こんにちは!弁護士の中村です。
皆さん、待ち焦がれたガイドライン案が出ましたね!!!
https://www.ppc.go.jp/aboutus/minutes/2021/210519/
第174回個人情報保護委員会で配布された資料がそれにあたります。
案?
そうなんです。
こちらはまだ正式なガイドラインではなく、これからパブリックコメントを募集して最終的に正式に公表されることになります。
ただ、それほど根本的にひっくり返るようなことはないので、今回の資料をベースに、来年以降の対策を練るというのが効率的かなと思います。
■ガイドライン-気になる内容とは?
さて、内容についてですが、皆さん、何が気になりますか?
個人関連情報について? 開示請求への対応について?
これらも、もちろん大事なんですが、中でも特に大事で、かつ、大半の企業で検討しなければならないものがあります。
それは、「利用目的の特定」について、です。
「利用目的の特定」について、2020年改正法では特に改正された事項はありません。
しかし、ガイドラインの記載が変更されています。
この変更点については、複雑な理解が必要なものではなく、とっつきやすいと思いますので、まず手始めに取り上げてみますね。
■何が変わったの?
利用目的の特定については、もともと以下の記載がありました。
この文末に、(※)として、注意書きが1つ書かれていたのですが、今回2つになり、従来の※は(※2)、となり、今回、(※1)として、以下の文章が追加されました。
これまで以上に、具体的に記載しなければならない、ということはわかりますね。
そして、ここで注目すべきは、あえて「本人から得た情報から、本人に関する行動・関心等の情報を分析する場合」を例に挙げている点にあると私は考えます。
これは、現在のガイドラインの【具体的に利用目的を特定していない事例】として挙げられている、事例2「マーケティング活動に用いるため」、にかかわってくるかと思います。
「マーケティング活動に用いるため」では不十分です。
では、「お客様の趣味・嗜好に応じた新商品・サービスに関する広告のため」ではどうでしょうか。
どうやって趣味・嗜好がわかるんだ??
そういうツッコミが来そうですよね(笑)。
どうやってそれを知るかといえば、(生活者から)趣味・嗜好について直接問うた場合を除いては、「閲覧履歴や購買履歴等の情報を分析」した結果、ですよね。
そこまで書いてくださいね、とガイドラインは言っているわけです。
どうやって分析したか、といったあたりは、個人情報がどういう目的で利用されるのかには直接関係ないですし、営業秘密にかかわったりする恐れもありますので、いう必要はない。
■具体的にはどう修正すればよい??
これはもう、実際に何をやっているか?を洗い出して把握していくべきなのではないでしょうか??
おそらく大半の企業が、閲覧履歴や購買履歴の情報を活用して広告配信などのマーケティングに利用していることでしょう。
なので、今回のガイドライン案の例示をちょっとアレンジすれば、自社に適した記載になるのでは?と思います。
プライバシーポリシーを修正しなきゃ!という担当部署は、おそらく法務だったり総務だったりするのかと思いますが、マーケティング部門が個人情報をどう“調理”しているのか、この機会に洗い出して把握しておく、といういい機会なのではないでしょうか。
そして、マーケティング部門の人は、法務・総務の人に、どういうことをやっているか、わかりやすく説明してあげてくださいね(笑)。
このほかにもプライバシーポリシーの修正が必要となってくる箇所はいくつかあります。それらについても今後ブログに書いていきたいと思います。
弊社では、改正個人情報保護法対応を含めたプライバシー対応や、未来を見据えたデータ取扱についてのご相談をお受けしております。
まずはお気軽にご相談ください。ご連絡お待ちしております。