トピックス

2018.11.26
NEWS

【GDPR】GDPRに基づくプライバシノーティス・プライバシーポリシー(モデル例も参考に)

(執筆者:渡邉雅之

以下では、2018年5月25日に施行されたEUのGeneral Data Protection Regulations(GDPR)における、
管理者によるデータ主体への通知(プライバシーノーティス・プライバシーポリシー)についてのルールについて説明をいたします。

モデル例である「GDPRプライバシーポリシー」もご覧ください。

(仮訳)
GDPRの地理的適用範囲に関するガイドライン(仮訳)

(モデル例)
個人情報取扱規程(補完的ルール対応)
匿名加工情報取扱規程(補完的ルール対応)
GDPRプライバシーポリシー

(連載)
【GDPR】GDPRに基づくプライバシノーティス・プライバシーポリシー(モデル例も参考に)
【GDPR】十分性認定と個人情報保護委員会の補完的ルール(補完的ルールに基づく個人情報取扱規程・匿名加工情報等取扱規程のモデル例も)
【GDPR】日本企業のGDPRに対する対応(総論)
【GDPR】GDPRにおける個人データ
【GDPR】「地理的適用範囲に関するガイドライン」の仮訳


【概要】
 データ主体への通知については、①簡潔で、透明で、分かりやすく、容易にアクセス可能でなければなりません。②明瞭かつ平易な文言を使用しなければなりません。③明瞭かつ平易な文言の要件は、子供に情報を提供する場合に重要です。④書面で、または適切な場合は電子的手段その他の手段によって行われなければなりません。⑤データ主体が要求する場合、口頭で提供することができます。⑥一般的に無償で提供されなければなりません。また、データ主体から個人データを直接取得する場合、間接的に取得する場合の情報提供の方法について、その内容や提供時期について定められています。

 
1.データ主体の権利行使のための透明性のある情報、通知及び手続
(1)データ主体への通知に関する透明性の原則
 GDPR5条1項(a)号に規定される「透明性の原則」は、処理のライフサイクル全体にわたるものであり、また、処理の法的根拠にかかわらず適用されます。このことは、データ処理サイクルの以下の場合において、透明性が適用される旨を定める第12条において示されています(29条委員会の「透明性原則ガイドライン」[1] 5項)。
  • データ処理サイクルの開始前または開始時、すなわち、個人データがデータ主体から収集されているか、または他の方法で収集されている場合
  • 処理期間全体にわたって、すなわち、データ主体とその権利について通信する場合
  • 処理が進行中の特定の時点、例えばデータ侵害が発生した場合や処理の重大な変更が生じた場合
 
GDPR12条は、下記規定に適用される一般規則を定めています。
  • データ主体への情報提供(GDPR13条~14条)
  • 権利行使に関するデータ主体とのコミュニケーション(GDPR15条〜22条)
  • データ主体への個人データ侵害の通知(第34条)。
 
データ主体は、処理の範囲と結果がどのようなものであるかを事前に判断できなければならず、後になって彼らの個人データがどのように使用されたかについて驚くことがないようにしなければなりません。これはまた、GDPR第5.1条に基づく公正性の原則の重要な側面であり、実際に前文39項においては、「自然人は、個人データの処理に関してリスク、規則、保護手段および権利を認識すべきである 」とされています。特に、複雑で技術的または予期せぬデータ処理のために、GDPR13条および14条に規定された情報を提供すると同時に、管理者は、処理の最も重要な結果がどのようなものになるのか、言い換えれば、プライバシー・ステートメント/ノーティスに記載されている特定の処理が実際にデータ主体に及ぼす影響はどのようなものであるかについて、独立して、明確にする必要があります。(透明性原則ガイドライン10項)
管理者は、対象となる情報またはコミュニケーションが以下の規則に従わなければなりません。(GDPR12条1項、5項、透明性原則ガイドライン7項)
  • 簡潔で(concise)、透明で(transparent)、分かりやすく(intelligible)、容易にアクセス可能(easily accessible)でなければならない(第12条1項)。
  • 明瞭かつ平易な文言(clear and plain language)を使用しなければならない(第12条1項)。
  • 明瞭かつ平易な文言の要件は、子供に情報を提供する場合に重要である(第12条1項)。
  • 書面で、または適切な場合は電子的手段その他の手段によって行われなければならない(12条1項)。
  • データ主体が要求する場合、口頭で提供することができる(第12条1項)。
  • 一般的に無償で提供されなければならない(第12条5項)
 以下では、これらの各要素に関してどのようなことが要求されるか解説いたします。
 
(2)簡潔かつ透明であること(concise and transparent)(GDPR12条1項・透明性原則ガイドライン8項)
  データ主体への情報提供とデータ通信が「簡潔かつ透明」(concise and transparent)に行われるという要件は、個人データの管理者が情報疲労を避けるために情報/通信を効率的かつ簡潔に提示すべきであることを意味します。この情報は、契約条項や一般的な利用規約など、他の非プライバシー関連情報とは明確に区別する必要があります。オンラインの文脈では、階層化されたプライバシー・ステートメント/ノーティスを使用することにより、データ主体が、プライバシー・ステートメント/ノーティスの特定のセクションにナビゲートすることが可能になり、特定の問題を検索する大量のテキストをスクロールしなくても済むようにするものです。
(3)分かりやすいこと(intelligible)(GDPR12条1項・透明性原則ガイドライン10項)
  情報が「分かりやすい」(intelligible)という要件は、それが意図された視聴者の平均的なメンバーによって理解されるべきであることを意味します。理解度は、明確で平易な言葉を使用するという要件に密接に関連しています。説明責任のある管理者は、情報を収集する人々についての知識を持ち、この知識を使用して、そのデータ主体が何を理解するかを判断することができます。例えば、職業専門家の個人データを収集する管理者は、子供の個人データを取得する管理者よりも理解度が高いと考えることができます。管理者が情報の分かりやすさと透明性のレベルとユーザー・インターフェイス/通知/ポリシーなどの有効性について不確かである場合、ユーザーパネル、可読性テスト、業界団体、消費者擁護団体、規制当局、適切な場合はその他の団体との間での公式および非公式のやりとりや対話などのメカニズムを通じてこれらをテストできます。
(4)容易にアクセス可能であること(easily accessible)(GDPR12条1項・透明性原則ガイドライン11項)
  「容易にアクセス可能であること」という要素は、データ主体が情報を探す必要がないことを意味します。 この情報にどこにどのようにアクセスできるかは、すぐに明らかになります。たとえば、情報を直接提供する、リンクする、明示的に告げる、自然言語の質問に答えるなどがあります。
例えば、オンラインで階層化されたプライバシー・ステートメント/ノーティスFAQデータ件名がオンライン形式で記入されたときに稼働するコンテクスト・ポップアップ、またはチャットボット・インターフェースを介した双方向的なデジタルコンテクストによるものがあります。
 
