VI ウエブサイトのプライバシー対策 GDPR対応のプライバシーポリシー(個人情報保護(経営)方針)
GDPR対応のプライバシーポリシー(個人情報保護(経営)方針)
このページはウエブサイトの経営・運営・開発などの担当者の方が個人情報を利用する際のプライバシー対策についていくつかのテーマでご紹介しています。ページの最後には、お立場ごとへのアドバイスを載せております。専門すぎる内容や実務的な内容や技術的な記載はありません。このテーマに関することについて気になっていることがあれば、ウエブサイト運営事業者むけの無料で相談の対応をしておりますのでご利用ください。
-書いているのはSTEKWIREDプライバシーコンサルタント
国内で唯一のプライバシー認証TRUSTeと個人情報保護資格CPAの認定機関として、OECDのプライバシー8原則の自己情報コントロール権のコンサルティングやプライバシー意識があがるわかりやすい研修、クライアント相談のソリューションとしてGDPRのプライバシー7原則のプライバシーリスク分析やちょうど良いフォーム改善やGDPR対応プライバシーステートメントを支援しています。急激な社会変化に適応できるようクライアント担当者を中心としたプライバシー対策を心がけています。-
日本企業向けちょうど良いGDPR対応のプライバシーポリシー
プライバシーポリシー(個人情報保護方針)
プライバシーポリシーは、ユーザーのプライバシーに関するデータを扱う際の経営方針でGDPRを基盤とすれば経営判断のプライバシーリスクを回避できます。
プライバシーポリシーは個人情報保護についての経営方針です。経営責任は代表者にあるため代表者が責任を持ちます。
プライバシーポリシーは、考え方や方向性を示す文書。
日本の企業のプライバシーポリシーにはプライバシーステートメントの要素が入っているものがある。
プライバシーポリシーとプライバシーステートメントはどちらもプライバシー文書ですが、ソリューションがことなるため、本章ではプライバシーポリシーの説明をおこないます。
日本企業の経営戦略の盲点
日本企業の経営戦略ではグローバルの価値基準と新テクノロジーの採用によって新しい価値創造と収益化が必要であるため、新テクノロジーの価値評価が自然と甘くなります。「新しいことは良いこと」「外国の価値基準は従うべきもの」という大前提で経営判断を日本企業はしてしまう傾向が盲点になります。
生成AIの採用などの経営判断も
身近な例ではChatGPTなどの生成AIテクノロジーの採用について経営判断をいままさにされていると思います。欧米ではプライバシーデータのAI利用についてGDPRの規制があるため、プライバシー対応も同時すすめています。EUではAI法があり、生成AIの利用には法的規制が入っています。
日本では個人情報保護法で不適正な利用の禁止19条がAIを利用した結果としてプライバシー侵害を与えた場合に行政指導になりますが、AI導入時の法的規制がある状況とは認識している人は稀だと思います。
データの付加価値は侵害要素も含む
個人向けの付加価値がある新しいテクノロジーは程度の問題でプライバシー侵害の要素が含まれています。プライバシーに関わることで価値を産みだし、他方で侵害することもあります。プライバシーの価値と侵害のバランスがくずれると企業の信頼トラブルになります。
GDPRをベースしたプライバシーポリシーがあり内部でプライバシーについてのコンセンサスがあれば、生成AIの業務利用や開発に収益とともにリスクの評価が部門で行われてから収益とリスク対策のバランスから導入を検討ができます。
リベラル(自由主義)化した社会の人権経営に
世界大戦後に誰しもが自由になるべきというリベラル化が進んでいます。人に平等と自由を与えるリベラル化が進んでいます。人に自由を与えるために平等にしようとするとプライバシーに踏み込んでしまうというジレンマになります。デジタル社会がプライバシーの侵害で基本的人権の侵害につながってしまうことから、プライバシートラブルや炎上を予防するには基本的人権の尊重が必要な経営要素となっています。
プライバシーポリシーがユーザーの基本的人権にかかわる経営であるという本質を見失うと、AI技術の採用の際にユーザーのプライバシー侵害を起こして信頼を喪失し、行政処分によりクライアントをプライバシー侵害企業にしてしまう事案に発展します。デジタル領域でのビジネスにはユーザープライバシーの人権を配慮したポリシーが必要不可欠です。
