GDPR関連資格をとろう！ Q&Aで学ぶGDPRとCookie規制(29)-透明性ガイドライン(1)
2021/10/25   海外法務, コンプライアンス, 情報セキュリティ, 外国法

 

今回から透明性に関するガイドラインの内容を数回(3回を予定)に分けて解説していきます。

 

【目　　次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: 透明性ガイドラインとは? Q2: GDPR第12条の透明性要件とは? Q3: 簡潔で(concise)／透明性があり(transparent)とは? Q4: 理解し易く (intelligible)とは? Q5: 情報を見つけ易い (easily accessible) とは? Q6: 「明確かつ平易な言葉(Clear and plain language)」(を用いて) とは? Q7: 「書面によりまたは他の手段が適切な場合は他の手段(電子的手段を含む)により提供」　とは? Q8: 「口頭(orally)で提供することもできる」とは? Q9: 「(情報は)無償(free of charge)で提供しなければならない」とは?

 

Q1: 透明性ガイドラインとは?

A1: WP29(現在のEDPBの前身である監督機関の連合体)が2018年4月11日付けで公表したGDPRの第12・13・14条の規定を中心とした「透明性に関するガイドライン」(Guidelines on transparency)^[1](以下「ガイドライン」という)を意味します。

 

Q2: GDPR第12条の透明性要件とは?

A2: 本Q&A第28回(前回)のQ3, Q4で解説した通り、管理者は、個人データを直接または間接に取得した場合(13・14)、データ主体がアクセス権等の権利を行使した場合(15～22)およびデータ主体に個人データ侵害通知を行う場合(34)、データ主体への情報提供およびデータ主体との間のコミュニケーションを、以下の全ての要件を満たす態様で行わなければなりません。

–明確かつ平易な言葉(clear and plain language)を用いること。

–簡潔であること(concise)。

–透明性があること(transparent)。

–理解し易いこと(intelligible)。

–情報が見つけ易くまた入手し易いこと(easily accessible)。

また、この情報提供およびコミュニケーションは、書面により(in writing)または他の手段が適切な場合は他の手段(電子的手段を含む)により、無償で、行わなければなりません(12(1)第二文, (3))。

次のQ3以下で、上記各要件に関するガイドラインの内容を解説します。

 

Q3: 簡潔で(concise)／透明性があり(transparent)とは?

A3: 以下の通りです(G8～)(数字はガイドライン中の番号。以下の「G+数字」も同じ)。

【この要件の趣旨】データ主体の「情報疲れ(information fatigue)」防止である。

【具体的には】従って、契約条項や一般的利用規約(contractual provisions or general terms of use)等のプライバシーに関係ない情報とは明確に区別して情報提供されなければならない。

オンラインでは、階層的プライバシー通知(layered privacy statement/notice)(例：“Privacy Notice”→“Purpose of Use”→利用目的の内容 )を利用すれば、大量のテキストをスクロールすることなく通知内容を見ることが可能。

 

Q4: 理解し易く (intelligible)とは?

A4: 以下の通りです(G9～)。

情報を提供すべきデータ主体(例:社会人または子供)の平均層(average member of the intended audience)にとり理解し易いことを意味する。ユーザパネル等によるテストも有効。

特に、データ主体がその個人データ処理の範囲と結果(the scope and consequences of the processing)を事前に判断できることが重要である(5(1)のfairness, 前文39)。

 

Q5: 情報を見つけ易い (easily accessible) とは?

