GDPRに対応したプライバシーポリシーの解説
GDPRに対応したプライバシーポリシーの概要
GDPRとプライバシーポリシー
GDPR(EU一般データ保護規則)とは、2018年5月25日にスタートした、EU(正確にはEEA(欧州経済領域))における個人データ保護のためのルールです。
そして「GDPR(一般データ保護規則)のポイント」のとおり、一定の場合、このGDPRは、EEAに事業所を持たない日本企業にも適用されることがあります。
そのため、企業によっては、GDPRに対応したプライバシーポリシー(プライバシーノーティス)を整備する必要が生じます。そこで以下、GDPRに対応したプライバシーポリシー/プライバシーノーティスのポイントをご説明します。
プライバシーポリシーの概要
GDPRは、個人データを取得する場合に、個人に対し一定の情報を提供すべき義務を定めています。
そして、その情報提供については、以下のようにする必要があります(GDPR12条1項[マウスカーソルを乗せて原文表示])。
- 簡潔で、透明で、理解しやすい方法であること
- 容易にアクセス可能であること
- 明瞭かつ平易な文言を使用すること
また、情報提供の方法は、書面か、または適切な場合は電子的手段その他の手段によって行われる必要があり、さらに、当該個人が要求する場合、口頭で提供することができます(GDPR12条1項[マウスカーソルを乗せて原文表示])。
GDPRに対応したプライバシーポリシーの主要条項とその解説
以下、EU所在(正確には、EEA(欧州経済領域)参加国)の個人データを取り扱うために、GDPRに適合することを意図したプライバシーポリシーの簡単なサンプルに基づき、主要な条項を解説します。
なお、以下のサンプルはもっぱら主要条項の説明が目的ですので、網羅性・完全性・各条項の整合性については検証していません。また、GDPRに適合しているとEU当局などが判断するという保証もありません。それでこれを雛形(ひな形)として使用することはご遠慮ください。
前文
規定例
AAA Co. Ltd (hereinafter, “we”, “us” or “our”) may have occasions to collect and process Personal Data (defined below). This privacy policy (hereinafter “this Policy”) will explain how we collect, use and protect the Personal Data (defined below) with respect to data subjects in the European Economic Area (hereinafter “EEA”) in accordance with the Regulation (EU) 2016/679 (General Data Protection Regulation, hereinafter the “GDPR”).. AAA株式会社(以下「当社」といいます)は、個人情報(後に定義)を収集し処理することがあります。この個人情報保護方針(以下「本方針」といいます)は、当社が、EU規則第2016/679号(一般データ保護規則 以下「GDPR」といいます)に従った欧州経済地域(以下「EEA」といいます)所在のデータ主体に関する個人情報(後に定義)の収集、使用及び保護について説明します。 |
条項のポイント
前文の内容としては、プライバシーポリシーの目的の説明を記載したり、プライバシーポリシーの適用対象を記載することが多く見られます。
上のサンプルでは、このプライバシーポリシーが、GDPRが適用される、欧州経済地域(EEA)所在の個人情報が対象となることを明示しています。
収集する情報の特定 (What data do we collect?)
規定例
We may collect the following data from you:
当社は以下の個人情報を収集することがあります。 |
条項のポイント
収集する個人データをできるだけ具体的に列挙します。
特に留意する必要があるのは、GDPRでは、個人データの範囲が日本法よりも広いという点です。
日本の個人情報保護法では、IPアドレスやクッキーといったオンライン識別子は、それを操作する特定の個人の識別にまでただちに結びつくものではないという立場を前提として、個人情報には該当しないと考えられ、実務も運用されていると考えられます。これに対し、GDPRでは、こうした情報も、それを操作する特定の個人とも結びつき得ることから、個人情報に含まれると考えています。
それで、自社の業務プロセスを精査して、漏れのないように収集する個人情報を列挙することが重要と考えられます。
個人情報を収集する方法 (How do we collect your data?)
規定例
We collect data and process data when you:
当社は、利用者が以下のことをする場合に、個人情報を収集します。 |
条項のポイント
個人データを収集する方法について、自社の業務プロセスを精査して、漏れのないようできるだけ具体的に列挙します。
またこの点で、前述のとおり、GDPRでは、個人データの範囲が日本法よりも広く、IPアドレスやクッキーといったオンライン識別子も含まれることから、日本法に基づくプライバシーポリシーをそのまま使用するのではなく、収集する方法がGDPRに照らして網羅されているか、確認する必要があると考えられます。
契約法務 弁護士費用自動見積のご案内
弊所の弁護士費用のうち、以下のものについては、オンラインで自動的に費用の目安を知ることができます。どうぞご利用ください。
- 英文契約・和文契約のチェック・レビュー
- 英文契約・和文契約の翻訳(和訳、英訳)
このページは書きかけです。加筆次第随時公開します。
法律相談等のご案内
弊所へのご相談・弊所の事務所情報等については以下をご覧ください。
メールマガジンご案内
弊所では、メールマガジン「ビジネスに直結する判例・法律・知的財産情報」を発行し、比較的最近の判例を通じ、ビジネスに直結する法律知識と実務上の指針を提供しております。 学術的で難解な判例の評論は極力避け、分かりやすさと実践性に主眼を置いています。経営者、企業の法務担当者、知財担当者、管理部署の社員が知っておくべき知的財産とビジネスに必要な法律知識を少しずつ吸収することができます。 主な分野として、知的財産(特許、商標、著作権、不正競争防止法等)、会社法、労働法、企業取引、金融法等を取り上げます。メルマガの購読は無料です。ぜひ、以下のフォームからご登録ください。
バックナンバーはこちらからご覧になれます。 https://www.ishioroshi.com/biz/topic/ |
ご注意事項
本ページの内容は、執筆時点で有効な法令に基づいており、執筆後の法改正その他の事情の変化に対応していないことがありますので、くれぐれもご注意ください。