“基本的人権の尊重”はもっともらしくとらえどころがないと思われるかもしれませんが、EUがデジタル時代の基本的人権としてプライバシー保護の重要性を定義し、基本的人権を尊重させるためのGDPRのプライバシー7原則をもとに規制を定めています。OECDおよびGDPRのプライバシー原則は世界の国々で採用されています。
GDPRのプライバシー7原則でプライバシー保護経営
デジタル社会の新しいテクノロジーでユーザーのプライバシーデータを扱うならば、本来のプライバシーポリシー(経営方針)にGDPRのプライバシー7原則を採用しましょう。GDPRのプライバシー7原則がサービス開発や経営判断にあれば、経営に深刻な問題を起こす前にプライバシー問題があることに気が付くことができます。
国内企業のプライバシーポリシーはかなり高い割合で形骸化しています。デジタル社会のプライバシー問題は最大の課題であるため、本来的なプライバシーポリシーをソリューションにしましょう。
プライバシーポリシーは経営方針
プライバシーポリシーはお客様のプライバシーの取り扱いに関する代表者の個人情報保護に関しての経営方針です。日本の企業の72%はChatGPTを禁止しているというニュースがありました。プライバシーリスクを回避するため自社サービスや業務でChatGPTで個人情報を利用を禁止する経営方針をとられています。
GDPRにはAIの利用により個人にプライバシー影響があるかを事前評価することが義務付けられています。GDPRのプライバシー原則を経営方針に採用するとこのニュースの対象事業者のようなプライバシーリスク対策がとれます。
デジタル社会の継続成長のためのプライバシーポリシー
ウエブサイトのプライバシーポリシーは運営の方向性として、生成AIの利用や個人行動情報の活用などをするかどうかなどが必要であるため、その基準としてGDPRのプライバシー原則をベースとすることがお勧めです。
プライバシー問題は市場導入後に社会によって判断されるため、社会から問題があると認識された場合には炎上や信頼喪失に直結します。取り返しのつかない深刻な状況となって、その総責任は代表者に及びます。
プライバシーポリシーは戦略
日本人は新しいものが好きで日本企業はプログレッシブに価値観が偏重されます。例えば、ChatGPTも欧州はメリットともに危険性も考慮しAI法も整備しているのに対して、日本の政府はChatGPTの社長を招いて国内産業の積極利用を促しています。ChatGPTのビジネス採用をしている国内企業もたくさんあります。
新しいテクノロジーは市場機会であるため積極採用はビジネスチャンスで、同時に含有するプライバシーリスクを評価して予防する戦略がないとどこかの段階で深刻な影響が及びます。新しいテクノロジーをプライバシーリスクを評価して採用しないというのもポリシー、採用してプライバシーリスクを受け入れるのもポリシーであって、プライバシーポリシーはデジタル社会でより必要になります。
経営にプライバシーのセンスが必要な時代
総務省がヤフーにネイバーに位置情報を提供していたとして行政指導をしました。ヤフーが資本関係があるネイバーに業務委託で位置情報を提供してことが問題になりました。業務委託は利用目的の範囲内の処理であれば本来は問題ではないのですが、ヤフーの資本を持つ会社に業務委託で渡したデータは、経営の力関係において委託業務外で利用されてしまう可能性があるため、実質的な提供となっていると思います。
LINEも中国の子会社の委託先がデータを不正に利用したことで行政指導を受けました。中国は国家情報によって中国共産党へ日本人の情報の提供義務があるためです。ヤフーもLINEも国家を超えた資本関係があるため国家安全保障の問題をとっていました。現在は国家安全保障の経営方針が必要になっています。
収益第一の経営方針にある倫理の穴
企業は収益をあげなければなりません。企業が収益をあげるには売上をもたらす必要があり、3次産業であれば、個人情報が価値をもたらします。その際に経営方針が収益獲得を第一として、その他の倫理を排除するとBIGMOTORのような不正をもたらします。
営業電話をしつこくかける。見積もりに来た顧客が他社に買取をしようとした際に顧客になりすまして買取をキャンセルなどは、想定を超えていて該当する処罰規定がみつからないのですが問題行為です。
収益獲得の優先順位が高く、顧客の個人情報保護の優先順位が低い場合には、その企業に関わると個人情報の取り扱いはひどい可能性があります。
