2023年に「グローバル・プライバシー・ノーティスを考える」 というエントリを作成して、国際企業が、プライバシーノーティスを作るときに、どのようにしたらいいかというのを考えてみました。また、ちょうど生成AIが人気がでてきたときだったので、「ChatGPTにカリフォルニア消費者プライバシー保護法規則を翻訳させてみる-プライバシーポリシーの記載事項」 でChatGPTの翻訳レベルを確かめると同時に、CCPAを翻訳してみました。そして、その上で、「グローバル・プライバシー・ノーティスとCCPA・GDPR・PIPAの差分(個人データの定義・立法管轄・DPO)」というエントリで、ここの規定が異なる部分についてメモを作成してみました。
いま、ちょうど、とある機会があって国際的な商品をアプリでコントロールする場合に、そのアプリが、消費者向けにどのようなプライバシーノーティスを準備しないと行けないかという問題を考えています。そこで、2023年に考えた事項を、実際にプライバシーノーティスを作成するのにどうするか、という形でおとしこんでいきたいと考えます。
1 イントロ
プライバシーノーティスか、プライバシーポリシーか
上の「グローバル・プライバシー・ノーティスを考える」 でも検討したのですが、プライバシーポリシーは、従業員が個人情報を使って何をすることができるかを伝える内部向けのもので、プライバシーノーティスは、組織が個人情報を使って何をするのかを顧客、規制当局、およびその他の利害関係者に伝える外部向けのものとして使われることが多いので、ここでは、プライバシーノーティスという用語で、検討していくことにします。
参考文献
また、英文のプライバシーポリシーについても紹介する文献やサイトがいくつかあります。
- 白石和泰ほか「プライバシー作成のポイント」(中央経済社,2022) 第4章 プライバシーポリシーと外国のデータ保護法以下
- 海外ビジネスナビ「英文プライバシーポリシーの作り方」
書き方について
そもそも、プライバシーポリシーというのが、日本的な書き方を前提とする場合と、アメリカなどでの書き方をベースにする場合とがあるように思えます。
日本的な場合に記載される項目は、どちらかというと簡略ということになります。項目としては
(1)個人情報取り扱いに関する基本方針
(2)定義
(3)事業者の名称、住所、法人代表者氏名
(4)個人情報の取得方法
(5)個人情報の利用目的
(6)個人データを安全に管理するためにとった措置の内容
(7)個人データの共同利用について
(8)個人データの第三者提供について
(9)個人データの開示、訂正等の手続きについて
(10)個人データの利用停止等について
(11)個人情報の取扱いに関する相談や苦情の連絡先
(12)SSLセキュリティについて
(13)Cookie(クッキー)について
の記載がなされるとされています。(例えば、プライバシーポリシーの正しい作り方を解説【安易な雛形利用は危険】など)
一方、アメリカでの書き方などを参考にするときには、標準的な事項として
- 序(Introduction)
- 意義、変更、適用時、質問先など
- 当事者(Who are we?)
- 情報の収集方法(How do we collect information from you?)
- 情報の種類(What type of information is collected from you?)
- 任意の情報(Voluntary Information)
- 自動的に収集される情報(Automatic Information)
- 通信製品およびサービス(Communication Products and Services)
- 顧客によって要求される情報(Communication Products and Services)
- どのように利用されますか(How is your information used?)
- どのように共有/提供されますか(How do we share your information?)
- 第三者取扱者(Third Party Processors)
- 保存期間(How long do we retain your Information?)
