不定期連載シリーズ。テーマも気まぐれ。今回は3カ月ぶり。
経産省は先月,10月17日に「オンラインサービスにおける消費者のプライバシーに配慮した情報提供・説明のためのガイドラインを策定しました」というリリースを出した。
http://www.meti.go.jp/press/2014/10/20141017002/20141017002.html
今,話題になっているパーソナルデータの利活用に関する制度改正大綱とは別に公表されたもので,上記ガイドラインの策定背景については,リンク先のとおり。
このガイドラインは,リンク先でも明示されているとおり,個人情報保護法に定める「個人情報」に限らず,より広い情報を対象範囲としている。
具体的なガイドラインは,以下のpdf参照。
http://www.meti.go.jp/press/2014/10/20141017002/20141017002a.pdf
これまでも,個人情報保護法が要求する通知,同意に関しては,各分野のガイドラインにおいて多少の解説がなされていた。例えば,経済産業分野のガイドライン*1では,利用目的の通知における「本人への通知」とは,
「本人に通知」とは、本人に直接知らしめることをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。
と定めている(10頁)。また,「本人の同意」の例については(下記は抜粋),
事例2)本人が署名又は記名押印した同意する旨の申込書等文書を受領し確認すること。
事例3)本人からの同意する旨のメールを受信すること。
事例4)本人による同意する旨の確認欄へのチェック
事例5)本人による同意する旨のウェブ画面上のボタンのクリック
などとしている。冒頭のリンクで紹介したガイドラインは,「通知」「同意」の部分を取り上げて,さらにもう一歩押し進めて詳細に定めている。
例えば,取得する情報の項目については,
「個人情報を取得します」ではなく、「氏名、住所及び電話番号を取得します」というように通知する必要がある。仮に、取得の状況から住所だけを取得していることが自明であっても、「個人情報を取得します」ではなく、「住所を取得します」と通知する必要がある。
と定めている(3.2.3)。現状の多くの利用規約やプライバシーポリシーではここまで具体化していないのではないか*2。
さらには,
個人識別可能情報の取得方法について、本人にとって分かりにくいものを明確に通知すること。
としていたり(3.2.4b),
個人識別可能情報を取得する時の状況から判断して、本人にとって気付きにくい利用目的について、その必要性を明確に通知すること。
とする(3.2.5)。
要するに,不意打ち,だまし討ち的な取得,利用はダメで,きちんと説明しなさい,というだけといえはそれまでである。
通知よりも厳格な「同意」については,
明示的許可を得ることが望ましいが、暗黙的許可を得ることもできる。ただし、何らかの行為による選択の機会を提供せずに、「同意したものとみなします」と記載だけする方法(いわゆる、みなし同意)によっては許可を得たものとして取扱わない。
とする(3.3.3)。これは,消費者契約法3条1項の趣旨に照らしても当然必要であろう。
さらには,同意の頻度(3.3.6),適時性(3.3.7)についても言及してある。
後半には,ユーザインターフェイスについても触れており,具体的な例も紹介されている。
(ガイドライン8頁より)
(ガイドライン11頁より)
事業者としては,漠然とクリック・タップさせておけば大丈夫,と考えるのではなく,本人(ユーザ)の立場に立ってみて,取得する情報の性質,サービスの性質に応じた表示方法,頻度,形式を考える必要があるわけで,具体的なサービス,ウェブサイト設計の際にはこのガイドラインと照合して確認すべきだろう。
*1:http://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf
*2:11月10日追記。この点について,@takujihashizume さんから,指摘をいただいた。スマホアプリのプライバシーポリシーに関する調査(https://staff.aist.go.jp/takagi.hiromitsu/paper/scis2014-3D1-1-ichinose-dist.pdf)によれば,日本のサービスの39%がランクC以上であり,かつ,ランクC以上のアプリの多くは,取得情報ごとにその利用目的が書かれているという調査結果もある(https://staff.aist.go.jp/takagi.hiromitsu/paper/ipsj-csec62-62-ichinose-dist.pdf)。