っては昨今の個人情報流出における企業の事件が後を立ちません。

メルカリ個人情報流出:https://www.nikkei.com/article/DGKKZO72165420R20C21A5EA5000/

マッチングアプリ「omiai」、運転免許証などの本人確認書類の画像が流出:https://www.nikkei.com/article/DGXZASFL24H5P_U1A520C2000000/

昨今、世界的にはGDPR(EU一般データ保護規則)の推進などの個人情報の保護の見直す動、データを個人主体にするといった動きも注目されており、個人情報のあり方が見直される動きもあります。

この個人情報を保護するための、原則、企業側の取り決めとして、「プライバシーポリシー」があり、今回はそのプライバシーポリシーをどのように設定すべきかをテーマに記載していきたいと思います。

プライバシーポリシーとは?

そもそもプライバシーポリシーとは以下のように定められています。

特定のユーザーの個人を識別することができる情報である「個人情報」

および

位置情報や購買情報などのユーザーの行動・状態に関する情報である「パーソナルデータ」

をポリシーとして定めた文書

【改訂新版】良いウェブサービスを支える 「利用規約」の作り方:https://www.amazon.co.jp/-/en/%E9%9B%A8%E5%AE%AE-%E7%BE%8E%E5%AD%A3-ebook/dp/B07Q721691/ref=sr_1_1?dchild=1&keywords=%E8%89%AF%E3%81%84Web%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9&qid=1621344237&sr=8-1

サービスの「利用規約」は、サービス自体の利用に関する取り決めを決めているのに対し、プライバシーポリシーはサービス利用時における取得する個人情報のデータをどこまで取得するか、を取り決めています。

下記の記事を参照

なお、サービス時利用時に個人情報を入力する必要がある場合、プライバシーポリシー・個人情報保護方針」の有無を確認は全体12%前後で、「確認する方が多い」の45%と合わせて57%でした。

https://news.mynavi.jp/article/20170606-a197/

なぜ読まれないか?といえば当然ながらほとんどの企業のプライバシーポリシーは、利用規約と同様に

・全体的に長い

・どの部分が自分(個人のデータ)に関係するのかわからない

・そもそも読むのが面倒

というのがあるかと思います。

プライバシーと個人情報の定義の違い

一般的に言われる個人情報は登録したユーザー情報のことを指すと思います。

例えば、基本四情報と言われる「氏名」「住所」「性別」「生年月日」などの情報です。

上記の情報は単体では個人を特定できないものの、例えば単体の基本四情報が「個人情報」という意味となるかというとそうではありません。

基本的に上記の基本四情報が紐づいたときに、個人の特定が可能となるため、「個人情報」となります。

またプライバシーポリシーで定義をした位置情報やユーザーや行動ログ「パーソナルデータ」については、個人が特定されなければ、「個人情報」に含まれません。

よって、一例として

「ある人物(年齢25歳)が○月○日に10:00 a.m.に吉祥寺のマンションを出て、10:20 a.m.に吉祥寺駅発の電車にのった」

「電車の中でiphone10で日経経済アプリを立ち上げ、IT欄の記事を閲覧」

「新宿駅で降りて、カフェA店に入り、でコーヒーを注文し、〇〇決済アプリで購入」etc…

などの情報は特定の誰が上記のような行動をしたか?が特定できないため、個人情報ではないということになります。

では、プライバシーとはどのようなことでしょうか?

上記の情報自体は、個人を特定しないまでもスマホを通じて位置情報、アプリ利用履歴、検索履歴、ヘルスケアデータを抜き取られていると考えると、ユーザーにとってはある種「気持ち悪さ」を感じるのではないでしょうか?

また、何かをきっかけにスマホの利用履歴と自分と識別できる情報が紐づいてしまう、また全てのパーソナルデータの紐付けにより、自分が特定されてしまうのではないかといった不安があると思います。

このような要素が「プライバシー」を指し、これらをデータとして企業が勝手に所得し、活用することが「プライバシー保護」の観点で問題しされはじめています。

プライバシーポリシーの再定義とGDPRの関連性

個人情報取得において、個人データを活用している企業の代表として、GAFAがイメージする人も多いのではないでしょうか?

個人情報取得におけるプライバシーの観点では、現在法的にも規制が始まっています。

2019年にはgoogleが利用者から同意を得る手続きが不完全だったとして、EUが同社に制裁金(約62億円)を科すなどしています。

グーグル制裁金、個人情報の収集手法に「待った」:https://www.nikkei.com/article/DGXMZO40299590S9A120C1TJC000/

これにより、googleはプライバシーを自身を管理の主体となり、広告やデータ選択の管理をすることをはっきりと提示しています。

google プライバシー:

https://privacy.google.com/intl/ja_ALL//take-control.html?categories_activeEl=sign-in

また同様に2019年にfacebookも個人データの無断使用により、約5400億円の制裁金が科せられています。

米フェイスブック、過去最大約5400億円の制裁金支払いでFTCと合意:https://xtech.nikkei.com/atcl/nxt/news/18/05592/