- 顧客の選択(Your choices)
- データセキュリティ(Data Security)
- クッキーの利用(Use of Cookies)
- 利用者の権利
- 子供のプライバシー(Children’s Privacy)
- 個人情報の移転、取扱・保存への同意(Consent to transfer, process and store Personal Information)
などの項目が記載されます。
「グローバル・プライバシー・ノーティスを考える」で検討した事項になりますが、個人情報等の取得,利用,管理,提供,本人の権利行使等の取扱いの方針を明文化して、それを公表することが必要になり(日本)、CCPAでは、「事業者のオンラインおよびオフライン情報の取り扱いに関する包括的な説明を消費者に提供することです。また、個人情報に関する権利について消費者に通知し、それらの権利を行使するために必要な情報を提供することも求められます。」となります。
ここでは、ひとつの方向として、CCPAに準拠するプライバシー・ノーティスをもとに、GDPRや日本の個人情報保護法との差分を追加するという方向を考えることにしたいと思います。
2 基本的なプライバシー・ノーティス
CCPAにおけるプライバシー・ノーティスの記載事項については、2023年3月当時のChatGPTを使って「ChatGPTにカリフォルニア消費者プライバシー保護法規則を翻訳させてみる-プライバシーポリシーの記載事項」でふれています。ですが、その当時と比較すると現在の条文は、すこし違っているようです。最近の条文の翻訳は以下になります。
カリフォルニア規則典タイトル11 7011条(プライバシーポリシー)は、以下の情報を含まないと行けません。
-----
(c)プライバシーポリシーには、以下の情報が含まれる必要があります:
(1) 事業者のオンラインおよびオフラインにおける情報取扱実務の包括的な説明(以下を含む)
(A) 過去12か月間に事業者が消費者から収集した個人情報のカテゴリの特定。カテゴリは、民法第1798.140条(v)(1)(A)〜(K)および(ae)(1)〜(2)に定められた用語を用いて記述すること。事業者に裁量がある場合は、消費者が収集される情報を理解しやすいように記述すること。
(B) 個人情報の収集元となる情報源のカテゴリの特定。
(C) 消費者から個人情報を収集する具体的な事業目的または商業目的の特定。目的は、情報収集の理由を消費者が理解できるように記述すること。
(D) 過去12か月間に事業者が第三者に販売または共有した個人情報のカテゴリの特定(該当がある場合)。販売または共有していない場合は、その旨を開示すること。
(E) 上記(D)で特定された各カテゴリについて、情報が販売または共有された第三者のカテゴリ。
(F) 消費者の個人情報を販売または共有する具体的な事業目的または商業目的の特定。目的は、情報が販売または共有される理由を消費者が理解できるように記述すること。
(G) 事業者が16歳未満の消費者の個人情報を販売または共有していることを実際に認識しているかどうかの記述。
(H) 過去12か月間に事業者が第三者に対して事業目的で開示した個人情報のカテゴリの特定(該当がある場合)。開示していない場合は、その旨を開示すること。
(I) 上記(H)で特定された各カテゴリについて、情報が開示された第三者のカテゴリ。
(J) 消費者の個人情報を開示する具体的な事業目的または商業目的の特定。目的は、情報が開示される理由を消費者が理解できるように記述すること。
(K) 事業者が、7027条(m)項に定められた目的以外で機微な個人情報を使用または開示しているかどうかの記述。
(2) CCPA(カリフォルニア州消費者プライバシー法)が消費者に付与する個人情報に関する権利の説明(以下を含む)
(A) 事業者が消費者について収集した個人情報の内容を知る権利(カテゴリ、情報源、収集・販売・共有の目的、開示先の第三者カテゴリ、具体的な情報内容)。
(B) 事業者が消費者から収集した個人情報を削除する権利(一定の例外あり)。
(C) 事業者が保持する不正確な個人情報を訂正する権利。
(D) 事業者が個人情報を販売または共有している場合、その販売・共有を拒否する権利(オプトアウト)。
(E) 事業者が7027条(m)項に定められた目的以外で機微な個人情報を使用または開示している場合、その使用・開示を制限する権利。
(F) CCPAにより付与されたプライバシー権を行使したことに対して、事業者から差別的な扱いを受けない権利(従業員、応募者、業務委託者も含む)。
(3) 消費者がCCPAの権利をどのように行使できるか、およびその手続きにおいて期待される事項の説明(以下を含む)
(A) 消費者がCCPAの権利を行使する方法の説明。
(B) CCPAに基づく請求の提出方法の説明(オンラインフォームやポータルへのリンクがある場合はそれも含む)。
(C) 事業者が個人情報を販売または共有しており、販売・共有のオプトアウト通知が必要な場合は、その通知の内容または通知へのリンク(7013条(f)項に準拠)。
(D) 事業者が7027条(m)項以外の目的で機微な個人情報を使用・開示しており、制限通知が必要な場合は、その通知の内容または通知へのリンク(7014条(f)項に準拠)。