具体例
  • ウェブサイトを管理しているすべての組織は、ウェブサイト上にプライバシー・ステートメント/ノーティスを公開する必要があります。 このプライバシー・ステートメント/ノーティスへの直接リンクは、一般的に使用される用語(「プライバシー」、「プライバシーポリシー」、「データ保護通知」など)の下でこのウェブサイトのページを開きます。 テキストやリンクを目立たないようにする、またはウェブページ上で見つけるのが難しい位置付けや配色は、「容易にアクセスできる」とは考えられません。
  • アプリの場合、ダウンロードする前にオンラインストアから必要な情報を入手する必要があります。 アプリをインストールしたら、アプリ内から情報に簡単にアクセスできる必要があります。 この要件を満たす1つの方法は、情報が「2回タップ離れた」ものではないこと(例えば、アプリのメニュー機能に「プライバシー」/「データ保護」オプションを含めるなど)を保証することです。 さらに、対象のプライバシー情報は、特定のアプリに固有のものでなければならず、アプリを所有しているそれを公開している会社の一般的なプライバシーポリシーであってはなりません。
  • オンラインにおける個人データの収集時点で、プライバシー・ステートメント/ノーティスへのリンクが提供されているか、またはこの情報が、個人データが収集された同じページで利用可能になることがベストプラクティスです。
 
(5)明瞭かつ平易な文言(clear and plain language)(GDPR12条1項・透明性原則ガイドライン12項)
  書面による情報(および書面による情報が口頭で提供される場合、または視覚障害のあるデータ科目を含むオーディオ/オーディオビジュアルの方法によって)は、明確な執筆のベストプラクティスに従うべきです。従前からEUの立法者によって同様の文言要件(「明瞭かつ平易な文言」)が使用されており、GDPRの前文42項の同意の文脈で明示的に言及されています。「明瞭且つ平易な文言」の要件は、複雑な文章や言語の構造を避けて、できるだけシンプルに情報を提供することを意味します。 情報は具体的かつ決定的でなければなりません。抽象的または相反する用語で表現されるべきではなく、異なる解釈のための余地を残すべきはありません。 特に、個人データの処理の目的と法的根拠は明確でなければなりません。
 
〇不十分な実践例
以下の表現は、処理の目的に関しては十分に明確ではありません。
  • 「個人情報を使用して新しいサービスを開発することができます」(「サービス」とは何か、またはデータがサービスを開発する上でどのように役立つかは不明です)。
  • 「私たちは研究目的であなたの個人データを使用することができます(これがどのような「調査」の種類であるかは不明です)。
  • 「個人向けのサービスを提供するためにお客様の個人データを使用することがあります」(「個人向けの」が何を意味するのかは不明です)。
 
優れた実践例
  • 「あなたのショッピング履歴を保持し、以前に購入した製品の詳細を使用して、他の製品についてもあなたが興味を持っていると思われるものを提案する」(どのような種類のデータが処理されるのか、データサブジェクトは製品のターゲット広告の対象となり、そのデータはこれを可能にするために使用されます。)
  • 「当社は、あなたの最近のウェブサイトへの訪問に関する情報およびあなたが当社のウェブサイトのさまざまなセクションをどのように移動するかに関する情報を、人々がどのように当社のウェブサイトを利用しているかについて理解し、それがより分かりやすくするという分析目的のために保有し評価いたします。」(どの種類のデータが処理されるのか、管理者が実行する分析の種類が明確です)。
  • 「当社はあなたがクリックしたウェブサイト上の記事を記録し、その情報を、あなたが読まれた記事に基づいて特定したあなたの興味に関連するウェブサイト広告をお送りするために利用します。」(パーソナライゼーション(特定の個人に向けたものにしていること)が何を伴うのか、データ主体が有する興味がどのように識別されたのかが明らかです。)
「may」(かもしれない)、「might」(だろう)、「some」(いくつかの)、「often」(しばしば)および「possible」(可能性がある)などの言語修飾子も避ける必要があります。管理者が不確定な文言を使用する場合、アカウンタビリティ(説明責任)の原則に従って、そのような言語の使用を避けられない理由と処理の公正さを損なうことがないのかを示すことができます。段落と文章は、階層的な関係を示すために箇条書きとインデントを利用して、うまく構成されていなければなりません。文章は受動的な文章ではなく主体的な文章にする必要があり余分な名詞は避けるべきです。データ主体に提供される情報は、過度の法律、技術または専門用語または用語を含むべきではありません。情報が1つまたは複数の他の言語に翻訳される場合、管理者は、すべての翻訳が正確であること、および翻訳された文章を解読し、再解釈する必要がないように、言い回しおよび構文が第2言語で意味をなすことを確保する必要があります。(管理者がそれらの言語を話すデータ主体を対象とする場合は、1つ以上の他の言語の翻訳を提供する必要があります。)
 
