今回は、プライバシーポリシーの作り方ということで、Cookie条項について見てみたいと思います。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
memo
カテゴリー「会社法務」では、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
Cookie条項の法的意味
Cookie条項は、Cookie等の取扱いについて触れている条項のことである(一般的な言い方があるわけではないが、本記事では便宜上こう呼ぶ)。
Cookie条項の法的意味としては、記載内容に応じていくつかの意味がありえ、任意的な記載である場合、契約上の義務である場合、法律上の義務である場合、がある。
また、これらの記載内容は、ひとつの条項にまとめないといけないものではなく、また、プラポリ以外で書いてもよいものであるので(開示の仕方に限定はない)、仮にプラポリでCookie条項としてまとめて書くとしたら、という話である。
以下、Cookie条項の記載項目として考えられるものを順に見てみる。
Cookie条項の記載項目
Cookie等の使用に関する任意の説明
Cookie条項では、Cookie等を使用していることについて記載し、併せて、そもそもCookieとは何であるのかとか、その仕組みについて、一般的な説明がなされているものがある。
これは、従来、Cookie等に関しては、直接に取り扱った法律がなかったため、利用者に対する社会的責任(法令の規制がないところでどのように行動するかという信頼性の問題)として、任意に記載がなされていたものである。
ただ、後述のように、電気通信事業法による外部送信規律ができたため(2023年6月16日施行)、これに必要な部分は、任意的記載ではなく、法的義務ということになる。
これに対し、例えば、Cookie等に含まれる情報のうち、サービス提供にあたって必要な情報は、外部送信規律の適用除外とされているので(電気通信事業法27条の12但書第1号)、こういった情報についてもなお説明している部分は、任意の説明ということになる。
利用規約上の義務(契約上の義務)
また、アクセス解析サービスなどの利用規約において、Cookie等の使用などについて開示が義務づけされているケースがある。
これは、法的性質としては、契約上の義務になる。法律上の義務ではないが、かといって、任意の記載というわけでもない。契約上の義務の履行である。
例えば、Googleアナリティクス利用規約には、
「…お客様はプライバシーポリシーを公開し、Cookie、モバイルデバイスの識別子(例: Androidの広告ID、iOSの広告ID)、またはデータの収集に使われる類似技術の使用について、そのプライバシーポリシーで通知する必要があります。また、Googleアナリティクスの使用と、Googleアナリティクスでデータが収集および処理される仕組みについても開示する必要があります。こうした情報は、「Googleのサービスを使用するサイトやアプリから収集した情報のGoogleによる使用」のサイト(www.google.com/policies/privacy/partners/や、Googleが随時提供するその他のURL)へのリンクを目立つように表示することで開示できます。…」
引用元:https://marketingplatform.google.com/about/analytics/terms/jp/
といった記載があり(本記事公開日2023/11/15時点)、Googleアナリティクスの利用者は、Cookie等の使用などについて開示する必要がある。
ただ、これも、後述のように、電気通信事業法による外部送信規律ができたため、これに必要な部分は、利用規約上の義務のみならず、法的義務でもある、ということになる。
書き方としても、外部送信規律に対応するための公表と重なる部分が多いため、何らかの形で、外部送信規律への対応の方でまとめて整理して記載しているケースが多いように思う。
外部送信規律上の義務(電気通信事業法)
インターネットサービスの発達に伴って、このCookie等の技術により、ウェブサイトやアプリケーションを利用する際、利用者自身が認識していないうちに、利用者の端末から第三者に利用者の情報が送信されている場合がある(外部送信)。
そこで、透明性を高めるとともに、利用者が安心してサービスを利用できるようにするために、電気通信事業を営む者のうち一定の事業者は、利用者の端末に外部送信を指示するプログラムを送る際は、あらかじめ、送信される情報の内容を通知・公表するなどして、利用者に確認の機会を与えなければならない、という規制を設けた。
これが外部送信規律であり、根拠条文は電気通信事業法27条の12になる。
確認の機会の付与の方法としては、①通知または利用者が容易に知り得る状態に置く(いわゆる公表)、②同意取得、または、③オプトアウト措置の提供のいずれかを行う必要がある。
