個人情報(個人情報保護法上「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」とされています。)を含むプライバシーに関連して2つほどニュースがあったのでここで書いておきます。

消費者への情報提供・説明を充実させるための「基準」の取りまとめ

今月26日付で、経済産業省から、消費者に信頼されるパーソナルデータ利活用ビジネスの促進に向け、消費者への情報提供・説明を充実させるための「基準」の取りまとめが出ました(http://www.meti.go.jp/press/2013/03/20140326001/20140326001.html)。

経産省によれば、パーソナルデータとは個人情報保護法に規定する「個人情報」に限らず、位置情報や購買履歴など、広く個人に関する個人識別性のない情報を含む情報のことだということです。つまり、個人情報+個人識別性のない個人に関する情報という広い概念のようです。

経産省によれば、パーソナルデータを利活用したビジネスについては、消費者ニーズに即応した様々な新規事業の創出、データ駆動型イノベーションへの期待が高まっている一方、スマートフォンの普及等を背景にサービスが気軽に利用できるようになったこともあいまって、消費者が、サービスの内容やプライバシーとの関係について十分に理解できていない状態で利用を進め、その結果、自身のパーソナルデータの予想外の利用に当惑し、不安に思うケースが出て来ているとのことです(そうだっけ?という点もありますがそう主張する以上あるんでしょうね。)。この場合、事業者も、せっかく画期的なサービスを展開した矢先に、消費者、有識者等からの厳しい批判に直面し、短期間で事業をやめざる得なくなることが少なくないとのことです(こちらもそうだっけ?って気もしないでもないですが・・・)。

経産省では、このような状況を踏まえ、パーソナルデータを利活用したビジネスを促進するためには、消費者と事業者の信頼関係の構築が何よりも重要であるとの考え方に立ち、今回「評価基準」を取りまとめたとのことです。なお、消費者の立場に立った情報提供を事業者が効果的に行うことを支援する趣旨で、第三者として行政や専門家が「評価基準」をもとに相談に応じ、事業者に消費者のよりよいサービス選択に資する情報提供を促す仕組み(「事前相談評価」)を整理したとのことです。

評価基準として経産省がまとめたものは以下の通り記載事項と記載方法です。これらの事項について評価した結果よい評価ですと消費者との信頼関係の構築が可能な情報提供を事業者が行っているということになろうかと思います。

1.記載事項
パーソナルデータの取扱いに関する情報として、以下の7項目が記載されていること
(1)提供するサービスの概要
(2)取得するパーソナルデータと取得の方法
(3)パーソナルデータの利用目的
(4)パーソナルデータやパーソナルデータを加工したデータの第三者への者提供の有無及び提供先
(5)消費者によるパーソナルデータの提供の停止・訂正の可否及びその方法
(6)問合せ先
(7)保存期間、廃棄

2.記載方法
1 取得するパーソナルデータとその取得方法に係る記載方法
(1)取得するパーソナルデータの項目とその取得方法について、可能な限り 細分化し、具体的に記載していること
(2)取得するパーソナルデータの項目やその取得方法のうち、消費者にとって分かりにくいものを明確に記載していること

2 パーソナルデータの利用目的に係る記載方法
(1)取得するパーソナルデータの利用目的を特定し、具体的に記載していること
(2)パーソナルデータの利用目的が、取得するパーソナルデータの項目と対応して記載されていること
(3)取得するパーソナルデータの利用目的のうち、消費者にとって分かりにく いものを明確に記載していること

3
 第三者への提供の有無及びパーソナルデータやパーソナルデータを加工したデータの提供先に係る記載方法
(1)事業者が取得するパーソナルデータやパーソナルデータを加工したデー タを第三者に提供する場合、その提供先(事後的に提供先を変更する場 合は提供先の選定条件を含む)及び提供目的が記載されていること
(2)事業者が取得したパーソナルデータを加工したデータを第三者に提供する場合、その加工方法が記載されていること

4
 消費者によるパーソナルデータの提供の停止の可否及びその方法に係る記載方法
消費者が事業者によるパーソナルデータの取得の中止又は利用の停止が可能であるかが記載され、可能である場合には取得の中止方法又は利用の停止方法を明示して記載していること 


インターネット広告推進協議会(JIAA)が、「プライバシーポリシー作成のためのガイドライン」と、「行動ターゲティング広告ガイドライン」の改訂版を公開

また、今月24日には、JIAA9年ぶりに「プライバシーポリシー作成のためのガイドライン」と、「行動ターゲティング広告ガイドライン」を改訂しました(http://www.jiaa.org/release/release_guide_140324.html)JIAAのこれらのルールは、勿論直接には当該協議会の加入者を対象とするものですが、個人情報を幅広く扱いうる会社にとっては参考になる点が多いのではないでしょうか。 

改訂版プライバシーポリシー作成のためのガイドラインでは、端末ID、位置情報といった個人情報ではない個人に関する情報について「インフォマティブデータ」、「個人関連情報」という新たな区分を示し、取り扱い基準を示しています。

改訂版プライバシーガイドラインによれば、インフォマティブデータとは①「郵便番号、メールアドレス、性別、職業、趣味などの個人に関する情報」、②「顧客番号、クッキー情報、IP アドレス、契約者・端末固有ID などの識別子情報」および③「位置情報、閲覧履歴、購買履歴などのインターネットの利用にかかるログ情報」など、「個人を特定することができないものの、プライバシー上の懸念が生じうる情報、ならびにこれらの情報が集積化、統計化された情報であって、特定の個人と結びつきえない形で使用される情報(当該集積化、統計化された情報を、以下「統計情報等」という)を総称」したものとのことです。「インフォマティブデータ」は、上記の経産省のいう「パーソナルデータ」とかぶる概念と思われます。

他方、「個人関連情報」とは、個人情報およびインフォマティブデータのうち統計情報等を除いた部分のことをいうとのことです。そして、事業者が策定すべきプライバシーポリシーは、個人情報に関してのみならず個人関連情報全体を対象とすることしております。

なお、これらの改訂は、ある程度個人情報以外のプライバシー権に配慮すべきと考えているIT企業においてはすでにプライバシーポリシー等において対応されている印象もあり現在の水準を後追いしている面もあるかもしれませんね。両者共通のテーマとしては、「個人情報」とそれ以外の個人の識別性はない関連情報の線引きが難しいという現状を前提としたうえで、消費者の保護とデータ活用の必要性のバランスを取っていこうというところです。プライバシーポリシーに関する記載の拡充によって、消費者情報の管理が明確化(ある意味厳格化)されています。