HOME >  取扱案件解説 >  取扱案件詳細~国際法務・渉外法務 >  ポイント解説~国際法務・渉外法務 >  GDPRに対応したプライバシーポリシーの解説

GDPRに対応したプライバシーポリシーの解説

GDPRに対応したプライバシーポリシーの概要

GDPRとプライバシーポリシー

 GDPR(EU一般データ保護規則)とは、2018年5月25日にスタートした、EU(正確にはEEA(欧州経済領域))における個人データ保護のためのルールです。

 そして「GDPR(一般データ保護規則)のポイント」のとおり、一定の場合、このGDPRは、EEAに事業所を持たない日本企業にも適用されることがあります。

 そのため、企業によっては、GDPRに対応したプライバシーポリシー(プライバシーノーティス)を整備する必要が生じます。そこで以下、GDPRに対応したプライバシーポリシー/プライバシーノーティスのポイントをご説明します。

プライバシーポリシーの概要

 GDPRは、個人データを取得する場合に、個人に対し一定の情報を提供すべき義務を定めています。

 そして、その情報提供については、以下のようにする必要があります(GDPR12条1項[マウスカーソルを乗せて原文表示])。

  • 簡潔で、透明で、理解しやすい方法であること
  • 容易にアクセス可能であること
  • 明瞭かつ平易な文言を使用すること

 また、情報提供の方法は、書面か、または適切な場合は電子的手段その他の手段によって行われる必要があり、さらに、当該個人が要求する場合、口頭で提供することができます(GDPR12条1項[マウスカーソルを乗せて原文表示])。

GDPRに対応したプライバシーポリシーの主要条項とその解説

 以下、EU所在(正確には、EEA(欧州経済領域)参加国)の個人データを取り扱うために、GDPRに適合することを意図したプライバシーポリシーの簡単なサンプルに基づき、主要な条項を解説します。

 なお、以下のサンプルはもっぱら主要条項の説明が目的ですので、網羅性・完全性・各条項の整合性については検証していません。また、GDPRに適合しているとEU当局などが判断するという保証もありません。それでこれを雛形(ひな形)として使用することはご遠慮ください。

前文

規定例

AAA Co. Ltd (hereinafter, “we”, “us” or “our”) may have occasions to collect and process Personal Data (defined below). This privacy policy (hereinafter “this Policy”) will explain how we collect, use and protect the Personal Data (defined below) with respect to data subjects in the European Economic Area (hereinafter “EEA”) in accordance with the Regulation (EU) 2016/679 (General Data Protection Regulation, hereinafter the “GDPR”)..

AAA株式会社(以下「当社」といいます)は、個人情報(後に定義)を収集し処理することがあります。この個人情報保護方針(以下「本方針」といいます)は、当社が、EU規則第2016/679号(一般データ保護規則 以下「GDPR」といいます)に従った欧州経済地域(以下「EEA」といいます)所在のデータ主体に関する個人情報(後に定義)の収集、使用及び保護について説明します。

条項のポイント

 前文の内容としては、プライバシーポリシーの目的の説明を記載したり、プライバシーポリシーの適用対象を記載することが多く見られます。

 上のサンプルでは、このプライバシーポリシーが、GDPRが適用される、欧州経済地域(EEA)所在の個人情報が対象となることを明示しています。

収集する情報の特定 (What data do we collect?)

規定例

We may collect the following data from you:
 a. name and address;
 b. e-mail address;
 c. telephone number;
 d. gender;
 e. payment details;
 f. username and password;
 g. IP address, cookie information and other online identifier; and/or
 h. location data.

当社は以下の個人情報を収集することがあります。
 a. 氏名及び住所
 b. メールアドレス
 c. 電話番号
 d. 性別
 e. 支払情報
 f. ユーザー名及びパスワード
 g. IPアドレス、クッキー情報、その他のオンライン識別子
 h. 位置情報

条項のポイント

 収集する個人データをできるだけ具体的に列挙します。

 特に留意する必要があるのは、GDPRでは、個人データの範囲が日本法よりも広いという点です。

 日本の個人情報保護法では、IPアドレスやクッキーといったオンライン識別子は、それを操作する特定の個人の識別にまでただちに結びつくものではないという立場を前提として、個人情報には該当しないと考えられ、実務も運用されていると考えられます。これに対し、GDPRでは、こうした情報も、それを操作する特定の個人とも結びつき得ることから、個人情報に含まれると考えています。

 それで、自社の業務プロセスを精査して、漏れのないように収集する個人情報を列挙することが重要と考えられます。

個人情報を収集する方法 (How do we collect your data?)

規定例

We collect data and process data when you:
 a. register online,
 b. place an order for any of our products or services,
 c. use or view our website,
 d. request our newsletter. and,
 e. inquire with us.

当社は、利用者が以下のことをする場合に、個人情報を収集します。
 a. オンライン上で登録を行うとき
 b. 当社の製品若しくはサービスを注文するとき
 c. 当社のウェブサイトを閲覧若しくは使用したとき
 d. 当社のニュースレターを申し込んだとき
 e. 当社に問い合わせを行ったとき

条項のポイント

 個人データを収集する方法について、自社の業務プロセスを精査して、漏れのないようできるだけ具体的に列挙します。

 またこの点で、前述のとおり、GDPRでは、個人データの範囲が日本法よりも広く、IPアドレスやクッキーといったオンライン識別子も含まれることから、日本法に基づくプライバシーポリシーをそのまま使用するのではなく、収集する方法がGDPRに照らして網羅されているか、確認する必要があると考えられます。


 このページは書きかけです。加筆次第随時公開します。

メールマガジンご案内

弊所では、メールマガジン「ビジネスに直結する判例・法律・知的財産情報」を発行し、比較的最近の判例を通じ、ビジネスに直結する法律知識と実務上の指針を提供しております。主な分野として、知的財産(特許、商標、著作権、不正競争防止法等)、会社法、労働法、企業取引、金融法等を取り上げます。メルマガの購読は無料です。ぜひ、以下のフォームからご登録ください。

登録メールアドレス    

バックナンバーはこちらからご覧になれます。 http://www.ishioroshi.com/biz/topic/

ご注意事項

本ページの内容は、執筆時点で有効な法令に基づいており、執筆後の法改正その他の事情の変化に対応していないことがありますので、くれぐれもご注意ください。

 事務所案内
 弁護士紹介


メールマガジンご案内


メールマガジン登録
「ビジネスに直結する
判例・法律・知的財産情報」


登録メールアドレス    


ホームページ制作 FX レンタルサーバー比較 フリー素材 無料素材 Webコンサルティング

Copyright(c) 2018 弁護士法人クラフトマン IT・技術・特許・商標に強い法律事務所(東京丸の内・横浜)  All Rights Reserved.