A5: 以下の通りです(G11～)。

データ主体が情報を探す(seek out)必要がないこと、データ主体にとり情報がどこにありどのようにアクセスできるのかが明らかなことを意味する。

【具体的手法】直接的な情報提示／リンク／サイン・看板・標識(signpost)／FAQ／階層的Privacy Statement(Notice)／オンラインフォーム入力時のポップアップ／チャットボット

外部向けサイトを運営している企業は、全てWebサイト上にPrivacy Statement/Noticeを掲載し、"Privacy," "Privacy Policy"等の広く使われている言葉を明確に表示しそこからリンクした先のページに必要情報を掲載すべき。

アプリの場合、ダウンロード前にオンラインストアからも情報を入手できるようにするべき。

アプリインストール後も、アプリ内から容易にアクセスできるようにすべき。

(例)アプリのメニューに"Privacy"オプションを含める等して必要情報表示まで「2 タップ」以内にする。[2]

Privacy Statement/Notice は、運営企業の事業全体に関するものだけではなく、各アプリに固有のものが必要。

オンライン上の個人データ取得の場合、その取得時点で次のいずれかを行うことが best practice。

①Privacy Statement/Noticeへのリンクを表示

②個人データを取得するのと同じページにその情報を表示

 

Q6: 「明確かつ平易な言葉(Clear and plain language)」(を用いて) とは?

A6: 以下の通りです(G12～)。

複雑な文構造(complex sentence and language structures)や抽象的な(abstract)言葉を用いず、また、異なる解釈の余地がないよう、処理の目的・適法性の根拠等を簡明(simple)に示すこと。

【不適切な例】

処理目的に関し、単に"new services"の開発、" research purposes," "personalized services"のため等と表示してもそれらの具体的意味が不明であるから処理目的を明確に表示したことにならない。

【適切な(good practice)表現の例】　

(例1)“We will retain your shopping history and use details of the products you have previously purchased to make suggestions to you for other products which we believe you will also be interested in ”

(筆者訳)「当社は、お客様がご関心を寄せると思われる製品を推奨するため、お客様の購買履歴を保持し、また、お客様の購入製品の詳細を利用致します。」

- 対象データ(購買履歴)・処理目的(他の製品のターゲティング広告：targeted advertisements)が明確

(例2) “We will retain and evaluate information on your recent visits to our website and how you move around different sections of our website for analytics purposes to understand how people use our website so that we can make it more intuitive”

(筆者訳)「当社は、当サイトがどのように利用されているかを理解しサイトをより利用し易くするため、当サイト訪問者の訪問事実および当サイトのどの部分が閲覧・利用されたのかの情報を保持し評価のため利用致します。」

- 対象データ(サイト訪問・サイト内閲覧の履歴)・処理目的(サイト利用状況の分析)が明確

(例3)“We will keep a record of the articles on our website that you have clicked on and use that information to target advertising on this website to you that is relevant to your interests, which we have identified based on articles you have read”

(筆者訳)「当社は、当サイト訪問者がクリックまたは利用した記事を記録し、訪問者が読んだ記事に基づきその関心を推定し、その関心事に関係ある広告を訪問者に提供するために利用致します。」

- "personalization"というような言葉を使わず、その内容・方法を具体的に説明

【子供・弱者等への情報提供】

子供は、個人データの処理のリスク等を十分に認識できない可能性があるので特別の保護をしなければならない(前文38)。

従って、情報提供も子供が容易に理解できる明確かつ平易な言葉を用いてしなければならない(前文58)。

これに関しては、国連の「UN Convention on the Rights of the Child in Child Friendly Language」^[3]の子供向けの表現が参考になる。

同様に、障がい者その他社会的弱者(vulnerable members of society)にも配慮しなければならない。

 

Q7: 「書面によりまたは他の手段が適切な場合は他の手段(電子的手段を含む)により提供」とは?

A7: 以下の通りです(G16～)。

書面が原則であるが、標準化された図形(standardized icons)との組合せ(12(7))または電子的方法その他の手段も利用可能(12(1))。

Webサイトでは階層的Privacy Statement/Noticeの利用が推奨される。但し、情報全部を一箇所からまたは一文書の形でも提供しなければならない。

【階層的Privacy Statement/Notice以外の電子的手段の例】

(a)“just-in-time” pop-up notices

-オンラインでの商品購入の際、閲覧ページ上のテキストからポップアップ表示

-電話番号入力フィールドの隣に処理目的(購入に関する顧客への連絡／配送業者への開示等)をポップアップ表示。

(b)3D touch notices

[筆者注]　スマートフォン等の画面で単語・シンボル等にタッチすると情報表示

(c)Hover-over notices

[筆者注] パソコン等の画面で単語・シンボル等にカーソルでポイントすると説明表示

(d)プライバシーダッシュボード(privacy dashboard)