(E) 「知る」「削除する」「訂正する」請求を検証するための事業者の一般的な手続きの説明(消費者が提供すべき情報も含む)。
(F) オプトアウト設定信号がどのように処理されるかの説明(デバイス、ブラウザ、アカウント、オフライン販売への適用範囲など)およびその使用方法。
(G) 事業者がオプトアウト信号を摩擦なく処理する場合、消費者がその信号を設定する方法の説明。
(H) 消費者の代理人がCCPAに基づく請求を行う方法の説明。
(I) 事業者が16歳未満の消費者の個人情報を販売していることを実際に認識している場合、7070条および7071条に定められた手続きの説明。
(J) プライバシーポリシーや情報取扱実務に関する質問・懸念に対応するための連絡先(事業者が主に消費者とやり取りする方法に応じた手段で提供)。
(4) プライバシーポリシーの最終更新日。
(5) 7102条に定められたデータ報告要件の対象となる場合は、7102条に基づく情報、またはその情報へのリンク。
-----
となっています。
これらの項目と上でふれたモデルの項目とを対照させると以下のようになるかと思います。
| 1 | 一般的事項 | CCPAの記載(CCRタイトル11) | モデル文案 | |||
| 趣旨 | ||||||
| 目的 | 個人データ等の概念 | |||||
| 対象範囲 | 適用されるネクサス | カリフォルニアの住人 | ||||
| 法的根拠 | 3. WHAT LEGAL BASES DO WE RELY ON TO PROCESS YOUR PERSONAL INFORMATION? | |||||
| 2 | 事業者のオンラインおよびオフライン情報に関する実践 | |||||
| 2.1 | 収集 | |||||
| 収集の目的 | ||||||
| 収集する個人情報の種類 | 事業者のオンラインおよびオフラインにおける情報取扱実務の包括的な説明 | 7011条 (e) (1) | 1. WHAT INFORMATION DO WE COLLECT? | |||
| 去12か月間に事業者が消費者から収集した個人情報のカテゴリの特定。 | 同7011条 (e) (1)(A) | 1. WHAT INFORMATION DO WE COLLECT? | ||||
| 個人情報の入手方法とその理由 | 個人情報の収集元となる情報源のカテゴリの特定。 | 同7011条 (e) (1)(B) | ||||
| 消費者から個人情報を収集する具体的な事業目的または商業目的の特定。目的は、情報収集の理由を消費者が理解できるように記述すること。 | 7011条 (e) (1)© | |||||
| 2.2 | 取扱 | 2. HOW DO WE PROCESS YOUR INFORMATION? | ||||
| 2.3 | 保存 | |||||
| 保存のセキュリティ | 8. HOW DO WE KEEP YOUR INFORMATION SAFE? | |||||
| 保存期間 | 7. HOW LONG DO WE KEEP YOUR INFORMATION? | |||||
| 2.4 | 移転 | 過去12か月間に事業者が第三者に販売または共有した個人情報のカテゴリの特定(該当がある場合)。販売または共有していない場合は、その旨を開示すること。 | 同7011条 (e) (1)(D) | 4 WHEN AND WITH WHOM DO WE SHARE YOUR PERSONAL INFORMATION? | ||
| 上記(D)で特定された各カテゴリについて、情報が販売または共有された第三者のカテゴリ。 | 同7011条 (e) (1)(E) | |||||
| 消費者の個人情報を販売または共有する具体的な事業目的または商業目的の特定。 | 同7011条 (e) (1)(F) | |||||
| 事業者が16歳未満の消費者の個人情報を販売または共有していることを実際に認識しているかどうかの記述。 | 同7011条 (e) (1)(G) | |||||
| 過去12か月間に事業者が第三者に対して事業目的で開示した個人情報のカテゴリの特定(該当がある場合)。開示していない場合は、その旨を開示すること。 | 同7011条 (e) (1)(H) | |||||
| (H)で特定された各カテゴリについて、情報が開示された第三者のカテゴリ。 | 7011条 (e) (1)(I) | |||||
| 6. IS YOUR INFORMATION TRANSFERRED INTERNATIONALLY? | ||||||
| 2.5 | 消去 | |||||
| 3 | 権利行使のための必要な情報 | |||||
| 個人情報の収集、開示、または販売に関する知る権利 | 事業者が消費者について収集した個人情報の内容を知る権利(カテゴリ、情報源、収集・販売・共有の目的、開示先の第三者カテゴリ、具体的な情報内容)。 | 7011条 (e) (2)(A) | 9. WHAT ARE YOUR PRIVACY RIGHTS? | |||
| 事業者が保持する不正確な個人情報を訂正する権利。 | 7011条 (e) (2)(C) | |||||