そう考えると、収益性の高さを表明している事業者が個人向けのサービスをしている場合には個人から多くを搾取しているという可能性が見えるわけで、ネットでの口コミを検索するとそれらしいことがわかりますBIGMOTORについても2022年にはネットニュース界隈では車検で車を壊して保険を水増ししていることは有名でした。
顧客のプライバシーからの収益化と保護のバランス
民間の事業者は収益確保が命題になっており、個人情報から利益を獲得しなければいけません。そのため、顧客のプライバシーからの収益化と保護のバランスを経営者が図らなければ、局所最適化をすすめるうちに、一線を越えてしまいます。個人データを利益に変えるビジネスをしているならば、プライバシーからの利益獲得と保護のバランスについての経営方針がないと継続成長は難しいでしょう。
ユーザーから見ると、プライバシーポリシーでプライバシー保護をトップが表明していない場合には、最新のあらゆるマーケティング手法からの攻撃がされる可能性やサービスでのコスト改善策がユーザーからみると改悪という現象になります。
個人情報保護法の順守だけ明記のプライバシーポリシー
個人情報保護法は最低限の禁止事項や安全管理義務などがありますが、厳しい基準ではそもそもありません。個人情報保護法の義務をまもっているが、デジタル社会の新しいテクノロジーに関して法的な義務が特にさだめられていない部分も存在します。
個人情報保護法はOECDのプライバシー8原則をベースとしてつくられましたが、事業者への過重な負担の配慮や国民性からOECDの各国よりも緩やかなものになっています。
法律上の個人の特定へのこだわりなどがあり、情報化社会への対応は遅れています。
個人情報保護は全産業を対象としているためザル法といわれるくらい大きな網目があるともいわれています。
法律全般に新しいテクノロジーへの対応は遅れてしまう
GDPRの水準になるように改正のたびに義務が追加されてゆく
コンプライアンス違反の企業と顧客満足企業の経営方針
日本の多い顧客満足の経営方針
日本では経営方針で「顧客満足」を取り入れている企業が多くあります。「顧客満足」のためのさまざまな取り組みをしていますし、経営方針のページでもアピールしています。経営方針として考えているものならば、企業なりの独自性や価値がそこに現れます。個人データの取り扱いでも、もしも経営の重要な要素として考えていたら「個人情報保護法の順守」とする方針は、個人情報保護法の最低限の義務だけは守らないといけないと考えていることがわかります。
経営者の方であれば法律順守のみの経営方針は部下に考えてもらって許可をしただけで内容に関知していないのではないでしょうか。その場合には経営者が個人情報保護法の内容を理解していたかも疑問になります。経営判断の際にプライバシー保護が抜けている可能性を指摘しています。
収益第一主義の経営方針のプライバシーポリシー
個人情報保護法を最低限にして、収益第一を維持する会社は、プライバシーポリシーでは個人情報保護法の内容のみを記載していると思われます。BIGMOTORのプライバシーポリシーは、まさにそれにあたっていました。プライバシーポリシーに取り扱い内容が混じったようなものでした。
実際には保険金の不正請求で保険業法や実施していない車検などの道路運送車両法などの法律違反の疑いがかかる状況になっています。顧客になりすまして他社の買い取りを妨害や顧客になりしまして保険契約をするのは個人情報保護法の違反でもあります。個人情報保護法の順守をしていれば、保険詐欺はしていないはずです。
BIGMOTORは、儲かる仕組みで増収増益のコンサルティングを経営方針にとりいれ、経営計画書を全社員に詠唱させていましたことも報道から明らかにになっています。プライバシーポリシーでは個人情報保護法の順守は公表していますが、実態はコンプライアンス < 収益の経営方針でした。
売上を誇る会社は収益第一主義の可能性も
ユーザーとして企業の個人情報保護の信頼度を評価する際に個人情報保護方針の順守のみを公表している企業は、経営者の優先順位事項にプライバシー保護が低い可能性があって、売上や成長にこだわりがある会社に個人情報を提供すると、それを支えるだけの購入やそのためのマーケティングアプローチやSNSで見かける「改悪」という収益強化のためのサービス変更が行われるかもしれません。
このような見方でウエブサイトをみると、個人情報保護法を順守としか公表していない事業者は、プライバシー保護に期待できないことがわかります。プライバシー意識が高いユーザーは口コミなどの確認とともにプライバシーポリシーなどの文書からも判断していると思います。