(6)子どもや弱者に対して情報を提供する場合(GDPR12条1項・透明性原則ガイドライン14項・15項)
 管理者が子供を対象としている場合、または子どもがその商品/サービスを特に利用していることを認識している場合(管理者が子供の同意を得ている場合を含む)、使用される言語の語彙、トーン、スタイルが子どもに適切であり、共鳴することを確保にした上で、子どもである受信者がメッセージ/情報が自らに向けられていることを認識できるようにする必要があります。大人向けの法律的な言語の用法の代わりに使用される児童中心言語の有用な例は、「子どもに優しい言語における子供の権利に関する国連条約」に記載されています。
 透明性の原則は、大人に適用されるだけでなく、子供にも同様に適用される自立的な権利です。特に、GDPR8条(情報社会サービスに関する子どもの同意に対して適用される条件)が適用される状況において親権者が同意を与えることとされているため、子供たちが透明性のデータ主題としての権利を失わないことを強調しています。そのような同意は、多くの場合、親権者によって一時的に与えられたり許可されたりしますが、子ども(他のデータ主体と同様に)は、管理者との継続的な取り組みを通じて透明性を維持する権利を有し続けます。これは、子供がすべての種類の情報やアイデアを求め、受け取り、伝える権利を含む表現の自由の権利を有すると規定している、国連子どもの権利条約第13条と一致しています。特定の年齢のときに子どものために同意を提供する一方、GDPR8条では、同意を与える親権者に指示される透明性の措置は規定されていないことに留意する必要があります。したがって、管理者は、GDPR12条1項の子どもに宛てた透明性措置の具体的な言及に従う義務を負い(これは前文第38項および第58項からも明らかです。)、子どもを対象とする場所、または子どもが特に商品やサービスを利用していることを認識しているあらゆる情報とコミュニケーションが、明確で平易な言葉で、あるいは子供が容易に理解できるような媒体で伝えられるべきであるということを認識しなければなりません。しかしながら、非常に幼い子供や読み書きを覚える前の子供の場合、ほとんどの場合、透明性に関する最も基本的な書面または口頭によるメッセージを理解することができないので、透明性措置は、親権者に対して行われる可能性があります。GDPR8条が適用される状況において親権者によって与えられるからといって、子どもたちは透明性のデータ主体としての権利を失われません。
(7)書面またはその他の手段によって(GDPR12条1項・透明性原則ガイドライン17項~19項)
GDPR12条1項に基づき、データ主体への情報提供または通信対象者とのコミュニケーションの標準は、その情報が書面であることです。しかし、GDPRにおいては、電子手段を含む他の不特定の「手段」も使用することを認めています。管理者がウェブサイトを有する(またはその一部または全部を通って運営する)場合、ウェブサイトの訪問者が特定のプライバシー・ステートメント/プライバシー・ノーティスのうち、彼らが最も関心のあるものに案内することが可能である階層的なプライバシー・ステートメント/ノーティスを用いることが推奨されます。
しかし、データ主体宛の情報全体も、(デジタル形式であろうと紙形式であろうと)1つの場所またはデータ主体が簡単にアクセスできる完全な1つの文書で利用可能でなければなりません。重要なのは、階層化アプローチの使用は、データ主体に情報を提供するための書面による電子的手段にのみ限定されるものではありません。データ主体への情報の提供に対する階層化アプローチは、処理に関して透明性を確保するための方法の組み合わせを使用することによって利用することもできます。
 もちろん、デジタル階層化されたプライバシー・ステートメント/ノーティスの使用は、管理者によって配備される唯一の書面による電子的手段ではありません。 他の電子手段としては、適時(just-in-time)のポップアップ通知、3Dタッチまたはホバーオーバー通知、およびプライバシー・ダッシュボードが含まれます。
階層化されたプライバシー・ステートメント/ステートメントに加えて使用される非電子的な手段には、ビデオ、スマートフォン、またはIoT音声アラートが含まれる可能性があります。必ずしも電子的ではない「その他の手段」には、例えば、漫画、解析画像またはフローチャートが含まれるかもしれません。透明性の情報が特に子供に向けられている場合には、管理者は、子どもが特にどのような種類の措置を理解できるかを考慮する必要があります(具体的には、特に、漫画、絵文字、アニメよる方法があります。)。
 情報を提供するために選択された方法が、特定の状況、すなわち管理者およびデータ主体が相互作用する方法またはデータ主体の情報が収集される方法に適切であることが重要です。たとえば、オンラインのプライバシー・ステートメント/ノーティスなどの電子書式形式で情報を提供するだけでは、個人情報を取り込むデバイスに、そのデバイスにアクセスするための画面(IoTデバイスやスマートデバイスなど)がない場合、適切でないあるいは実行可能でない可能性があります。そのような場合の適切な代替手段は、ハードコピーの処理説明書にプライバシー・ステートメント/ノーティスを提示するか、オンラインのプライバシー・ステートメント/ノーティスを行うことができるURLウェブサイトアドレス(すなわち、ウェブサイト上の特定のページ)を提示するなど、ハードコピーの指示書またはパッケージに記載することです。スクリーンがないデバイスがオーディオ機能を有する場合、情報の音声(口頭)配信も追加的に提供されることができます。
(8)情報提供を口頭でする場合(GDPR12条1項・透明性原則ガイドライン20項・21項)
データ主体の身元が他の手段によって確認されている場合は、情報が要求に応じてデータ主体に口頭で提供されることを特に意図しています。すなわち、使用される手段は、特定の人物であることを個人が単なる主張するもの以上のものでなければならず、その手段は管理者がデータ主体の身元を十分な保証の下で確認できるようにすべきです。情報提供の前にデータ主体の身元を確認する要件は、GDPR15条から22条および34条に基づく権利の特定のデータ主体による行使に関連する情報にのみ適用されます。
口頭情報の提供に対するこれらの前提条件は、GDPR13条および14条に基づいて要求される情報に(その身元について管理者が検証する立場にない)将来の利用者/顧客がアクセスできるようにする必要があるため、GDPR13条および14条に概説される一般的なプライバシー情報の提供には適用されません。したがって、第13条および第14条に基づいて提供される情報は、データ主体の身元が確認されることを要求する管理者なしで口頭の手段によって提供されてもよいのです。
GDPR13条および14条に基づいて必要とされる情報の口頭提供は、必ずしも個人間で(すなわち、人または電話で)提供される口頭情報を意味するものではありません。書面による手段に加えて、自動的な口頭情報を提供することができます。例えば、これは、上述したように、視覚障害を有する者が、情報社会サービス提供者と対話するとき、または画面のないスマートデバイスを用いる際に適用することができます。管理者がデータ主体に口頭で情報を提供することを選択した場合、またはデータ主体が口頭情報または通信の提供を要求する場合、管理者がデータ主体に事前記録されたメッセージを再度聞くことを許容しなければなりません。これは、口頭情報の要求が、視覚障害のあるデータ主体または書面形式で情報にアクセスしたり、理解しにくい他のデータ主体に関する場合には不可欠です。管理者は、(説明責任を果たすために)、(i)口頭での情報の要求、(ii)データ主体の身元を確認した方法、および(iii)情報がデータ主体に提供されたという事実について、記録していることを確認する必要があります。
(9)無償で提供されること(GDPR12条5項、透明性原則ガイドライン22項)
 22. 第12.5条においては、管理者は、第13条および第14条に基づく情報の提供、または第15条から第22条(データ主題の権利に関する)と第34条(データ主体へのデータ侵害)に基づく通信及び措置のためにデータ主体に対して一般的に手数料を請求することはできないこととされています。透明性のこの側面は、透明性の要件の下で提供される情報が、サービスや商品の支払いや購入など、金融取引の条件とすることができないことも意味します。
 
2 データ主体に提供される情報(GDPR13条および14条)
(1)内容(GDPR13条1項・2項、14条1項・2項、透明性原則ガイドライン23項・附表)
 GDPRは、データ主体から収集される(GDPR13条)、または別の情報源から取得される(GDPR14条)個人データの処理に関して、データ主体に提供されなければならない情報のカテゴリを列挙しています。これらに関するガイドラインの附表は、第13条および第14条に基づいて提供されなければならない情報の種類を要約しています。また、これらの要件の性質、範囲および内容も考慮します。明快にするために、29条委員会としては、第13条及び第14条の第1条及び第2項の下で提供されるべき情報の間には差異がないと考えています。 これらの条項の情報はすべて同じ重要性を持ち、データ主体に提供されなければなりません。
 