[筆者注]　(i)プライバシーポリシー等の閲覧や、(ii)パソコン、スマートフォン等における閲覧データの取得等に対する許可または禁止の設定を、まとめて行うことができるWebページ。

【階層的Privacy Statement/Noticeに加え利用可能な手段】　

ビデオ・スマートフォン・ IoT の音声アラート

【電子的手段以外の手段】　

漫画(cartoon)、infographics(情報を視覚的に表現したもの)、フローチャート。

特に子供向けにcomics/cartoons, pictograms(絵文字・絵単語等の視覚記号), animations等。

【情報表示に必要なスペース・画面がない場合】

IoTデバイス、スマートデバイス等に情報表示に必要なスペース・画面がない場合、サイト上にプライバシーポリシー等を掲載するだけでは不十分。例えば、以下を併用すべき。

-取扱説明書等にプライバシーポリシーのURL記載

-デバイスにオーディオ機能がある場合音声で情報提供

-取扱説明書・デバイス等に印刷されたQRコードをスマートフォン等でスキャンするとプライバシーポリシーのページが表示されること

 

Q8: 「口頭(orally)で提供することもできる」とは?

A7: 以下の通りです(G20～)

情報は、データ主体から要求があった場合には口頭で提供することもできる。但し、データ主体の権利行使(15～22)・個人データ侵害通知(34)に関する情報提供ではデータ主体の本人確認ができた(the identity of the data subject is proven)ことを条件とする(12(1)末文)。

個人データ取得の際に提供すべき情報(管理者名等)(13,14)については、事前にWeb等で公表等すれば本人確認が不要となる。

人間が、直接に、または、電話等で口頭にて情報提供。あるいは、表示画面がないデバイスで予め記録された回答を音声再生。

必要情報を口頭でデータ主体に提供する場合、管理者は以下を録音・記録し証明できなければならない。

①口頭による情報要求

②データ主体の本人確認が必要な場合その記録

③情報がデータ主体に提供されたこと

 

Q9: 「(情報は)無償(free of charge)で提供しなければならない」とは?

A9: 手数料や、サービス・商品の購入または代金支払を情報提供の条件とすることはできないということです(G22～)。

 

今回は以上です。次回も今回に引続き、ガイドラインの内容を解説します。

 

 

「GDPR関連資格をとろう！Q&Aで学ぶGDPRとCookie規制」バックナンバー

【筆者の最近の個人情報保護関連書籍】

​NEW!! 「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

「GDPR関連資格CIPP/E準拠 詳説GDPR  (上) - GDPRとCookie規制」 2019年11月

「GDPR関連資格CIPP/E準拠 詳説GDPR  (下) - GDPRとCookie規制」 2019年11月

^[4]

 

【注】

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

[1] 【透明性ガイドライン】個人情報保護委員会和訳(原文併記)

[2] 【必要情報を見るまでの回数】　以下の仏監督機関CNILによる米Googleへの制裁金(約62億円)決定 (2019年1月)では、データ主体に提供すべき情報が、ボタンまたはリンクを複数回(情報によっては5・6回)クリックしなければ見ることができず、複数のドキュメント(モバイル機器で表示される画面)に分散していたことが第12条および第13条に違反する理由の一つと認定された。"The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC" 21 January 2019

[3] 【国連UN Convention on the Rights of the Child in Child Friendly Language】　

[4]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(＊) このシリーズでは、読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

 

【筆者プロフィール】 浅井 敏雄  (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School  (東京校) Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP  (International Association of Privacy Professionals) 会員、CIPP/E  (Certified Information Privacy Professional/Europe) 【発表論文・書籍一覧】 https://www.theunilaw2.com/