デジタル社会の人権を配慮したプライバシーポリシー
わたしたちの全てが情報化される時代
デジタル社会で新しいテクノロジーやユーザーアクティビティ情報や位置情報の利用などのデータを付加価値にすると同時にプライバシー問題も発生します。プライバシー侵害も価値も表裏一体なので、適切なバランスをとらないと深刻な事態を招きます。
デジタル社会のプライバシーは人権だということでつくられたのがGDPRなので、GDPRのプライバシー7原則を経営方針(プライバシーポリシー)に取り入れるとプライバシーリスクの抑止が期待できます。
プライバシーデータにはデジタル社会の人権保護
日本は幸運にも監視社会の一歩手前にいます。X(旧Twitter)は投稿情報のビックデータ分析をプライバシーポリシーの変更によって実現しようとしています。行動情報から本人認証は信用などの情報を得ることができます。デジタル社会のアクションやセンサー情報がトレースされてゆくため、プライバシーの情報を一般企業も扱う可能性が増えてきます。
皆さんの企業が顧客のプライバシーに侵入するつもりならば、ユーザーのプライバシー侵害への人権保護も考えておくべきです。その際にデータ利用を開発する責任者クラスやデータビジネスでの経営の実務判断する方などは戦略上のプライバシーポリシーが必要だと思います。
プライバシーポリシーは経営方針としてのアピールに
特定商取引法の公表ページは法的義務があります。項目なども定められております。プライバシーポリシーは法的義務の公表ページではありません。個人情報の取り扱いについての公表しなければならないことは後述するプライバシーステートメントです。
コーポレートサイトで企業の信用を高めるための経営理念のページのようにアピールもできます。プライバシーポリシーの内容が「個人情報保護法を最低限守る」というような、義務を守るのは当然なので何も言っていないのと一緒の方針から卒業しましょう。
いくつかのケースでのプライバシーポリシー
プライバシーマーク事業者の場合
プライバシーマークはJISQ15001:2017へ準拠のため、公表内容などの決まりがあります。プライバシーマークに必要な経営方針であるためそれは維持しましょう。外部向け方針や内部向け方針をつくることができます。個人情報保護法やJIS規格では新しいテクノロジーなど特にきまってない部分が多いので、その部分の補強とすることができます。
個人情報をあまり扱わないウエブサイトの場合
日本の280万社のほとんどが中小企業でウエブサイトが会社概要として利用しているが、業務では個人情報の取り扱いがない場合などもあると思います。GDPRの対応はデジタル社会でプライバシーに関わる個人データを扱う場合に人権配慮が必要ですが、個人情報の取り扱いがあまりないならば必要性はあまりありません。
ウエブサイトが会社概要としての機能を目的としてコンシューマーの個人情報を扱わない場合でも取引先が法人がある場合は発注元が個人情報保護の委託先監督責任があり委託先には個人情報保護ができる企業を評価して採用することが必要となっています。取引先の委託先評価の観点からプライバシーポリシーはあったほうが良いと思います。
起業したてでプライバシーポリシーがない場合
起業したてでウエブサイトを作る際に個人情報保護方針がない場合で個人情報を扱うビジネスでなければ、会社の信用をもってもらう観点ではプライバシーポリシーがあったほうが良いと思います。同業他社やプライバシーマーク事業者のポリシーをコピーして利用するのはやめておいたほうが良いと思います。公表内容が嘘になると問題なので注意が必要です。
ITベンチャーなどでウエブサイトを活用する事業者の場合には、法人が取引先の場合プライバシーマークを採用するとJIS規格のプライバシーポリシーができるため合理的です。プライバシーマークはITに特化しているわけではないため、ある程度成長したタイミングでプライバシーポリシーを考えてみるのが良いと思います。
プライバシー経営をはじめよう
プライバシーポリシーのリニューアル
ウエブサイトは社会環境の変化に合わせて定期的にリニューアルします。プライバシーポリシーは個人情報保護法の改定がなければリニューアルすることがないのではないでしょうか。
別の章でとりあげたベネッセコーポレーションは国内初のプライバシーポリシーによって業界5位から1位までブランドを高める成功をしましたが、日本の企業は経営理念ようにプライバシーポリシーを使うアイディアをもっている企業は少ないかもしれません。そこがチャンスです。
