伝わるプライバシーポリシー。意味ある同意取得

企業のプライバシーポリシーを真面目と読むと、一年間で200時間もかかるという調査があります。プライバシーポリシーは本当に人々のためになっているのでしょうか？単なる企業の責任逃れになっていないでしょうか？プライバシー通知の国際規格を取りまとめた崎村氏にお話をうかがいました

株式会社DataSign（データサイン） 2020/8/31 11:04 法律／標準規格 | 解説／ノウハウ

24 0 0

※この記事は読者によって投稿されたユーザー投稿です：

編集部の見解や意向と異なる内容の場合があります
編集部は内容について正確性を保証できません
画像が表示されない場合、編集部では対応できません
内容の追加・修正も編集部では対応できません

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

配信日：2020年8月20日
タイトル：伝わるプライバシーポリシー。意味ある同意取得
発表者：SC27/WG5 アイデンティティ管理とプライバシー小委員会主査
東京デジタルアイディアーズ主席研究員崎村夏彦氏

プライバシー告知は誰のために？

2020年6月に発行されたISO/IEC29184。個人情報を扱うにあたって「プライバシーノーティス（privacy notice、日本語訳では、プライバシー告知）⁠」に何を書くべきか、それに基づいて同意を取得するには何をすべきか、またデータの取り扱いを変更するときには何をすべきか、などをまとめた標準規格です。SC27/WG5 アイデンティティ管理とプライバシー小委員会主査として内容を取りまとめた崎村夏彦氏に、プライバシーや同意取得の考え方について伺いました。

EUデータ一般保護規則（GDRP）では、Cookieのようなオンライン識別子も含めた個人データの利用に対して、自由に与えられた明確な同意を必要とすること、また利用者のデータを透明かつ公平な方法で合理的に扱うことなどが事業者へ求められています。

プライバシーノーティス（告知）とは、個人情報をどのように組織が扱うべきかを示すために外部に公開する文書です。日本では、いわゆるWebサイトなどに掲載された「プライバシーポリシー」と同義とされがちですが、プライバシーに関するISO文書によると、プライバシーポリシーは組織内部向けに定めた文書です。

その上で、崎村氏は「プライバシーノーティスは、個人の権利保護のためになっているでしょうか。組織の責任回避のためになっていませんか」と問いかけます。

「プライバシーノーティスはどの国のサイトでもおおむね長文です。米国のある調査結果では、一年間に訪問するサイトのプライバシーノーティスを真面目に読めば約200時間、1カ月の労働に匹敵するほどの時間を要するという試算が報告されました。本当に必要なことだけを、必要なタイミングで簡潔に告知するべきです」と崎村氏は指摘します。

長文にする理由として、事業者側が個人の同意を得るのが難しいため、意図的に同意に関する文言をまぶし入れるため、という指摘もあります。

「それは、詐欺行為です。同意の契約における必要条件の一つ、自律性つまり内容を理解した上での同意を満たしていません」と崎村氏は指摘します。