この①による対応を、Cookie条項への記載として行うことが考えられる。ただ、一定規模以上の企業になると、外部送信規律の公表事項として記載する内容がそれなりの量になるため、外部送信規律への対応ページとしてプラポリとは別立てにしているケースが多いように思う。
個人関連情報の第三者提供に関する本人同意の取得(個人情報保護法)
個人に関連する情報のうち個人を特定できないものは、個人情報保護法上は「個人関連情報」と定義されており(法2条7項)、Cookie等の識別子はこれにあたる。
7 この法律において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
個人関連情報に関する義務は、法31条(個人関連情報の第三者提供の制限等)に定められているが、その中心は、提供先で個人識別性を獲得することが想定される提供行為については、本人の同意が得られているかどうかの確認を要する、というものである。
(ex.提供先がID等を介して自己が保有する他の個人データに付加することが想定されるケース)
この本人同意は、必ずしも第三者提供のたびに取得しなければならないものではなく、本人が予測できる範囲において包括的に同意を取得することも可能であるとされている(通則ガイドライン3-7-2-1)。
そのため、第三者提供の内容(Cookie等の情報が個人データとして取得されること)をプラポリに記載しておき、プラポリに同意をもらうことによって、この本人同意を取得する、という使い方があり得る。
この場合、Cookie条項に第三者提供の内容を記載することが考えられる。
memo
同意取得の方法として、ウェブサイト上で同意を取得する場合は、単にウェブサイト上に本人に示すべき事項を記載するのみでは足りず、それらの事項を示した上でウェブサイト上のボタンのクリックを求める方法等によらなければならないとされていますので(通則ガイドライン3-7-2-3)、この点に留意する必要があります。
提供先で同意を取得する場合
本人の同意を取得する主体は、基本的には、本人と接点を持ち、情報の利用主体となる提供先である。提供元は、個人関連情報によって本人を識別できず、本人の同意を得る主体となり得ないはずだからである。
条文も確認してみる(個人情報保護法31条1項)。1号は国内も国外も共通のルール、2号は国外の場合のみプラスされるルールである。
(個人関連情報の第三者提供の制限等)
第三十一条 個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)を個人データとして取得することが想定されるときは、第二十七条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
提供先は、本人に対して、対象となる個人関連情報を特定できるように示した上で、同意を取得しなければならない。また、個人データとして取得した後の利用目的についても通常どおり通知・公表義務(法21条)があるが、同意を取得する際に、同時に利用目的についても本人に示すことが望ましいとされている(通則ガイドライン3-7-2-2-⑴)。
提供元で同意取得を代行する場合
提供先で同意を取得する場合と同等の本人の権利利益の保護が図られることを前提に、同意取得を提供元が代行することも認められている(同意取得の代行。通則ガイドライン3-7-2-2)。
同意取得の代行の場合、本人は利用主体である提供先を認識できないことから、提供元において、個人関連情報の提供を受けて個人データとして取得する提供先の第三者を個別に明示し、また、対象となる個人関連情報を特定できるように示さなければならない、とされている(通則ガイドライン3-7-2-2-⑵)。
同意取得の代行がどういうものなのかイメージしにくいが、提供元としては、個人関連情報の取得時に、本人を識別しないままに、(第三者提供することに加えて、提供先では個人データとして取得されることについての)同意を取得しておく、というやり方が典型的には想定される。
その際は、提供先の第三者を個別に明示し、また、提供の対象となる個人関連情報の内容を特定できるようにしておかなければならない、ということである。
結び
今回は、プライバシーポリシーの作り方ということで、Cookie条項について見てみました。
なお、個人関連情報の第三者提供については、外国にある第三者への提供の場合、同意取得時の参考情報の提供が行われていることの確認が併せて求められますが(個人情報保護法31条1項2号)、本記事ではその部分は割愛しています。
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
プライバシーポリシーの作り方に関するその他の記事
参考文献・主要法令等
参考文献
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)