経営理念とリンクしたポリシー
あなたの企業が顧客満足の経営理念があって、顧客満足のための個人情報の取り扱いということを検討したうえでプライバシーポリシーを作っているならば、その取り組みは素晴らしいと思います。顧客満足を考えているならば、プライバシーの配慮がなければ満足するわけがありません。経営方針の実現させるために個人のプライバシーにどこまで収益化するか保護するか、また、付加価値を提供するためにプライバシー情報を扱うことにするのかなども密接な関わりがあります。
経営理念の柱とともにプライバシー原則があれば、これからの新しいテクノロジーなどの対応もできます。プライバシー原則をもととしていない場合にはリニューアルによって改善の価値が期待できます。
法律対応に用意したポリシー
個人情報保護法の義務だけの対応では、GDPRのプライバシー保護を経験しているユーザーに対しては不足していると思います。個人情報保護法の対応として、経営理念や経営方針であることを認識せずに、法令や競合他社を参考にしてつくったのであれば、リニューアルする価値があると思います。
社会変化でプライバシーのコンセンサスを得るために
プライバシーポリシーは経営方針なので、個人情報から価値を産みだす新しいビジネスであれば、時代の変化の際の行動指針は必要です。ChatGPTを取り入れたビジネスをするかどうかについて、EUではGDPRやAI法となるようなプライバシーリスクがあります。
また、中国への進出か撤退かは、プライバシーリスクの高さからOECD各国が距離を置いています。それのように経営指針は必要だと思います。経営者がプライバシーについて判断できる情報を持って経営方針を立てれば良いと思います。
デジタル社会のソリューションがプライバシーリスクの高いものや地政学リスクなどもあり、平和な社会とはちがった経営判断が求められます。プライバシーに関わる情報収集はもとより、本来的な経営方針としてプライバシーポリシーが必要な時代ともいえます。
個人情報保護の経営方針ですが、経営企画部門や事業開発部門の責任者がプライバシーをわかったうえで、プライバシーポリシーを策定して承認してもらうのは一般的です。プライバシーポリシーのリニューアルによって、全社のコンセンサスがとれれば、炎上必死のサービス開発などは予防できそうです。
個人情報を扱うことが少なく、先端技術の利用もない事業でしたら、プライバシーポリシーは個人情報保護法の義務を守ろうという内容でも良いかもしれません。プライバシーリスクが無いなら、経営方針の重要事項としないのは自然なことです。
ポジション別のアドバイス
代表者や役員の方
これをお読みになっている方が経営者であった場合には、データから新たな付加価値のある稟議に収益と同時にあるプライバシーリスクの事前検討できる組織にしたほうが良いですよね。プライバシーリスクは炎上しトップがいきなり謝罪会見につながるような深刻なものになります。
BIGMOTORのように収益第一で個人情報の不正利用などがあっては困るため、ユーザーのプライバシーについて重要性は認識させておいたほうが良いと思います。デジタル社会の新たなビジネスを検討している場合には、ビジネスのスキームの開発責任者クラスやデータ運用責任者などにプライバシーリテラシーを高めておいたほうが良いと思います。データの収益化を考える人の頭にはプライバシーはありません。かなり危険なアイディアを持っていることが多いため、市場投入後に大炎上もあります。
経営者としては、GDPRのプライバシー原則の中身までの理解はしなくても、開発部門などは知っていないと危ないので、責任者クラスのGDPRの教育とポリシーのリニューアルを指示すれば良いと思います。
経営者自身が経営理念としてプライバシーにつよくなりたい場合には、経営者も含めたプロジェクトチームでプライバシーポリシーをリニューアルする
新しいテクノロジーやプライバシーデータのビジネスの責任者クラスのプロジェクトでプライバシーポリシーのリニューアルの提案をさせる
ウエブサイト部門の方
これを読まれた方がウエブサイトの部門の方であった場合、経営理念があり顧客満足であるとか顧客を大事に考えている場合には、データ取り扱いの顧客満足にはGDPRのプライバシー原則が必要なので、経営企画室などの当該部門にプライバシーポリシーのリニューアルという方法があることを伝えるのが良いと思います。