| 個人情報の削除を要求する権利 | 事業者が消費者から収集した個人情報を削除する権利(一定の例外あり)。 | 7011条 (e) (2)(B) | ||||
| 個人情報の販売からのオプトアウトの権利 | 事業者が個人情報を販売または共有している場合、その販売・共有を拒否する権利(オプトアウト)。 | 7011条 (e) (2)(D) | ||||
| 事業者が7027条(m)項に定められた目的以外で機微な個人情報を使用または開示している場合、その使用・開示を制限する権利。 | 7011条 (e) (2)(E) | |||||
| 消費者のプライバシー権利の行使に対する差別禁止の権利 | 7011条 (e) (2)(F) | |||||
| 10. CONTROLS FOR DO-NOT-TRACK FEATURES | ||||||
| 4 | 遵守 | 取扱者、問い合わせ先、責任者 | 消費者がCCPAの権利をどのように行使できるか、およびその手続きにおいて期待される事項の説明 | 7011条 (e) (3) | ||
| 消費者がCCPAの権利を行使する方法の説明。 | 7011条 (e) (3)(A) | |||||
| CCPAに基づく請求の提出方法の説明(オンラインフォームやポータルへのリンクがある場合はそれも含む) | 7011条 (e) (3)(B) | 12. HOW CAN YOU CONTACT US ABOUT THIS NOTICE? | ||||
| 事業者が個人情報を販売または共有しており、販売・共有のオプトアウト通知が必要な場合は、その通知の内容または通知へのリンク(7013条(f)項に準拠)。 | 7011条 (e) (3)(C) | |||||
| 事業者が7027条(m)項以外の目的で機微な個人情報を使用・開示しており、制限通知が必要な場合は、その通知の内容または通知へのリンク(7014条(f)項に準拠) | 7011条 (e) (3)(D) | |||||
| 「知る」「削除する」「訂正する」請求を検証するための事業者の一般的な手続きの説明 | 7011条 (e) (3)(E) | |||||
| オプトアウト設定信号がどのように処理されるかの説明(デバイス、ブラウザ、アカウント、オフライン販売への適用範囲など)およびその使用方法 | 7011条 (e) (3)(F) | |||||
| 事業者がオプトアウト信号を摩擦なく処理する場合、消費者がその信号を設定する方法の説明 | 7011条 (e) (3)(G) | |||||
| 消費者の代理人がCCPAに基づく請求を行う方法の説明 | 7011条 (e) (3)(H) | |||||
| 事業者が16歳未満の消費者の個人情報を販売していることを実際に認識している場合、7070条および7071条に定められた手続きの説明 | 7011条 (e) (3)(I) | |||||
| プライバシーポリシーや情報取扱実務に関する質問・懸念に対応するための連絡先(事業者が主に消費者とやり取りする方法に応じた手段で提供) | 7011条 (e) (3)(J) | |||||
| プライバシーポリシーの最終更新日。 | 7011条 (e) (4) | 11. DO WE MAKE UPDATES TO THIS NOTICE? | ||||
| 13. HOW CAN YOU REVIEW, UPDATE, OR DELETE THE DATA WE COLLECT FROM YOU? | ||||||
| 7102条に定められたデータ報告要件の対象となる場合は、7102条に基づく情報、またはその情報へのリンク。 | 7011条 (e) (5) | |||||
モデルとして考えた事項が、CCPAでの必須事項に対応しているということになるかと思います。
3 GDPRとの比較
GDPRでは、基本的な記載の要求事項として
- 取扱いに関する第13条(データ主体から個人データが取得される場合において提供される情報 )及び第14条(個人データがデータ主体から取得されたものではない場合において提供される情報)に定める情報
- 第15条から第22条及び第34条に定める連絡
が述べられています。詳細は、「グローバル・プライバシー・ノーティスを考える」によります。
そうすると、モデルとなるプライバシーノーティスの記述によって、どの程度の事項がカバーされるのか、それによってカバーされていない事項は何かということを考察することにします。そうすると、以下のような表を作成することができます。
| モデル文案 | GDPR/UK GDPR | 条文 |
| 欧州人の個人データの取扱 | ||
| 3. WHAT LEGAL BASES DO WE RELY ON TO PROCESS YOUR PERSONAL INFORMATION? | 予定されている個人データの取扱いの目的及びその取扱いの法的根拠。 | 13条1項(c)/14条1項(c) |
| 3. WHAT LEGAL BASES DO WE RELY ON TO PROCESS YOUR PERSONAL INFORMATION? | その取扱いが第6条第1項(f)を根拠とする場合、管理者又は第三者が求める正当な利益。 | 13条1項(d)/14条2項(b) |
