web, privacy
Web サイトとして記載しておくべきプライバシーポリシーは何か
概要
自分自身で Web サイトを作る際に、プライバシーポリシーをどのように扱うべきか、どのように記載するのがよいのかを考えて記載することとした。調査の過程と最終的にどのようなプライバシーポリシーとなったのかを紹介したい。¶
本記事の対象読者
本記事の対象読者は、プライバシーポリシーを書きたいと思っている自分自身の Web サイト(静的なコンテンツを提供するだけのもの)を持っている読者である。ユーザ情報を DB に保存しサービスを提供するような Web アプリケーションの運用者は少し期待する内容とは違うかもしれない。¶
免責事項
筆者は法律の専門家ではなく、ただの Web 技術が好きな一般人である。なるべく一次情報や例を一緒に掲載するが、この記事の内容によって生じた被害については筆者は責任を負いかねるので注意していただきたい。また誤りがあった場合には issue に登録していただけると嬉しい。¶
ベースとなる知識
さて、プライバシーポリシーをなぜ記載するべきなのかというと、日本においては個人情報保護法があるからであろう。¶
ただしこの法律は、どうやら個人の Web サイト、特に静的なコンテンツのみを配信していたり、DB を利用してユーザ情報を管理していなかったり、事業を行っていないものは対象外のように思える。この法律の第一条には下記のようにある。¶
第一条 この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。¶
これから読み取るに個人情報を国、政府、地方公共団体、事業者がどのように扱うかなぜこの法律を定めたかが記載されているように見える。¶
個人の Web サイト管理者が事業者に該当するのかと思い、定義を調べたところ下記のように同法の第二条の 5 に定義がされている。¶
5 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。¶
一 国の機関¶
二 地方公共団体¶
三 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等をいう。以下同じ。)¶
四 地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。以下同じ。)¶
筆者は、このいずれにも該当しないように思える。¶
なので、当 Web サイトは法律に強制されてプライバシーポリシーを定める必要はなさそうだ。¶
しかし、それだけでは面白くないし、少なくとも Web にコンテンツを提供しているものとして、個人情報の取り扱いには事業者と同等の心づもりで取り扱いには気をつけるべきであると考える。¶
昨今の Google, Apple, Facebook, Amazon といったような企業やブラウザベンダなどが個人情報の取り扱いに関して注意を払っているように、非常にホットな話題である。¶
筆者は個人情報を取り扱う際にどのようなことに気をつけるべきかを事業者になったつもりで調査し、この Web サイトのプライバシーポリシーとして記載することにする。¶
Web サイトにおけるプライバシーポリシー
まずは Web サイトにおけるプライバシーポリシーを設置する目的について整理しよう。¶
一言でいうと、サイト提供者がユーザの情報の取り扱い内容についてユーザに説明をして、ユーザに理解を得て信頼してもらうためのものだ、と考えている。(もちろん法律に基づく罰則もあるが)¶
何をするべきかは大雑把に下記があるだろう。¶
- ユーザにどのような情報が収集されているかを説明する
- 収集された情報がどのように使われるかを説明する
ユーザは上記に同意できなければコンテンツの利用を取りやめることができる。また、下記のように必要以上にユーザ情報の取り扱いについて認可を求めるような場合にも、ユーザがサイトのコンテンツやサービスの利用を取りやめる、という選択ができるようになる。¶
- 扱う情報がサイトのコンテンツ提供に不要なものまで収集している
- 収集された情報が第三者に提供される
つまり、ユーザ自身に自分に紐づく情報の利用方法を決めてもらう、ということが大事である。¶
しかしながら、これらを掲示せずに利用者の情報を取得することもできてしまう。これについての考察は付録で述べる。¶
個人情報とは
ではまず、個人情報保護法で定める個人情報とは何かについて確認したい。¶
これについても個人情報保護法では定義がきちんとされている。¶
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。¶
一 当該情報に含まれる氏名、生年月日その他の記述等 (省略) (個人識別符号を除く。)(省略)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)¶
二 個人識別符号が含まれるもの¶
特定の個人が分かってしまうもの、氏名や生年月日、他にはメールアドレス、住所などがこれにあたると考えられる。¶
この個人識別符号に関しては別途定義がされており、下記のように記載されている。¶
2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。¶
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの¶
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの¶
2 の一は身体の一部の特徴とあるので、指紋や顔などをもとに変換された ID で、二に関してはユーザ ID などが該当するだろう。¶
3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。¶
つまり、個人情報とは一言で言ってしまうと、個人が特定できるもので、合わせることで本人の特定が可能なものすべてを含むものであるようだ。¶
個人情報の取り扱いに際して留意すること
では事業者がこれら個人情報を扱うサービスの提供に際してどのようなことに注意するべきだろうか。¶
必要なところだけを抜粋すると(一部省略)下記であろう。(長いので引用を飛ばして要約のみを見ていただいても構わない)¶
第一六条 個人情報を取り扱うにあたってはその利用の目的をできる限り特定しなければいけない¶
利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。¶
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。¶
