3 個人情報保護方針(プライバシーポリシー) 個人情報の取り扱いの説明は、なぜあんなに難しいのですか。
こーほうは、スマホでお買い物をしようとした際、個人情報保護方針(プライバシーポリシー)を読んで「利用規約に同意する」にチェックマークを付けるように促されました。しかし、難しい文字が並んでいる上に、長くて読む気になれないようです。また、「Cookie(クッキー)に同意しますか?」と表示されましたが、「同意する」を選んで良いかどうかも分かりません。
こーほうのように、個人情報保護方針(プライバシーポリシー)への同意が求められたが、文字だらけで読む気が起きない、記載されている言葉が難しく理解できない、といった経験をした方も少なくないのではないでしょうか。
生活者の方からも「“利用規約”などを分かりやすくユーザーに提示すべく、その表出方法や表現を改善すべきではないか」との声が寄せられています。
この項目では、個人情報保護方針(プライバシーポリシー)を理解する上でのヒントや、表現を分かりやすく工夫している企業のサイトなどを紹介します。また、WEBサイトを使用する際、頻繁に聞かれる「クッキー」について解説しているサイトも紹介していきます。
もくじ
みんな、個人情報保護方針(プライバシーポリシー)を読んで理解できているのですか。
個人データがどのように取り扱われているかについて理解するためのキーとなるのが、個人データを提供する際に示された個人情報保護方針(プライバシーポリシー)です。
経済広報センターが、2020年11月に社会広聴会員を対象に実施した、「DXに関する意識調査」によれば、個人情報を記入、あるいは入力する際に、企業が提示する個人情報取扱規約などを読んでいるか否かを聞いたところ、「毎回読んでいる」「たまに読んでいる」人が53%、「ほとんど読まない」「全く読まない」人が48%となりました。
このうち、「ほとんど読まない」「全く読まない」と回答した人(48%)に読まない理由を聞いたところ、「文字量が多く、読んでいる時間がない」(74%)、次いで、「形式上のことだと割り切っている」(48%)、「どの企業も同じような内容なので読む必要がない」(30%)、「専門用語が多く、よく分からない」(28%)となっています(複数回答可)。文字量が多く、専門用語が分からないので読まないとの回答も少なくなく、個人情報保護方針(プライバシーポリシー)について、読みやすくしていくことが期待されます。
経済広報センターのアンケートの概要についてはこちらから。
https://www.kkc.or.jp/data/question/00000121.pdf
(PDF/P.14~18)
個人情報の取り扱いを分かりやすく説明してほしいのですが。
経団連の「個人データ適正利用経営宣言」においては、透明かつ平易なプライバシーポリシーを策定・開示するとされています。
SOMPOホールディングスの「SOMPOグループ プライバシー・ポリシー」や住友商事の「プライバシー・ポリシー」は、プライバシーポリシーそのものが短くまとめられており、詳細は、別の資料を参照する形となっています。
また、LINEヤフーの「LINEヤフー プライバシーセンター」では、「データの取り扱い」、「データを守る体制」、「データの利用目的」という3つの項目に分けて、パーソナルデータの取り扱いについて分かりやすく解説しています。
また、平易な個人情報保護方針(プライバシーポリシー)などとともに、その中のどの部分が個人にとって重要であるかに関する情報も有益です。
日本情報経済社会推進協会(JIPDEC)のプライバシーマーク制度講座「4時間目『個人情報』と私たちの暮らし」においても、日常生活の様々な場面で見られる「個人情報」との関わりを、家庭内での会話を通じて具体的に考えることができるようになっています。
さらに、NTTデータは、「情報銀行の仕組みを活用した個人によるパーソナルデータ提供に関する同意管理サービスの実証実験」を2020年5月7日より開始し、個人情報取扱規約に同意するかどうかの判断を助けるための指標値「安全値」を作成して、その有用性を検証しています。「安全値」とは、「パーソナルデータの取り扱い方針の明瞭性や、扱うパーソナルデータの種類・共有範囲などの観点で、パーソナルデータの取り扱いに関する安全度合いを表す値として作成しました。値が高ければ高いほど、記載に曖昧性がなく、取得項目や提供先が限定されており、安全性が高いことを表しています」としています。
文中のリンクまとめ
個人情報保護方針(プライバシーポリシー)が簡潔、あるいは分かりやすく説明されている企業のWEBサイト
SOMPOグループ
住友商事
LINEヤフー
個人情報保護方針(プライバシーポリシー)などを理解する上で、ヒントとなるWEBサイト
JIPDEC
NTTデータ
未成年は理解が難しいと思うのですが。
個人情報保護方針(プライバシーポリシー)を読んでも理解できないおそれのある未成年からの同意取得には、保護者の同意を得るよう呼び掛けている企業があります。
エステーの「個人情報のお取扱いについて」では、「未成年のお客様は、保護者の同意を得て個人情報の提供を行ってください」としています。
文中のリンクまとめ
更新 よく同意を求められる「Cookie(クッキー)」ってなんですか。