ウエブサイト部門として、アプリからアクティビティ情報や位置情報の収集や店舗での購入データとの統合とか、デジタルマーケティングやCRM、AIの採用などデータから収益につながる活動をする場合にその開発のプライバシーの責任がどこにあるのかを明確にしないと危険です。
リクルートキャリアなどは顧客ソリューションのAIを開発して内定辞退率を販売したところ、個人情報の不適正な利用として行政指導になりました。会社全体の問題ですが、開発部門や運用部門は会社や代表者に深刻な問題を与えました。社長は謝罪会見で涙を流しておりましたが、プライバシー責任者が不在だからと理由を述べていました。その指示のプライバシー責任がウエブサイト部門であるとあなたは責任から免れません。開発および事業部門の責任クラスがノンポリシーだと問題です。
ウエブサイトが事業の収益の柱になっていて、個人から収益をあげる方法としてAIなどの新しいテクノロジー、コミュニケーションツールや外部ツールを考えている場合には採用検討の方針などポリシーの必要性があると思います。
ウエブサイト事業部門が個人情報の取り扱いがあまりないが会社の信用度をあげたい場合には経営理念とプライバシー原則を反映したプライバシーポリシーの開発が良いと思います。それを望んでいなければリニューアルをしなくても良いと思います。
広告代理店・ウエブ制作会社の方
これを読まれた方が、広告代理店やウェブサイト制作会社などでウェブサイトリニューアルの制作の案件がある場合には、ウエブサイトにはプライバシーポリシーよりもプライバシーステートメントが必要であるため、プライバシーポリシーが現状として存在しなくても不要といいましょう。
ウエブサイトのリニューアル提案ではないが、プライバシーに関して不安がある事業者で、法律の義務しかないようなプライバシーポリシーであった場合には、「プライバシーポリシーもリニューアルできます」と提案をしてみましょう。
個人情報を扱うウエブサイトのリニューアル提案では、プライバシーポリシーは法的義務がなく、プライバシーステートメントが非常に重要です。予算の合理的な配分からもプライバシーポリシーのリニューアルを提案する必要はありません。
クライアントからChatGPTの導入やオフラインとリアルのデータの利用を開発などのプライバシー活用不安の相談がある場合には部門向けのポリシーがあると良いと思います。
広告代理店もウエブ制作会社でクライアントの課題にプライバシーの不安があった場合には。STEKWIRED PRIVACY Divisionにご相談いただければ、実務は全てこちらがおこない、広告代理店・ウエブ制作会社経由の請求で対応します。
ウエブサイトの個人情報の責任がある方
自社のプライバシーポリシーをユーザーが読んだことを想像した際に、個人情報保護の期待がされない場合や実態と内容が異なるなどのプライバシーポリシーのリニューアルをしたほうが良いかもしれないとご不安があるかたは、当社のプライバシー支援部門がオンラインで個別相談会を実施しますので、ご相談内容をお送りください。オンラインにてご相談をお受けします。
note読者法人向け プライバシーリスク個別相談会
note読者法人向け プライバシーリスク個別相談会フォーム
note読者法人向け プライバシーリスク メール相談
note読者法人向け プライバシーリスク メール相談フォーム
一般ユーザーの方
当社では一般ユーザーの方向けの支援をしていないので個別のアドバイスを行うことができませんが、お読みいただいたご縁がありましたので少しだけ。
企業のウエブサイトで経営理念のページやSDGsなどのページの装飾に力を入れている企業を見かけると思います。プライバシーポリシーも経営方針にプライバシーがあれば、経営関連部門がそのような対策をすると思います。個人情報保護法があるため法律用語があって読みにくいものがありますが、GoogleやApple、instagram、Facebookなどの企業はそれでもユーザーに理解してもらうためのプライバシーページを多層構造で持っています。
ユーザーにむけたその姿勢が経営方針であるので、国内サービスでプライバシーポリシーのページがわかりにくい場合には、経営方針としてプライバシーの優先順位が高くない可能性があります。自分のプライバシー情報はどう悪用されるかわからないため他人に知られたくない情報などを預けられる企業を選びましょう。ユーザーが関心を持つことで企業は優先順位を改めることができます。