Webサイトのプライバシーポリシーと個人情報保護法

「一般知識」で出題される問題は特定するのが困難で、対策が非常に難しいです。
ただし個人情報保護法はほぼ必須で毎年1・2問は出ているため唯一と言っていいほど一般対策としては勉強のやりがいのある法律です。

このページでは、
個人情報保護法の中でも、プライバシーポリシーなど特に実務よりの内容となっています。サイト運営者・ユーザがそれぞれ注意したい内容を記載しています。

サイト運営者視点の個人情報保護法

プライバシーポリシーのことや、近年注目されているGDPRについて。

プライバシーポリシーはすぐ見える位置に

「プライバシーポリシー」は、Webサイト運営者の個人情報取扱に関する基本理念のこと。
「個人情報保護方針」とも。

個人情報保護マネジメントシステムではプライバシーポリシーについて表示すべき項目が定められ、その「公表」の具体的方法については個人情報保護法ガイドラインに定めがありました。

「個人情報保護マネジメントシステム」?
「個人情報保護法ガイドライン」?

個人情報保護マネジメントシステム
= Personal information protection Management Systems(PMS)
JIS Q 15001が規定するPMSは、個人情報保護の体制整備・運用・管理・改善を継続的に行うための仕組みについて定めてあります。
ガイドラインについては、比較的一般的抽象的な内容を定めた法律に対し、具体的な施策内容をまとめたもの、と言えます。

ガイドラインには、ユーザーが個人情報の利用目的等を確認できるよう、
Webサイトのトップページから1クリックでプライバシーポリシーのページにたどり着けるようにすべきとあります。

オプトアウトに関するトラブルを避ける

プライバシーポリシーを明確にし、ユーザーがそのページに簡単にアクセスできるようにすべきです。

個人情報保護法では「オプトアウト」が認められていますが、ユーザーの体感としては勝手に自分の個人情報を流出されたと感じることもあり得ます。

例えばある趣味に関する同好会でメンバーの写真撮影を行い、その写真を貼りだしていたとします。このとき当該同好会のホームページで個人情報の利用目的を公表しており、その範囲内の利用だったのであれば、わざわざメンバー個人に事前の同意を取る必要がありません。

この仕組みがオプトアウトです。

写真掲載が嫌なメンバーは拒絶ができ、それ以後自らの写真を掲載されなくできますが、事後的な対応となり不満がたまることもあるでしょう。

こういったトラブルも起こりかねませんので、やはりプライバシーポリシーはできるだけ見やすくアクセスしやすいようにしておく必要があります。

個人情報の共有範囲

通販等をしている場合、商品の配送にあたり他社である配送会社とユーザーの個人情報を共有することもあるでしょう。

ユーザーとしては自分の情報が直接契約をしている相手方以外の会社に渡っていると思うと気持ち悪く思うかもしれませんが、共有されているだけで違法にはなりません。

個人情報取扱事業者が定めた利用目的に沿って、合理的な範囲での共有であれば認められています。

GDPRにおける個人情報との違い

GDPRはEEA(EU加盟の28か国)所在の個人データをやり取りする場合には対象となり、世界規模で個人情報のやり取りを行っている者すべてに影響が及びます。

ここでの個人情報は、個人情報保護法と違って、オンライン識別子も含まれる点に注意が必要です。

例えば

  • IPアドレス
  • cookie
  • 照合しないと個人の特定には至らないユーザーID

等もGDPRで保護されます。

しかも個人情報保護法よりも厳しい処罰規定があるため要注意です。

[ad]

ユーザ側が注意すべきこと

ユーザー側は、何気なくインターネットサーフィンをしているだけでも個人情報が出ていっているということを意識することが大切です。

規約は読む

サイトの登録や、ショッピング等、様々な場面で「サービス利用規約に同意する」などのチェック項目が設けられていることがあります。

長ったらしい規約を全部読んでいる人もそれほど多くないかと思いますが、危険なこともあるため、よく読むべきです。

ポイントは、退会条件第三者提供の有無第三者提供の範囲です。

最低でもこれらはチェックするようにしましょう。
情報流出に繋がりやすい第三者提供の有無は特に重要です。

ただしユーザー側に一方的に不利な内容がある場合、消費者契約法により規約内容が無効になることもあります。

ユーザ情報はマーケティングデータにもなっている

最近では匿名加工情報がマーケティングデータなどに利用され、Webサイトの行動履歴が送信されていることも珍しくありません。個人を特定するには至りませんが、これを知ると気分悪い人もいるでしょう。

特に問題にならないことがほとんどですが、ブラウザの設定によってこれを停止することもできます。
「サイトを超えたトラッキングの停止」や「トラッキングそのものの停止」といった設定をOFFにすればいいでしょう。

SNSへの写真アップ

他人を撮影してこれをSNSにアップすることは、個人情報保護法の観点から言えば、それだけで当然に違法になるものではありません。

個人情報保護法で利用制限等の義務が課せられているのはあくまで「個人情報取扱事業者」だからです。事業としてSNSにアップしたのでなければ当該法律における違反行為とは言えません。

ただしプライバシーの侵害により民事責任を追及されることはあり得ます。

まとめ

色んなWebサイトを閲覧したり利用したり、特に登録や買い物をするユーザーは、自分の個人情報がいつ送信され、どのように利用され、どこまで利用されているのか把握するようにしましょう。

サイト運営側は、プライバシーポリシーを適切に定め、これをユーザーが見やすいようにしておくべきです。

プライバシーポリシーの策定においては、同業他社のサイトを訪問しいくつも比較研究していくことが有効的で、特に利用目的の記載方法や第三者提供の項目は要チェックです。