これまでは、個人情報を中心に参考となるサイトなどを紹介してきましたが、個人が同意を求められるケースは個人情報に関するものとは限りません。例えば、WEBサイトを閲覧する際に「クッキーを有効にしますか?」と聞かれることがありますが、クッキーについて十分に理解していない人も少なくないと思われます。
クッキーとは、ソニーネットワークコミュニケーションズ So-netセキュリティ通信「有効にしても大丈夫?ネットで見かける『クッキー』の仕組み」では、「Cookie(クッキー)はWEBサイトへのアクセスを行なった際に、サイト側が同じ人が再訪してきたときにわかるように、訪問者のデバイスに残しておくデータのことです」とされています。また、KDDI「Time&Space」「初心者でもわかる『Cookie(クッキー)』講座 危険性やスマホでの設定方法もズバリ解説」では、「Cookie(クッキー)とは、あなたが見ているWebサイトからあなたのスマホやPC内のブラウザに保存される情報のことだ。そこにはサイトを訪れた日時や、訪問回数など、さまざまな内容が記録されている」と記されています。
文中のリンクまとめ
「クッキー」の仕組みに関するWEBサイト
ソニーネットワークコミュニケーションズ So-netセキュリティ通信
KDDI「Time&Space」
クッキーと個人情報の関係については、住友商事の「ウェブサイトにおける個人情報の取り扱いについて」では、「クッキーとは、ウェブサーバーからお客様のブラウザにデータを送信し、その内容を参照する機能ですが、お客様の個人情報を収集するものではありません。また、お使いのブラウザの設定によって、クッキーの機能を無効にすることができます」と記されています。
また、アサヒグループホールディングス「Cookie等の使用について 2. 行動ターゲティング広告」の項目の中では、「ユーザデータを、お客様の趣向等を分析し、その結果に応じた広告の配信等を行うために利用することがあります。」とするとともに、「お客様がクッキー等を利用した行動ターゲティング広告の配信や、各種データの収集を希望されない場合」の配信停止方法を明らかにしています。
ウシオ電機のホームページでは、初回に閲覧した際に、クッキーの使用に「同意する」と「同意しない」の2つのボタンが表示されます。「同意しない」を選択すると、「ウシオ電機株式会社Cookieポリシー」に自動的に移動する仕組みになっており、その中で「お客様は必ずしもクッキーの使用を承諾する必要はなく、同意した場合でもいつでも取り消すことができます」とするとともに、「クッキーを承諾しないか、これを削除した場合、本サイトの一定のエリアでは、動作に時間を要するか、正常に動作しない場合があります」としています。
出典:ウシオ電機株式会社
クッキーについては、第三者に提供され、第三者の有する情報と突き合わせて、個人が特定されるようなケースがあることも指摘されており、2022年4月に施行された改正個人情報保護法では、「生存する個人に関する情報で、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」を「個人関連情報」と定義し、例として、「クッキー等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴など」があげられています。(個人情報保護委員会 「中小企業向け はじめての個人情報保護法~シンプルレッスン~」PDF/P.12)
「個人関連情報」については、「提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認」が義務づけられています。(個人情報保護委員会「 個人情報の保護に関する法律等の一部を改正する法律(概要)」)
NTTデータのホームページでは、初回に閲覧した際に、「クッキーの設定」と「すべてのクッキーを受け入れる」の2つのボタンが表示され、「クッキーの設定」をクリックすると、クッキーの種類(ターゲティング広告など)ごとに許可と拒否を選択することができるようになっています。カーソルを右側へスライドさせると「許可」、左側にスライドさせると「拒否」を選択することになります。(クッキーの種類ごとのアラート画像)
出典:NTTデータ
このように、最近は、クッキーの種類ごとに、同意か拒否かを確認する企業も増えています。
また、NTT東日本はプライバシーポリシーで、個人関連情報を提供する場合と個人関連情報を個人データとして取得する場合の取り扱いについて明示しており、「提供先の第三者が個人関連情報を個人データとして取得するときは原則としてお客様本人からあらかじめ同意を得ていることを確認することなく、第三者へ個人関連情報を提供しません。」と定めています。
また、2023年6月に施行された改正電気通信事業法では、メッセージ媒介サービス、SNS、検索サービス、ホームページの運用などの「利用者の利益に及ぼす影響が少なくない電気通信役務」を提供するものが、利用者の端末に対して、クッキーなどの利用者の端末に記録された利用者に関する情報を外部に送信させる場合には、送信する情報の内容や送信先などについて、利用者に確認の機会を付与しなければならないとされています。(総務省「自分に関する情報が第三者に送信される場合、自身で確認できるようになります。」「外部送信規律FAQ」問1-1、1-3、1-9)
個人情報に限らず、個人に関するデータに関連して同意が求められる場合、それが何を意味するかに関しても分かりやすい情報の発信が求められます。
文中のリンクまとめ