これらの背景には、GAFAが世界的に個人データを取得し、勝手に活用しているということに対するGDPR(EU一般データ保護規則)の設定があります。※ 当法律は2018年5月25日にEU加盟国&EEA(欧州経済領域)加盟3か国で発足されました。

GDPRは、一言で言えば「個人情報のデータ主体者を個人主体の管理とする」ことを目的とした法です。

上記は、今まで企業に預けていた個人情報を匿名加工し、企業がマーケティングや営業活動などに活用していましたが、そもそもこのような活動をする場合でも、ユーザーに個人情報の使用許可を求めるべきというユーザーのプライバシー保護のための法律です。

(当法律の詳細については、他サイトを調べていただくと様々な情報が記事として出ていますので、当記事では詳細な説明は割愛します。)

このような法律が設定されたことにより、google含め、今まで個人情報を取得していた多くの企業が、個人情報を取得する際の意識が変わり始めました。

またEUで発足された当法律ではありますが、日本企業のEU内における現地法人は2016年度で2631社存在し、また今後はデジタル化が進むにつれて、プライバシーや個人情報の意識が高くなるため、日本にもプライバシー保護に対する強い意識の波があるのではないかと考えています。(下記が対象となる範囲です)

EUに設置されている子会社、支店、営業所が存在し、そこで個人データが取り扱われている

EU企業を介さず、EU居住者の個人データを取り扱っている

EU域内から域外へのデータ移転を受けている

管理者に代わり、EU居住者の個人データを取り扱っている

GDPR(EU一般データ保護規則)とは何か? 概要と対応方法をわかりやすく解説する:https://www.sbbit.jp/article/cont1/34759

ちなみにGDPRが定めている規則に違反すると、下記のような罰金制度があり、googleの事例などは下記に違反した際の制裁金になるかと思います。

(1) 最大10,000,000ユーロ、または全世界年間売上高の2%のどちらか高い方

(2) 最大20,000,000ユーロ、または全世界年間売上高の4%のどちらか高い方

GDPRにおける制裁金:該当する義務違反のケースや制裁金判断の考慮要素とは?https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/gdpr02.html

各社のプライバシーポリシーの見直し(参考例)

各社(日本を含む)でもプライバシポリシーの見直しがされています。

例えば、日本企業のリクルートはプライバシポリシーを、インフォグラフィックス化し、わかりやすくかつ完結にまとめられています。

リクルート社のプライバシーセンター:https://www.recruit.co.jp/privacy/

chatwork社は国内とEU内でそれぞれプラポリを分けています

chatwork社のプライバシーポリシー:https://go.chatwork.com/ja/privacy/

大手企業のトヨタもクッキー情報やどこの外部サービスと連携しているか、明確に記載しています。

トヨタのプライバシーポリシー:https://toyota.jp/privacy_statement/

同様に大手企業の楽天はページ上部にカテゴリー別に取得する上の目的を仕分けしています。

楽天プライバシーポリシー:https://privacy.rakuten.co.jp/

またUber社のプライバシーポリシーは各国のの言語化、及びその国ごとの取り決めを明確にしています。

Uber プライバシーポリシー:https://www.uber.com/legal/en/document/?country=united-states&lang=en&name=privacy-notice

この他にも様々な企業がプラポリについて様々な表示と利用範囲について、明確にしています。

昨今GDPRの規制の波や、デジタル化が進む中での個人情報の取り扱いについて、見直しが進んでいる状況です。

これからローンチするサービスのプライバシーポリシーのあり方

プラポリは今後、「個人情報、およびパーソナルデータ」を取得する以上はその利用目的をユーザーに明確かつわかりやすく表示する必要があります。

上記の表現仕方は各社で様々なやり方があるかと思います。

当然ながら、個人情報を取得する上での目的の表示の仕方として、インフォグラフィックス化、カテゴリー化など様々な手法があるかと思います。

GDPRや個人情報を適切に扱うことを主軸とした上で、是非 、工夫してみてください。

まとめ

基本的にプラポリはテンプレートを使用し、サービスローンチ時に設定するかと思いますが、ぜひこれを機会に一度気にしてみてください。

特にPMが留意する点としては、設定したプラポリが

  • ユーザーにとって理解がしやすいか
  • 簡潔にカテゴライズやまとめているか

など、気にしてみると良いと思います。

なお現状のサービスではほとんどのサービスが個人情報を取得しなければ、運用は難しいと思います。

GDPRなどの法の規制の動きがあるため、是非一度ユーザー目線で設定してみてください。

いいね!
この記事を書いたPM
Toshiki Okada/t-okada
@t-okada
  • Twitter

大学卒業後、金融機関に所属し、個人渉外を担当。その後、ブロックチェーン、DLTを提供しているITスタートアップに所属し、バックエンドエンジニアを経験後、プロジェクトマネージャーに転向。
主にDLTの技術を使用した決済のプロジェクトに従事し、複数のQR決済サービス案件を担当。現在は、別のブロックチェーンスタートアップに転向し、ブロックチェーンをベースとしたスマートコントラクト領域の案件をプロジェクトマネジャーとして担当。
金融機関 -> スタートアップ プロジェクトマネジャーなので、様々な視点で記事を発信できればと思います。