第十七条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。¶
第十八条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。¶
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。¶
これをさらに筆者が要約するとこうなる。¶
- 利用目的を特定して明示すること
- あらかじめユーザに同意を取ること
- 利用目的達成に不必要な個人情報まで取得しないこと
- 個人情報を不正に取得しないこと
誰が、個人情報にあたる何をどういう目的で、どういった方法で集めるのか、が明記されていることが大事であるといえる。また、それが常識の範囲内であることや、記載されていない方法や、非合法の手段で取得しないことが大事である。¶
補足: 個人情報を第三者へ提供しなければならないとき
第二十三条の個人情報の第三者への提供に関しては続きがあり、その際には個人情報を提供しなければいけない。¶
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。¶
一 法令に基づく場合¶
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。¶
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。¶
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。¶
したがって、この場合には提供する旨を記載しておいたほうがよいだろう。¶
プライバシーポリシーとして記載すべき事項のまとめ
ここまでで、プライバシーポリシーとして下記の観点が重要であることが分かってきた。¶
- 利用目的を特定して明示すること
- あらかじめユーザに同意を取ること
- 利用目的達成に不必要な個人情報まで取得しないこと
- 個人情報を不正に取得しないこと
概ね、法律事務所の方が言われている内容とズレはないので大丈夫そうである。 (プライバシーポリシーとは?わかりやすく解説|咲くやこの花法律事務所)¶
あえて不足をあげるとすれば、共同利用や、Cookie に関する取り扱い、開示・訂正手続、第三者に渡すときや、苦情連絡先であろうか。¶
共同利用については本サイトは個人で運営しているので関係がない。¶
Cookie に関しては Google Analytics を利用しているのでその点を記載する必要がありそうだ。¶
特定の個人をに紐づく情報はないため、個人ユーザへの情報開示や訂正などはできないが、国や地方公共団体などからの要請があれば提供する必要がありそうだ。¶
また、第三者へ個人が分かるような情報を渡すことはない。¶
苦情連絡先は Twitter か Github の issue で良いだろう。¶
プライバシーポリシーの最終形
上記をまとめて、このサイトではプライバシーポリシーのページにあるように下記のようにプライバシーポリシーを設定した。¶
内容
-
個人情報で収集しているものとその利用目的
-
利用している情報
-
本サイトでは厳密には個人を特定できる情報は収集していないが、Google
Analytics
による情報やアクセスログに含まれるものを情報として収集している
- Google Analytics についてはこちらを参照していただきたい
-
アクセスログについては、一般的なログ情報が出力されており下記を含む
- アクセスがあった日時、アクセスした先のパス名、IP アドレス、ユーザエージェント
-
本サイトでは厳密には個人を特定できる情報は収集していないが、Google
Analytics
による情報やアクセスログに含まれるものを情報として収集している
-
利用している目的
- アクセス頻度等の情報からより質の高く需要のあるコンテンツを提供するため。
-
利用している情報
- 個人情報提供の拒否の場合
-
個人情報の開示・提供
- 特定のユーザに対して開示が必要となる情報はなく、特定のユーザと収集している情報を紐付ける方法はないので不可能である。
- 個人情報保護法第二十三条に該当するケースに相当する場合があったときには開示を行う
-
個人情報の管理責任
- @bokken_ である。
-
このプライバシーポリシーは基本的に予告なくアップデートされる
- しかしユーザに影響がある場合にはブログにて予告や報告を行う
終わりに
サイトプライバシーポリシーに関わらず本サイトの内容に関して、ご意見や問題がある場合は issue に記載してもらえると、よりよりサイトに改善していけるので嬉しい。¶
ひとまず暫定として策定したので、間違いがあるかもしれない。また、GDPR などを加味すると足りてない点もあるだろう。その点は適宜時間を見つけてアップデートしてよりよいものにしていきたい。またそのときには記事も記載したい。¶
昨今の Web ではプライバシー情報をどのように扱うかがとても重要であり、その取り扱い方針如何で会社のブランドイメージにも関わってきている。¶
引き続きプライバシー情報をどのように扱うべきか、ブラウザベンダがどのようにプライバシー情報保護を実現していくのかは注視していきたい。¶
付録
プライバシーポリシーと性善説
プライバシーポリシーと、内部の情報収集の実態がかけ離れている可能性についてだが、この問題に対しては、実際には、個人情報保護委員会が設置されており、個人情報取り扱い事業者の事務者に立ち入り、事業者に質問に答えさせることもできるようである(第四十条)。¶
また、令和元年度個人情報保護委員会年次報告) の令和元年の資料を見ると下記のように監査を受けることもあるようである。¶
| 項目 | 件数 |
|---|---|
| 個人データの漏洩等 | 1,066 件 |
| 報告徴収 | 294 件 |
| 立入検査 | 6 件 |
| 勧告 | 5 件 |
| 指導・助言 | 131 件 |
| あっせん申出受付件数 | 38 件 |
しかし、個人情報保護委員会もリソースが無限にあるわけではないので、すべての企業を調査することはできないし、個人情報取り扱い事業者が外部に露呈しないように個人情報やそれに等しい情報を収集し利用することも可能ではあろう。¶
これはもしかしたら今の状態の Web やそのエコシステムの限界なのかもしれない。¶
筆者にはまだこの課題を解決する術は検討がつかないが、これからのプライバシー情報に関わる流れでどのようなパラダイムシフトが起こるのかは非常に楽しみであるなと思う。¶