〇GDPR13条・14条に基づきデータ主体に提供しなければならない情報
必要となる情報の種類 関連条文(個人データが直接データ主体から取得される場合 関連条文(個人データがデータ主体から取得されない場合) 29条委員会が要求する情報の要件
管理者(および代理人)の本人特定事項および連絡先 13条1(a)項 14条1項(a) この情報は、管理者の容易な識別を可能にし、可能であれば、データ主体との様々な形態の通信(電話番号、電子メール、郵便アドレスなど)を可能にするべきである。
データ保護オフィサーの連絡情報(該当する場合) 13条1項(b) 14条1項(b) 29条委員会のデータ保護オフィサーのガイドラインを参照のこと。
処理の目的および法的根拠 13条1項(c) 14条1項(c) 個人データの処理の目的を設定することに加えて、GDPR6条に基づく関連する法的根拠を明記しなければならない。 特別な種類の個人データの場合には、GDPR9条(関連する場合は、データが処理される適用される連合または加盟国の法律)の関連規定が明記されるべきである。第10条に従い、第6.1条に基づく刑事犯罪および犯罪または関する個人データが処理される場合は、該当する場合には、処理が行われる関連する連合または加盟国の法律が特定されるべきである。
合法的利益(第6.1条(f))が処理の法的根拠である場合、管理者または第三者が追求した正当な利益 13条1項(d) 14条1項(d) 特定の関心に関しては、データ主体の利益のために特定されなければならない。 ベストプラクティスの観点から、管理者は、バランシングテストの情報をデータ主体に提供することもできる。このテストは、データ主体の個人データの収集に先立って、処理のための合法的な基礎として第6.1条(f)を信頼するために実施されなければならない。情報の疲労を避けるため、これは階層化されたプライバシー・ステートメント/ノーティスに含めることができる。いずれにせよ、29条委員会は、データ主体の情報が、要求に応じてバランステストに関する情報を入手できることを明確にすべきと考える。これは、バランスのとれたテストが公平に実施されたかどうか、または監督機関に苦情を提出するかどうかに関して、データ主体が疑問を抱いている場合、効果的な透明性のために不可欠である。
関連する個人データの種類 非該当 14条1項(d) この情報はGDPR14条の適用される場面で必要とされる。なぜなら、個人データはデータ主体から得られたものではないため、どの種類の個人データが管理者によって取得されたかを意識していないからである。
個人データの受領者(または受領者の種類) 13条1項(e) 14条1項(e) 「受領者」という用語は、GDPR4条9項に「第三者か否かにかかわらず、個人情報が開示されている自然人または法人、公的機関、代理人またはその他の団体」として定義されている。したがって、受領者は第三者である必要はない。したがって、データが転送または開示される他の管理者、共同管理者および処理者は、「受領者」という用語の範疇に該当し、第三者の受領者に関する情報に加えて、そのような受領者に関する情報を提供する必要がある。
実際の(名前の)個人データの受領者、または受領者の種類を提供する必要がある。公平性の原則に従って、管理者は、データ主体にとって最も意味のある受領者に関する情報を提供しなければならない。
実際には、これは一般に名前を付けられた受領者であるため、データ主体は自分の個人データを持つ人物を正確に知ることができる。
管理者が受領者の種類を提供することを選択した場合、情報は受領者の種類(すなわち、それが実行する活動を参照することにより)、業界、セクターおよびサブセクター、および受領者の場所を示すことによって、できるだけ具体的でなければならない 。
第三国への移転の詳細、その事実、関連する保護措置の詳細(欧州委員会の十分性認定の有無を含む)、およびそれらのコピーを入手する手段または入手可能となった場所 13条1項(f) 14条1項(f) 移転とそれに対応する移転方法(例えば、第45条の下での十分性認定/第47条に基づく拘束力のある拘束的企業規則/第46条2項に基づく標準的データ保護条項/第49条に基づく例外および保護条項など)を規定する関連GDPR条項を明記するべきである。 関連文書がどこにどのようにアクセスされ得るかについての情報は、例えば、 使用される機関へのリンクを提供することによって、 公平性の原則にしたがって、第三国への移転について提供される情報は、できるだけデータ主体にとって有意義でなければならない。 これは一般的に第三国の指定されていることを意味する。
保管期間(または可能でない場合は、その期間の決定に使用される基準) 13条2項(a) 14条2項(a) これは、第5条1項(c)のデータ最小化要件および第5条1項(e)の保存制限要件に関連している。
保管期間(またはそれを決定する基準)は、法定要件や業界ガイドラインなどの要素によって決定されるが、データ主体が自分の状況に基づいて、 期間は特定のデータ/目的に適用されます。 管理者が、処理の正当な目的のために必要な限り個人データを保管することを一般的に述べるだけでは不十分である。
関連する場合は、さまざまな種類の個人データおよび/または適切な場合はアーカイブ期間を含む異なる処理目的に応じて、異なる保管期間を規定する必要がある。
データ主体の権利:
・開示
・訂正
・消去
・処理の制限
・処理に対する異議
・ポータビリティ
 
13条2項(b) 14条2項(c) この情報は、処理シナリオに固有のものであり、権利が関与するものの概要と、データ主体が権利行使のための措置を講じる方法を含める必要がある。
特に、処理に異議を申し立てる権利は、遅くともデータ主体との最初の連絡時に明示的にデータ主体の注意を促されなければならず、他の情報とは明確かつ別個に提示されなければならない。
ポータビリティに関する権利に関しては、データポータビリティに関する権利に関する29条委員会のガイドラインを参照のこと。
処理が同意(または明示的同意)に基づいている場合、いつでも同意を取り消す権利 13条2項(c) 14条2項(d) この情報には、データ主体が同意を撤回することが容易であることを考慮して、同意を撤回する方法が含まれていなければならない。
監督機関に苦情を申し立てる権利 13条2項(d) 14条2項(d) この情報は、GDPR77条に従い、データ主体が監督機関、特に加盟国の居住地、職場、またはそのGDPRの侵害の主張されている侵害の訴えを提出する権利を有することを説明しなければならない。
情報を提供するための法的または契約上の要件、または契約を締結する必要があるかどうか、または情報を提供する義務があるかどうか、また失敗の可能性があるかどうか。 13条2項(e) 非該当 例えば、雇用関係においては、現在または将来の雇用者に特定の情報を提供することが契約上の要件となる場合がある。 オンラインフォームでは、どのフィールドが「必須」であるか、必須ではないか、必須フィールドに入力されない場合の結果が明確に識別される。
個人データの発信元、および該当する場合は、公開されている情報源からのものかどうか 非該当 14条2項(f) 特定の情報源が指定できない場合を除き、データの特定の情報源が提供されるべきである- 第60項のガイダンスを参照。特定の情報源に名前がついていない場合、提供される情報には、情報源の性質(すなわち公開/ )と組織/業種/部門のタイプ。
プロファイリング、適用可能であれば、使用されているロジックに関する意義ある情報、データ主体に対するそのような処理の意義と想定される結果を含む自動化された意思決定の存在 13条2項(f) 14条2項(g) 29条委員会の自動化された意思決定およびプロファイリングのガイドライン参照。
 