| 1. WHAT INFORMATION DO WE COLLECT? | 管理者の身元及び連絡先、及び、該当する場合は、管理者の代理人の身元及び連絡先。 | 13条1項(a) |
| 予定されている個人データの取扱いの目的及びその取扱いの法的根拠。 | 13条1項(c)/14条1項(c) | |
| 1. WHAT INFORMATION DO WE COLLECT? | 関係する個人データの種類 | 14条1項(d) |
| どの情報源からその個人データが生じたか、及び、 該当する場合は、 公衆がアクセス可能な情報源からその個人データが来たものかどうか。 | 14条2項(f) | |
| 5 DO WE USE COOKIES AND OTHER TRACKING TECHNOLOGIES? | ||
| 2. HOW DO WE PROCESS YOUR INFORMATION? | ||
| 7. HOW LONG DO WE KEEP YOUR INFORMATION? | その個人データが記録保存される期間、又は、それが不可能なときは、その期間を決定するために用いられる基準。 | 13条2項(a)/14条2項(a) |
| 4 WHEN AND WITH WHOM DO WE SHARE YOUR PERSONAL INFORMATION? | もしあれば、個人データの取得者又は取得者の類型。 | 13条1項(e)/14条1項(e) |
| 6. IS YOUR INFORMATION TRANSFERRED INTERNATIONALLY? | (f) 該当する場合は、管理者が個人データを第三国又は国際機関に移転することを予定しているという事実、及び、欧州委員会による十分性認定の存否、又は、第46条若しくは第47条に定める移転の場合又は第49条第1項第2項後段に定める移転の場合、適切又は適合する保護措置、及び、その複製物を取得するための方法、又は、どこでそれらが利用可能とされたかについての情報。 | 13条1項(f)/14条1項(f) |
| 9. WHAT ARE YOUR PRIVACY RIGHTS? | 個人データへのアクセス | 13条2項(b)/14条2項(c) |
| 9. WHAT ARE YOUR PRIVACY RIGHTS? | 個人データの訂正 | 13条2項(b)/14条2項(c) |
| 9. WHAT ARE YOUR PRIVACY RIGHTS? | 個人データの消去 | 13条2項(b)/14条2項© |
| 9. WHAT ARE YOUR PRIVACY RIGHTS? | データ主体と関係する取扱いの制限を管理者から得ることを要求する権利 | 13条2項(b)/14条2項© |
| 9. WHAT ARE YOUR PRIVACY RIGHTS? | 第6条第1項(a)又は第9条第2項(a)に基づく場合、その撤回前の同意に基づく取扱いの適法性に影響を与えることなく、いつでも同意を撤回する権利が存在すること。 | 13条2項(c)/14条2項(d) |
| 9. WHAT ARE YOUR PRIVACY RIGHTS? | 取扱いに対して異議を述べる権利 | 13条2項(b) |
| 監督機関に異議を申立てる権利。 | 13条2項(d)/14条2項(e) | |
| データポータビリティの権利 | 13条2項(b) | |
| その個人データの提供が制定法上若しくは契約上の要件であるか否か、又は、契約を締結する際に必要な要件であるか否か、並びに、データ主体がその個人データの提供の義務を負うか否か/データの提供をしない場合に生じうる結果。 | 13条2項(e) | |
| 自動的な決定が存在すること/決定に含まれている論理等についての意味のある情報。 | 13条2項(f)/14条2項(g) | |
| 10. CONTROLS FOR DO-NOT-TRACK FEATURES | ||
| 該当する場合は、データ保護オフィサーの連絡先。 | 13条1項(b) | |
| 11. DO WE MAKE UPDATES TO THIS NOTICE? | ||
| 13. HOW CAN YOU REVIEW, UPDATE, OR DELETE THE DATA WE COLLECT FROM YOU? |
「グローバル・プライバシー・ノーティスとCCPA・GDPR・PIPAの差分(個人データの定義・立法管轄・DPO)」というエントリも参照ください。
そうだとすると
- 国際的移転
- データ主体の権利
- データ保護オフィサー
の部分で、記述が足りないことがわかるかと思います。
特に、データ主体の権利としては、
- 監督機関に異議を申立てる権利。 13条2項(d)/14条2項(e)
- データポータビリティの権利 13条2項(b)
- その個人データの提供が制定法上若しくは契約上の要件であるか否か、又は、契約を締結する際に必要な要件であるか否か、並びに、データ主体がその個人データの提供の義務を負うか否か/データの提供をしない場合に生じうる結果。 13条2項(e)
- 自動的な決定が存在すること/決定に含まれている論理等についての意味のある情報。 13条2項(f)/14条2項(g)
が異なるということになるかと思います。