(2)適切な措置(透明性原則ガイドライン24項・25項)
内容と同様に、GDPR13条および14条に基づいて要求される情報をデータ主体に提供すべき形式および方法も重要です。このような情報を含む告知は、データプロテクション・ノーティス、プライバシー・ノーティス、プライバシーポリシー、プライバシー・ステートメントまたは公正処理ノーティスと呼ばれることがよくあります。GDPRは、そのような情報をデータ主体に提供すべき形式または様式を規定していませんが、透明性のために必要な情報の提供に関して「適切な措置」を取るのが管理者の責任であることを明確にしています。
これは、情報提供者が情報提供の適切な様式とフォーマットを決定する際に、データの収集と処理のすべての状況を考慮に入れなければならないことを意味します。特に、製品/サービスの利用者の経験を考慮して、適切な措置を評価する必要があります。これは、使用されているデバイス(該当する場合)、ユーザー・インターフェースの性質、管理者とのやりとり(これは、ユーザーにとっては「旅行」のようなものです。)、およびそれらの要素に伴う制限を考慮に入れることを意味します。管理者がオンラインを有する場合においては、オンラインで階層化されたプライバシー・ステートメント/ノーティスを提供することが推奨されます。
 管理者は、情報を提供するための最も適切な方法を特定するために、実用化に先立って、実用予定の方法がユーザーにとって、アクセスしやすく、理解しやすく、利用しやすいかを見極めるため、ユーザー・テストの方法によって異なる方法(例えば、ホールテスト、または他の標準化された読みやすさやアクセシビリティのテストなどの方法)を試すことが望まれます。このアプローチを文書化することは、情報を伝達するために選択されたツール/アプローチがその状況においてどのように最も適切であるかを実証することによって、管理者に説明責任(アカウンタビリティ)を助けることになります。
(3)情報提供の時期(GDPR13条1項柱書・2項柱書、14条3項)
 GDPR13条および14条は、処理サイクルの開始段階でデータ主体に提供されなければならない情報を設定します。
 GDPR13条は、データ主体からデータが収集される場面に適用されます。 これには、以下の個人データが含まれます。
•管理者に意識的に提供するデータ主体(オンラインフォームを記入するなど)。または
•管理者が観測によりデータ主体から収集する場合(例えば、自動データキャプチャデバイスまたはカメラ、ネットワーク機器、Wi-Fiトラッキング、RFIDまたは他のタイプのセンサーなどのデータキャプチャソフトウェアを使用する方法)
 
GDPR14条は、データ主体からデータが直接取得されない場面において適用されます。これには、管理者が以下のような情報源から取得した個人データが含まれます。
•第三者の管理者
•公に利用可能な情報源
•データブローカー
•他のデータ主体
 
 情報の提供の時期に関して、適時に提供することは、透明性原則の重要な要素であり、公正にデータを処理する義務です。GDPR13条が適用される場合、同条1柱書および2項柱書に基づき、情報は「個人情報が取得された時点で」提供されなければなりません。
GDPR14条の下で間接的に取得された個人データの場合、データ対象に必要な情報が提供されなければならない期間は、次のように第14条3項(a)から(c)に定められています。
  • 一般的な要件としては、個人データを取得した後、「個人データが処理される特定の状況を考慮して」1か月以内に情報を「合理的な期間」に提供しなければなりません。(GDPR14条3項(a))
  • GDPR14条3項(a)の一般的な1か月の制限時間は、データがデータ主体との通信に使用されている状況を規定するGDPR14条3項(b)に基づいてさらに縮小することができます。 そのような場合、情報は、最初にデータ主体との連絡の時点で提供されなければなりません。最初の連絡が個人データを取得してから1か月の制限時間よりも前に行われた場合、データを入手した時点から1か月間以内であっても、データの最初の連絡時に最新の情報を提供する必要があります。個人データを取得してから1か月以上経過した場合には、GDPR14条3項(a)が適用され続けるため、遅くとも取得から1か月以内にGDPR14条の情報をデータ対象に提供しなければなりません。
  • GDPR14条3項(a)条項の一般的な1か月以内の制限は、データが他の受領者(第三者かどうかにかかわらず)に開示される状況を規定するGDPR14条3項(c)に基づいて縮小することもできます。そのような場合、情報は最初の開示の時点で遅くとも提供されなければなりません。この場合は、開示が1か月の制限時間より前に行われた場合、データの取得時点から1か月が経過していないにもかかわらず、最初の開示時点で最新の情報を提供する必要があります。第14条3項(b)の場合と同様に、個人情報を入手してから1か月以上経過した場合には、第14.3条(a)が再度適用されるため、GDPR14条の情報は 遅くとも入手した1か月以内にデータ主体に提供する必要があります。
 
以上のとおり、いずれの場合でも、GDPR14条の情報は1か月以内にデータ対象に提供されなければなりません。しかし、GDPRの公正性と説明責任の原則は、GDPR14条の情報を提供することを決定する時において、管理者がデータ主体の合理的な期待、処理がその処理に及ぼす影響、およびその処理に関連する権利を行使する能力を常に考慮する必要があります。説明責任(アカウンタビリティ)においては、管理者が決定の根拠を示し、その情報がその時点で提供された理由を正当化する必要があります。したがって、法定期間の「最後の瞬間」に情報を提供したのでは、これらの要件を満たすことは難しいかもしれません。
これに関して、前文39項は、特に、データ主体は、「個人データの処理に関連するリスク、規則、保護手段および権利を認識し、そのような処理に関連して権利を行使する方法」を規定すべきであるとしています。また、前文60項は、公平かつ透明な処理の原則の文脈において、データ主体に処理操作の存在およびその目的を通知するという要件を提示しています。すなわち、可能であれば、管理者は公平の原則に従って、規定された時間制限よりも前に情報をデータ主体に十分に提供すべきであるということになります。
(4)追加的な目的での個人データの処理
 管理者が個人データを取得した目的以外の目的で個人データを追加的に処理うことを意図する場合、直接取得または間接取得にかかわらず、管理者は当該他の目的に関する情報及びあらゆる関連性のある追加的情報を、追加的処理がなされる前にデータ主体に提供しなければなりません(GDPR13条3項、14条4項)。
(5)GDPR13項及び第14条の情報の変更(透明性原則ガイドライン29項)
 透明性に関して責任を負うことは、個人データの収集時点だけでなく、伝達される情報やコミュニケーションにかかわらず、処理ライフサイクル全体にわたって適用されます。 これは、例えば、既存のプライバシー・ステートメント/ノーティスの内容を変更する場合です。
 透明性に関して責任を負うことは、個人データの収集時点だけでなく、伝達される情報やコミュニケーションにかかわらず、処理ライフサイクル全体にわたって適用されます。 これは、例えば、既存のプライバシー・ステートメント/ノーティスの内容を変更する場合です。
管理者は、最初のプライバシー・ステートメント/ノーティスと、このプライバシー・ステートメント/ノーティスのその後の実質的または重大な変更の両方を伝える際に、同じ原則を遵守する必要があります。
実質的または重大な変化を評価する上で管理者が考慮すべき要素には、データ主体への影響(権利行使能力を含む)、およびデータ主体に対する予期しない/驚くべき変化が含まれます。データ主体に常に伝達されるべきプライバシー・ステートメント/ノーティスの変更には、とりわけ「管理者の本人特定事項の変更」や「データ主体が処理に関してどのように権利を行使できるかに関する変更」が含まれます。
逆に、実質的または重要ではないプライバシー・ステートメント/ノーティスへの変更の例には、スペルミスの訂正、または文体的/文法上の欠陥が含まれます。
既存の顧客やユーザーのほとんどはプライバシー・ステートメント/ノーティスの変更に関する連絡のみを見るので、管理者は、ほとんどの受領者が実際に認識できる方法でこれらの変更を確実に伝達するために必要なすべての措置を講じる必要があります。
これは、例えば、特に、簡潔で、透明で、分かりやすく、容易にアクセス可能で、明確で平易な言葉を使用するというGDPR12条の要件を満たすようなコミュニケーションの変更に対応した(例えば、ダイレクトマーケティングの内容と一緒にではない)、変更の通知が常に適切な様式(例えば、電子メール、ハードコピーレター、ウェブページ上のポップアップ、またはデータ主体の注目に効果的に変化を与える他の様式)によって伝達されるべきです。
データ主体が定期的にプライバシー・ステートメント/ノーティスの変更または更新を確認すべき旨のプライバシー・ステートメント/ノーティスの記載は、GDPR5条1項(a)の文脈において不十分であるだけでなく不公正であるとみなされます。
 管理者は、最初のプライバシー・ステートメント/ノーティスと、このプライバシー・ステートメント/ノーティスのその後の実質的または重大な変更の両方を伝える際に、同じ原則を遵守する必要があります。
(6)GDPR13条及び14条の情報の変更の通知のタイミング(透明性原則ガイドライン30項)
GDPRは、GDPR13条または14条に基づいてデータ主体に以前に提供されていた情報の変更の通知に適用されるタイミングの要件(実際には方法)については何も言及していません。その更なる目的に関する情報は、GDPR13条3項及び第14条4項に記載されているような更なる処理の開始前に通知されなければなりません。しかしながら、GDPR14条情報の提供のタイミングに関して上記(3)で記載したとおり、管理者は、データ主体の合理的な期待、またはそれらの変更のデータ主体への潜在的影響に関して、公平性と説明責任の原則を再び考慮しなければなりません。
情報への変更が、処理の性質に関する基本的な変更(例えば、受領者の範囲の拡大または第三国への移転の導入)または処理操作に関して基本的でない可能性があるもののデータ主体に関連して影響を与える可能性がある変更である場合、当該情報は、変更が実際に効力を発揮する前にデータ主体に十分に提供され、データ主体の注意を変更する方法は明白かつ効果的でなければなりません。
これは、データ主体が変更を「見逃さない」ことを保証し、データ主体に(a)変更の性質と影響を検討すること、(b)変更に関連してGDPRに基づく権利を行使すること(例えば、同意を取り消すこと、または処理に異議を唱えること)、のために合理的な時間を確保するものです。
管理者は、変更がデータの主題に及ぼす潜在的な影響および変更の伝達に使用される手段を含む、透明性情報の更新が必要な各状況の環境および文脈を慎重に検討すべきです。管理者は、変更の通知と変更の反映の間の期間が、データ主体に対する公平性の原則をどのように満たすかを示すことができなければなりません。
さらに、公平性の原則と一致して、データ主体へのそのような変更を通知するとき、管理者は、データ主体に対するこれらの変更の可能性のある影響を説明しなければならなりません。しかしながら、透明性要件の遵守をしたからといって、処理の変更が非常に重要であるため、処理が従来のものと本質的に完全に異なる場合においては、認められるという訳ではありません。GDPRの他のすべてのルール(両立しないさらなる処理に関するものを含む)は、透明性原則の遵守に関係なく適用が継続されます。
さらに、透明性情報(例えば、プライバシー・ステートメント/ノーティスに含まれているもの)が大きく変化しない場合であっても、サービスを長時間使用していたデータ主体は、GDPR13条及び/又は14条に基づき最初に提供を受けた情報を再度求めることはないでしょう。管理者は、データ主体が情報への容易なアクセスを継続してデータ処理の範囲を再確認できるようにすべきです。アカウンタビリティ(説明責任)の原則に従って、管理者は、プライバシー・ステートメント/ノーティスの事実、およびユーザーがどこでそれを見つけることができるかについて、データ主体に明示的なリマインダーを提供することが適切であるかどうか、またどの間隔で行うべきか考慮するべきです。
(7)情報提供の形式(透明原則ガイドライン33項~37項)
ア 情報提供の形式の一般的な考え方
GDPR13条および14条は、「データ主体に以下のすべての情報を提供する」という管理者の義務について規定しています。ここで用いられている用語は「提供」です。この用語は、管理者が、対象となる情報をデータ主体に提供するか、またはデータの場所に直接的に(例えば、直接リンク、QRコードの使用などを介して)指示するために積極的な手順を踏まなければならないことを意味します。データ主体は、ウェブサイトやアプリの使用条件など、他の情報の中でこれらの記事の対象となる情報を積極的に検索する必要はありません。データ主体宛の情報全体を、単一の場所または1つの完全な文書(例えば、ウェブサイト上のデジタル形式であろうと紙形式であろうと)で利用できるようにすることが必要です。データ主体は情報の全体を調べることを望むならば簡単にアクセスすることができるようにされなければなりません。
GDPRの下で必要とされるデータ主体に包括的な情報を提供するための要件と、他方では簡潔で透明で分かりやすい形式で簡単にアクセスできる形式で提供するための要件は、GDPRに固有の緊張関係にあります。
イ デジタル環境の場合
 デジタル環境においては、データ主体に提供する必要がある情報の量に照らして、階層化アプローチは、それらと透明性を確保するための方法を組み合わせて使用することを選ぶ管理者が用いる可能性があります。
特に情報の疲労を避けるために、階層的なプライバシー・ステートメント/ノーティスを使用して、データ主体に提供しなければならないさまざまな種類の情報にリンクすることが望まれます。階層化されたプライバシー・ステートメント/ノーティスは、完全性と理解の間の緊張を解決するのに役立ちます。特に、ユーザーが読んでいるステートメント/ノーティスのセクションに直接誘導できるようにすることができます。階層的なプライバシー・ステートメント/プライバシー・ノーティスは、関連情報に到達するために数回クリックするだけの構築されたページではないことに留意してください。
 プライバシーに関する声明/通知の第1層の設計とレイアウトは、データ主体が、個人データの処理に関して利用可能な情報の明確な概要と、それらの詳細情報をプライバシー・ステートメント/ノーティスの中のどこで/どのように見つけることができるようなものでなければなりません。また、階層化された通知の異なる階層に含まれる情報が一貫しており、階層が競合する情報を提供しないことも重要です。
  管理者が、階層型アプローチ(すなわち、管理者が最初にデータ主体に従事する主な方法)において、データ主体に通知するために管理者によって使用される第1階層のコンテンツに関して、または管理者の階層型プライバシー・ステートメント/ノーティスの第1の階層の内容に関しては、第1階層のコンテンツに、処理目的、管理者の識別情報、データ主体の権利の記述の詳細を含めることが望まれます。(さらに、この情報は、例えばデータ形式として表示される個人データの収集時にデータ主体に直接注目されるべきであり、オンライン形式で記入されるべきです。)。これらの情報は、前もって提供することが重要です。
管理者は、優先順位を決めるためにどのような情報を追加するかについて説明責任を果たさなければなりませんが、公正性の原則に基づいて、上記の情報に加えて、データ主体と処理に最も大きな影響を与える処理と、それを驚かせる可能性のある処理について説明することを要します。したがって、データ主体が、第1階層のコンテンツに含まれる情報から、問題の処理の結果がデータ主体のものであることを理解することができるものでなければなりません。
ウ.非デジタル環境における階層化アプローチ
データ主体への透明性情報の提供に対する階層化されたアプローチは、オフライン/非デジタルの状況(すなわち、対面による交渉や電話通信などの実世界環境)に展開することも可能であり、管理者は、複数の手法を情報の提供を容易にするために利用することができます。
この階層化されたアプローチで使用されている形式が何であれ、最初の「階層」(つまり管理者が最初にデータ主体と関わる主要な方法)は、一般的に最も重要な情報を伝達すべきです。すなわち処理の目的の詳細、管理者の本人特定事項、データ主体の権利の存在、処理の最大の影響およびデータ主体を驚かせる可能性のある処理に関する情報を伝達する必要があります。
例えば、データ主体との最初の接触点が電話によるものである場合、この情報は、データ主体との通話中に提供され、GDPR13条/ 14条に基づいて必要とされる情報の残りの部分を提供することができる電子メールによるプライバシーポリシーのコピーを送信すること、および/またはデータ主体に管理者の階層化されたオンライン・プライバシー・ステートメント/プライバシー・ノーティスへのリンクを送信することなどにより、さらに異なる手段を使用することができます。
エ 透明性情報を提供する別の方法
透明性情報を提供する別の方法としては、「プッシュ」および「プル」通知の使用によるものがあります。「プッシュ」通知は、「適時に」透明性情報を提供する一方、「プル」通知は、許可管理、プライバシー・ダッシュボード、「詳細を学ぶための」チュートリアルなどの方法による情報へのアクセスを容易にします。 これにより、データ主体にとってよりユーザー中心の透明性が得られます。
「プライバシー・ダッシュボード」は、データ主体が「プライバシー情報」を表示し、そのサービスによって特定の方法でデータが使用されることを許可または禁止することによってプライバシー設定を管理できる単一のツールです。これは、さまざまな異なるデバイス上のデータ主体によって同じサービスが使用され、そのサービスをどのように使用していても個人データにアクセスして制御する場合に特に便利です。データ主体がプライバシー・ダッシュボードを介して自分のプライバシー設定を手動で調整できるようにすることで、当該特定のデータ主体において発生する処理の種類のみを反映することでプライバシー・ステートメント/プライバシー・ノーティスをパーソナライズ(個人用に)し易くなります。サービスの既存の構築にプライバシー・ダッシュボードを組み込むこと(例えば、サービスの残りの部分と同じデザインとブランドを使用すること)は、アクセスと使用が直感的になり、ユーザーの関与を促すのに役立ちます。この情報は、サービスの他の側面と同じ方法で使用します。これは、「プライバシー情報」が長い法的リストではなく、サービスの必要不可欠な部分であることを示す効果的な方法です。
「適時の通知(ジャストインタイムの通知)」は、特定の「プライバシー情報」を臨時に提供するために使用されます。 この方法は、データ収集のプロセス全体のさまざまな時点で情報を提供するのに役立ちます。情報の提供を容易に理解可能な形にし、文脈から理解することが困難な情報を含む単一のプライバシー・ステートメント/ノーティスに依存することを低減します。例えば、データ主体がオンラインで製品を購入する場合、関連するテキストフィールドに付随するポップアップで簡単な説明情報を提供することができます。データ主体の電話番号を要求するフィールドの隣の情報は、例えば、このデータが購入に関する連絡の目的でのみ収集されており、それが配信サービスにのみ開示されることを説明することができます。
(8)適用除外
 管理者がデータ主体から直接個人データを取得する場合は、データ主体がすでに情報を所持している場合には、取得時の情報提供(GDPR13条1項・2項)、追加的情報提供(GDPR13条3項)に関するルールは適用されません(GDPR13条4項)。
 管理者がデータ主体から間接的に個人データを取得する場合は、次に掲げるいずれかの場合は取得時の情報提供(GDPR14条1項・2項・3項)、追加的情報提供(GDPR14条4項)に関するルールは適用されません(GDPR14条5項)。
(a) データ主体がすでに情報を所持している場合。
(b) 情報の提供が不可能であるか、若しくは過度の困難を伴う場合。特に公共の利益の目的、科学的若しくは歴史的研究目的又は統計目的達成に関する処理。ただし、GDPR89 条1 項で定める条件及び保護措置に従っているか、又はGDPR14条1項で定める義務が実施できそうにない若しくは当該処理の目的の達成が損なわれる場合に限る。このような場合、管理者は、特に情報を公然と入手し得るようにすることを含め、データ主体の権利及び自由並びに正当な利益のために適切な対策をとるものとする。
(c) 取得又は開示が、データ主体の正当な利益を保護するための適切な対策を規定している管理者が服するEU 法又は加盟国の国内法によって明確に規定されている場合。
(d) 個人データが機密のままであるべき場合。ただし、法令の守秘義務を含め、EU 法又は加盟国によって規定されている職務上の守秘義務に服する。
 
3 日本企業の対応(GAP分析)
日本企業のEU域内の事業所(支店、駐在員事務所、現地法人)が管理者としての義務を負う場合は、EU域内の事業所に限られますが管理者としての義務を負います(GDPR3条1項)。この場合には、当該EU域内の事業所においてのみの対応となります。
これに対して、日本企業のEU域内の事業所の個人データに関する処理を日本の事業所で行う場合には、日本国内の事業所が処理者としての義務を負います(GDPR3条1項)。また、EU域内のデータ主体に対して直接商品またはサービスを提供しGDPRが域外適用(GDPR3条2項)される場合も、日本企業の事業所が管理者としての義務を負う場合も日本国内の事業所が管理者としての義務を負います。
 特に、日本国内の事業所が管理者や処理者としての義務を負うことになる場合は、我が国の個人情報保護法による対応で十分かGAP分析を行う必要があります。
 個人情報保護法においては、個人情報取扱事業者個人情報取扱事業者が本人から直接個人情報を取得する場合においては、あらかじめ、本人に対し、その利用目的を明示しなければなりません(同法18条2項)。これは、利用目的に関しては、データ主体から個人データを直接取得する場合の提供時期に関するGDPR13条1項・2項を充たすと考えられます。
また、個人情報保護法においては、個人情報取扱事業者個人情報取扱事業者が本人から間接的に個人情報を取得する場合は、個人情報を取得した場合において、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならないこととされています(同法18条1項)。これも、GDPR14条3項の提供時期を満たす場合が多いと考えられます(1か月以内の期間は必ず遵守する必要があります。)。
もっとも、個人情報保護法18条1項および2項に掲げられている事項は、利用目的に限られます。通常、利用目的の通知等や明示には、プライバシーポリシーなどを使うことが多いと考えられますが、プライバシーポリシーなどがGDPR13条1項・2項および14条1項・2項の要件を満たすか検討する必要があります。
個人情報保護法に基づくプライバシーポリシーとしては、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」8-1(基本方針の策定)において、基本方針に具体的に定める項目の例とされている、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」に加えて、利用目的を記載するのが一般的ですが、これでは上記(1)で説明した情報の要件を十分満たしているとは言えません。特に「第三国への移転に関する事項」、「保管期間」、「処理が同意に基づく場合にいつでも同意を撤回できる権利があること」などについて追加的に記載する必要があります。
個人情報保護法では、利用目的の変更に関しては、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲に限り認められ(同法15条2項)、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならないこととされています(同法18条3項)。これに対して、GDPRでは、個人データについて追加的目的で処理を行う場合は、追加的処理がなされる前にデータ主体に提供することが求められています(GDPR13条3項、14条4項)ので、個人情報保護法の規定にかかわらず、事前に通知・公表が求められることになります。
4 GDPR施行を見据えた各社の対応
(1)Googleの取組み
 Googleは、GDPRの施行を見据え、2018年5月25日からプライバシーポリシーをわかりやすく改善します。
ア 構成のシンプル化・表現の明確化
 まず、求める情報が簡単に見つかるようにポリシーページの使いやすさと構成を改善し、Google の方針についても、さらに詳しく明確な表現で説明するようにしています。具体的には、階層化アプローチのプライバシー・ポリシーとなっています。
イ 動画とイラストによる説明の追加
 文章よりも絵や映像のほうがわかりやすい場合もあるため、ポリシーページ全体に短い動画やイラストを追加しています。
ウ プライバシー設定と直結
 ポリシーページから主要な設定に簡単に移動できるようにしています。これにより、プライバシーに関する設定がしやすくなっています。
エ プライバシー設定の改善
また、Google は2017年、「マイ アクティビティ」 の内容を更新し、利用者がGoogle アカウントのデータをさらに便利に確認、管理できるようにしました。また、「ダッシュボード」 のデザインも刷新し、利用中のサービスとそれに関連付けられているデータを簡単に確認できるようにしました。さらに、GDPRの施行に伴い、「プライバシー診断」 の内容を更新し、より多くの情報に基づいてプライバシーに関する主な設定を行えるに、新しいイラストと例を追加しています。また、設定の希望は変わっていくこともあるため、新しいプライバシー診断では、プライバシー設定の確認を促す定期的なリマインダーに登録できるようにしています。
(2)Facebookの取組み
 FacebookはGDPRの適用遵守の一環として、以下の取組みを公表しています。
ア ターゲティング広告に使う個人情報についての確認
 「パートナーからの情報」(Facebook以外のWebサイト上の「いいね!」ボタンのクリックやFacebookの広告ネットワークを使った表示広告から集める個人情報)を広告表示のために利用していいかどうかを確認する告知が表示されます。
イ プロフィールの政治観、宗教・信仰、交際ステータス情報を削除するかどうか確認
 プロフィールで公開している情報は、Facebookでのターゲティング広告表示に利用されています。政治観、宗教・信仰、交際ステータス情報の公開は必須ではないが公開しているユーザーに対し、今後も公開し続けるか、公開している情報の広告への利用を許可するかどうかを選ぶよう促されます。
ウ 更新されたサービス規約とデータに関するポリシーへの合意
 2018年4月4日「サービス規約」と「データに関するポリシー」の改定への合意を求める告知が表示されています。
エ 個人データ管理ツール
  Facebookは、アカウント作成日からユーザーがFacebookに提供してきた自分の情報をダウンロードして確認する「情報をダウンロード」という機能を提供しています。「個人データ管理ツール」が拡充され、ダウンロードせずにオンライン上で同様の情報を確認し、その場で削除もできるようになります。
オ 十代のユーザーに対するターゲティング広告についての選択
  EU加盟国では、13~15歳のユーザーへのターゲティング広告表示について、保護者からの許可が必要になります。それ以外の地域では、すべての十代のユーザーに対し、パートナーからの情報に基づく広告の表示を希望するかどうか、プロフィールで個人的な情報を公開することを希望するかどうかを選択するよう求めています。
カ 顔認証技術を利用するかどうかの選択(EU・カナダのみ)
 GDPRでは、顔認識データは機密性の高い個人データの1つとされており、処理に際しては個人の明示的な同意が義務付けられています。これに対応するため、EU加盟国とカナダのユーザーに対し、顔認識技術の利用を許可するかどうかの選択を求める告知を表示しています。
①明瞭かつ平易な文言(clear and plain language)を使用しなければならない(第12条1項)。
②明瞭かつ平易な文言の要件は、子供に情報を提供する場合に重要である(第12条1項)。
③書面で、または適切な場合は電子的手段によって他の手段によって行われなければならない(12条1項)。
④データ主体が要求する場合、口頭で提供することができる(第12条1項)。
⑤一般的に無償で提供されなければならない(第12条5項)

[1]Article 29 Working Party Guidelines on transparency under Regulation 2016/679
 
添付ファイル: