透明性のガイドライン(WP260 rev.01)を読む(10)

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<子供やその他社会的弱者への情報提供について>

【16】
身体障碍者や情報へのアクセスが困難な社会的弱者に向けて商品、サービスが提供される場合、またはそのような人々を対象とした商品、サービスである場合、データ主体が社会的弱者であることを考慮した情報通知が必要です。
透明性の原理を実現するために最善の方法とはどのようなものか、検討する必要があります。管理者は、商品、サービスの対象者がどの程度の理解度を持つか【9】で述べた基準に従って評価しなければなりません。

<書面またはその他の方法で>

【17】
データ主体への情報通知の方法としてGDPR第12条(1)で前提とされているのは、書面での情報通知です。(GDPR第12条(7)では標準化されたアイコンを用いるようにとされています。【49】、【53】でこれは取り上げます。)ただし、「電子的な手段」等様々な方法も取り得る点はGDPRも認めています。

管理者が維持運営している、ウェブサイトについては、階層化されたprivacy statement/noticeを使用することをWP29は推奨しています。
privacy statement/noticeが階層化されていれば、ウェブサイトの訪問者は迷うことなく知りたい場所に移動できます。(【35】、【37】で解説します。)
これと同時に、データ主体が情報全体に容易にアクセスできるようにもしておかなければなりません。(電子的な形態、紙面を問いません。)

階層構造を用いるのはウェブサイト等電子情報だけに限ったことではないことに注意してください。
処理の透明性を確実にするためにはいくつかの手法を組み合わせてデータ主体に情報を通知する方法も取り得ます。(【35】、【36】、【38】)

ダイレクト・マーケティングのopt-in

以前の名刺交換についてのポストに関連して情報を少し補足しておきます。

名刺情報を用いたダイレクト・マーケティングについてです。

弁護士事務所のfieldfisherが公表している欧州域内でのe-marketingについての各国要件をまとめた資料をみると、B2Bのやり取りであっても、個人に送付する場合はOpt-inを求めている加盟国が数多くあります。(詳細は資料を参照ください)

(カナダのAnti-spam法)展示会で名刺boxをおいておきそこに名刺を投入する等、affirmativeな行動とみなされれば、opt-inが成立していると考えることもできると考えられているため、そのような工夫をする必要があるかもしれません。

ダイレクト・マーケティングをopt-outで行えるのは以下の場合です。
– 相手の情報を「販売活動の一環として」取得している
– マーケティング情報の送り手と相手の情報の収集者は同一法人、同一会社である
– マーケティング情報の内容はマーケティング情報の受け取り手が当初名刺交換をしたときに提示されていたものと類似製品またはサービスについてである
– マーケティング情報の受け取り手は無料でマーケティング情報を拒否することができる。(データ取得時でも、その後でも)

ダイレクト・マーケティング関連でのICOの最近の制裁金事例があります。(2018年6月20日)
イギリスのPECRという法律に基づくものですが参考になると思います。
BT fined £77,000 by the ICO for five million spam emails

その他、ICOの公表している違反事例はこちらで調べられます。

いずれにせよ、ダイレクトメール送付の際は注意が必要です。

透明性のガイドライン(WP260 rev.01)を読む(9)

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<子供やその他社会的弱者への情報提供について>

【14】
データ管理者が子供を対象としている場合、または自社のサービスや商品を子供が利用していると認識している場合(子供の同意を適法根拠としている場合を含む)、使用する語彙、文章の調子、書き方は子供にとって適切なものとしなければなりません。これは子供が、その情報通知が自分に向けて書かれたものであると認識できるようにするためです。

子供に向けて書かれたものとして参考になるのは次のサイトです。参照にしてください。
UN Convention on the Rights of the Child in Child Friendly Language

【15】
WP29は「透明性」というのは大人にも子供にも等しく与えられた独立した権利と考えています。
子供だからといって「透明性」について説明を求める権利を失わない、というのがWP29の立場です。たとえばGDPR第8条にしたがって、子供の同意が親権者によって確認されていたとしてもこの点は変わりません。

子供の同意についての親権者の確認は一度きりであることが多いでしょうが、子供も他のデータ主体と同様、管理者に自身の個人データを提供している限り、いつでも透明性について説明を求める権利を持っています。
これはUN Convension on the Rights of the Child(国連子供の人権憲章)第13条とも呼応しています。

したがって管理者はGDPR第12条(1)(およびGDPR前文38GDPR前文58)に従って、子供向けに透明性を担保する方法を提供する義務を負います。
管理者は自社の商品、サービスの対象が子供である、または子供が利用するものであることを認識している場合、子どもが容易に理解できるような明確で平易な言葉または伝達方法でなされなければならないということを肝に銘じてください。

ただし、とても幼い子供や文字を読めない子供の場合は、子どもが透明性の原理自体を理解しえないため、親権者向けに情報通知を行うケースもあることはWP29も認めています。

透明性のガイドライン(WP260 rev.01)を読む(8)

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<明確で平易な言葉>

【13】
ガイドラインで使用を避けるべきとされている表現は以下のものです。
“may”、”might”、”some”、”often”、”possible”

業界的、職種的に使用せざるを得ない場合は、説明責任の原則に基づき、なぜこれらの「ぼかした」表現を使わざるを得ないのか、それによって処理の公平性を既存することがなぜないといえるのかについて、管理者は説明できなければなりません。

パラグラフ構成、文章構成も練られたものであるべきです。
列挙方式を用いたり、インデントを用いて階層構想を明確化してください。

文章は受動態ではなく能動態を使います。
名詞中心の表現ではなく動詞を使った文章とします。

法律用語や技術用語、特殊用語、述語を使いすぎてはなりません。

二つ以上の言語に翻訳される場合は、翻訳の正確性を確認してください。言葉使いや構文が難解でないよう注意が必要です。
(情報通知は、管理者が販売を意図している地域の言語で行う必要があるため、複数言語に翻訳が必要です。)

透明性のガイドライン(WP260 rev.01)を読む(7)

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<明確で平易な言葉>

【12】
書面で情報が提供される場合、(目の不自由な人に説明するために)書面で提供された情報が口頭で説明される場合、音声で説明される場合、音声と画像で説明される場合には、「明確な」書き言葉となるように工夫が必要です。
同様の要件はこれまでもEU法の中で用いられてきています。(例:消費者契約の公平性を欠いた条項についての指令 93/13/EEC(1993/04/05)の第5条)GDPR前文42にも「同意」の文脈で「平易」で「理解可能な言葉」という表現が用いられています。

「明確で」「平易な」言葉とは、情報の提供が可能な限りシンプルな形で行われること、文や言語の構造が複雑なることを避けることを意味しています。
具体的な情報を提供し、内容も明快なものである必要があります。抽象的な言い回しやどちらとも取れる言葉使い、他の意味に取れる余地があってはなりません。
特に、目的の部分、適法根拠の部分については注意が必要です。

===============
(ガイドラインで提示されている例)
『悪い例』

  • “We may use your personal data to develop new services” (“services”の内容がわからない、データが”new services”を使用するためにどのように用いられるかがわからない
  • “We may use your personal data for research purposes (ここでいう”research”がどのような“research”かがわからない)
  • “We may use your personal data to offer personalised services” (“personalisation”とはどのようなことが行われるのかがわからない)
  • 『良い例』

  • “We will retain your shopping history and use details of the products you have previously purchased to make suggestions to you for other products which we believe you will also be interested in ” (どのような種類のデータが処理されるかということ、データ主体が行動ターゲティング広告の対象となること、データ主体の個人データは行動ターゲティング広告を行うために使用されるということが明確である)
  • “We will retain and evaluate information on your recent visits to our website and how you move around different sections of our website for analytics purposes to understand how people use our website so that we can make it more intuitive” (どのような種類のデータが処理されるかということ、どのような種類の分析を管理者が今後行うのかということが明確である)
  • “We will keep a record of the articles on our website that you have clicked on and use that information to target advertising on this website to you that is relevant to your interests, which we have identified based on articles you have read” (“personalisation”の内容がどのようなものでデータ主体の関心をどのように特定するのかが明確である)
  • ===============

    透明性のガイドライン(WP260 rev.01)を読む(6)

    クラスメソッドという会社が代理人サービスを行っています。
    金額としては年額50万円弱が標準コースのようです。

    今後の代理人サービスの金額の目安となることでしょう。サービスの内容については双方でしっかりと調整が必要な印象がありますが、まずは日系企業にとっては朗報といえます。
    (ちなみに弁護士によるサービスだと100万円を超えるという情報もあります。)

    クラスメソッドさんのライセンス販売されているCookiebotは弊社がCookie Noticeを実装する支援で使用しているものです。
    自動でCookie Policyを生成してくれるので非常に快適なサービスとなっております。ぜひご利用ください。

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    <正確で、透明性のある、理解可能であり容易にアクセス可能である>

    【11】
    「容易にアクセス可能である」ためには、データ主体が情報を探し回らないでよいようにしておく必要があります。
    透明性を確保するための情報が見つかる場所、またそのような情報を見つける方法がただちにわかるような工夫が必要です。

    例えば以下のような方法を考えてください。

    データ主体に対して直接情報を提供する、
    データ主体にリンクを提供する、
    データ主体に明確に案内を掲示する、
    自然な質問への回答という形でデータ主体に掲示する(オンラインでの階層化されたPrivacy statement/noticeとする、FAQに掲載する、データ主体がオンラインフォームを入力している際に自動でポップアップ形式で該当する説明が示される、チャットボットインターフェースを用いて双方向のやり取りを提供する等)

    ===============
    (ガイドラインで提示されている例)
    ウェブサイトを管理している組織は、すべてPrivacy Statement / Noticeをウェブサイト上に掲示しなければなりません。
    Privacy Statement / Noticeへのリンクはすべてのページ上に、よく見える場所によく使用されている用語で掲示されておかなければなりません。
    (“Privacy”、”Privacy Policy”、”Data Protection Notice”等)

    リンクの色が見えにくかったり、ウェブサイト上どこにあるのか見つけづらい場合は「容易にアクセスできる」とは判断されませんので注意が必要です。

    アプリの場合は、透明性を担保するためにダウンロード前にオンラインストア上で透明性に関する情報が得られるようにする必要があります。アプリをインストールした後は、アプリ内で容易に情報が入賞可能である必要があります。「容易である」かどうかの判断基準のひとつは「2タップ」よりも多い遷移が必要かどうかです。(アプリ内のメニュー機能内で”Privacy”/”Data Protection”オプションの選択をすることも1タップに含まれます)更に、該当するプライバシー関連の情報は、該当するアプリに特有のものである必要があります。アプリを制作せいている企業の作成した汎用的なものであったり、一般に公布されているものであってはなりません。

    WP29の推奨としては、以下の対応を推奨しています。
    オンライン上で個人データを取得する時点でprivacy statement/noticeへのリンクが提供される
    個人データが取得されている同じページ上に透明性に関する情報が提供される
    ===============

    透明性のガイドライン(WP260 rev.01)を読む(5)

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    <正確で、透明性のある、理解可能であり容易にアクセス可能である>

    【9】
    情報が「理解可能である」というのは、情報通知を目にするだろうと意図する対象の平均的な人物が理解できる、ということです。
    「理解可能である」という要求は、そのまま「明確で平易な言葉を使用」するという要求に結びつきます。

    管理者は情報を取得する対象についての知識を持っているはずなので、その情報を元に対象となる人物が理解可能である内容を定めることができると期待されます。
    高い専門性を備えた人についての個人データを取得している管理者は、子供の個人データを取得している管理者よりも高い理解能力を対象に期待してよいでしょう。
    もし読み手の理解レベル、情報の透明性が不明である場合は、次のような対応が取れます。

    ユーザーパネルにより意見を収集する、読解性試験を行う、公式・非公式で該当する産業グループとやり取り・対話を行う、等

    【10】
    「正確で、透明性のある、理解可能であり容易にアクセス可能である」という透明性に関する条件は次のような考え方を中心に据えています。

    データ主体は個人データを管理者に預けるにあたり、それがどのような結果をもたらし得るのか理解し判断したうえで預けるべきです。
    個人データを管理者に預けた後「驚かされる」ようなことが生じてはなりません。

    上記の考え方はGDPR第5条(1)の「公平性」と呼応しています。
    また、GDPR前文39にも呼応しています。

    GDPR前文39を見てみましょう。
    ここでは

    “[n]atural persons should be made aware of risks, rules, safeguards and rights in relation to the processing of personal …”
    「自然人は個人データの処理に伴うリスク、規則、安全保護策および自身の権利について認識した状態とされなければならない」

    とされています。

    特に複雑で、技術的、予期せぬデータ処理に関しては、GDPR第13条GDPR第14条記載の内容に加え、該当する処理によってもたらされうるもっとも重要な結果はどのようなものか、別途、明瞭な言葉で詳細に記述すべきだ、という立場をWP29はとっています。

    privacy statement/noticeに記載された該当する処理が具体的にどのような影響を与えるのかについて記載する、ということです。

    データ管理者は説明責任の原則とGDPR前文39に従い、データ主体の注意を喚起すべき処理があるのかどうか検討しなければなりません。
    管理者はこのような過程を経ることで、個人データ保護に関連して個人の基本的人権と自由に大きな影響を与え得る処理についての概要をつかんでおくことが可能となります。

    透明性のガイドライン(WP260 rev.01)を読む(4)

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    GDPRにおける透明性の要素 (Elements of transparency under the GDPR)

    【7】
    GDPRで透明性の原理について詳細に記述しているのはGDPR第3章 データ主体の権利(Rights of Data Subject)です。透明性の原理はデータ主体の権利という形で具現します。

    GDPR第12条には一般的なルールが記載されています。
    1.データ主体への情報提供 (GDPR第13条GDPR第14条
    2.データ主体の権利行使についてデータ主体に伝えること(GDPR第15条GDPR第22条
    3.データ侵害時のコミュニケーション(GDPR第34条

    GDPR第12条では特に、以下のルールに従って情報提供、コミュニケーションがされる必要があると定めています。

  • 正確であること、透明性を保つこと、理解可能であること、容易にアクセス可能であること(GDPR第12条(1))
  • 明快で平易な言葉を使用していること(GDPR第12条(1))
  • 子供に対して情報を提供する場合、明快で平易な言葉を使用していることが特に重要(GDPR第12条(1))
  • 適切な場合、電子的な方法を含む、書面またはその他の方法で情報提供、コミュニケーションを行うこと(GDPR第12条(1))
  • データ主体によって要求された場合は、口頭での情報提供も可能(GDPR第12条(1))
  • 通常は無料で提供しなければならない(GDPR第12条(1))
  • <正確、透明性のある、理解可能であり容易にアクセス可能である>

    【8】
    データ主体に対して情報提供し、コミュニケーションを行う際、「正確で透明性がある」方法で行わなければならない、という要求事項は何を意味しているのでしょうか?
    これは端的にいうと、管理者は、データ主体に情報疲労を起こさせてはならないということです。

    データ主体への情報は、プライバシーに関係しない契約条項や一般的な利用規約とは明確に区別して提供しなければなりません。

    オンラインで情報提供を行う場合、階層構造で情報提供するとデータ主体はprivacy statement/notice内の、知りたいと考えている特定の項目に容易にアクセスできます。
    長文のprivacy statement/noticeをスクロールダウンして該当箇所を探さないといけないという手間を取らせてはなりません。

    透明性のガイドライン(WP260 rev.01)を読む(3)

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    はじめに (Introduction)

    【5】
    GDPRでは、適法根拠如何に関わらず、処理のライフサイクルを通して透明性が要求されます。
    このことはGDPR第12条で以下の処理の段階で透明性を確保するよう規定されていることからも明確です。

  • データ処理サイクルの開始以前又は開始時。(データ主体から個人データが収集されたときまたは個人データをその他の方法で入手したとき)
  • 処理機関の間常時。(データ主体の権利についてデータ主体とやり取りをしているとき)
  • 処理が継続しているある特定の時点。(データ侵害が発生したときや処理について有形の変更が生じた場合)
  • 透明性の意味 (The meaning of transparency)

    【6】
    GDPRには透明性の定義がありません。その代わり、GDPR前文39でデータ処理の文脈における透明性の意味とこの原則の効果について情報提供がされています。

    It should be transparent to natural persons that personal data concerning them are collected, used, consulted or otherwise processed and to what extent the personal data are or will be processed. The principle of transparency requires that any information and communication relating to the processing of those personal data be easily accessible and easy to understand, and that clear and plain language be used. That principle concerns, in particular, information to the data subjects on the identity of the controller and the purposes of the processing and further information to ensure fair and transparent processing in respect of the natural persons concerned and their right to obtain confirmation and communication of personal data concerning them which are being processed.

    『自身の個人データが収集、使用、参照された自然人に対して透明性を持っていなければならないし、どこまで個人データが使用されているか、または使用される予定なのかについて透明性を持っていなければならない。透明性の原理は、これらの個人データにの処理に関するあらゆる情報やコミュニケーションが容易にアクセス可能であり、容易に理解でき、明確で平易な言葉を使用しているということを要求しています。特に、透明性の原理は管理者の身元や処理の目的、関係する自然人に関して公平で透明な処理を確実なものとすること、処理されている自身の個人データについて、データ主体が確認し、コミュニケーションをとる権利についての情報が明確に示されなければならない。』

    透明性のガイドライン(WP260 rev.01)を読む(2)

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    はじめに (Introduction)

    【3】
    2018年5月25日以前に既に実施されている処理については、GDPR前文171で示されているように、管理者は2018年5月25日以降に要求される透明性の義務(およびその他の義務項目)を満たしていることを再確認しなければなりません。換言すれば、管理者は2018年5月25日までに、個人データの処理についてデータ主体に提供している情報(Privacy statements/notices)がGDPRで要求される透明性の原則に準拠していることを確認しなければならないということです。

    データ主体に提供している情報について変更・追加が必要な場合、それらの変更がGDPR準拠に伴う変更であることをデータ主体に明確に伝えなければなりません。

    WP29としては、これらの変更・追加については、必要最小限となるよう注意しつつ、積極的に公開することを推奨しています。(ウェブサイト上で通知する等)
    ただし、変更が有形または重大なものとなる場合は、このガイドラインのパラグラフ【29】から【32】で記載の方法に従って、データ主体に積極的に通知しなければなりません。

    【4】
    管理者が透明性の原理を遵守すると、データ主体は管理者、処理者の処理活動について明確に理解可能となります。
    また、同意する、同意を取り下げる、データ主体の権利を行使するといったことを行えるようになり、自身の個人データについてコントロールできるようになります。

    GDPRにおける透明性の原理は、ユーザを中心に据えた概念です。
    透明性の原則はGDPR中の条文に様々な形で、管理者、処理者に対する実際上の要求として表現されています。

    実際上の(提示すべき情報の)要件はGDPR第12条からGDPR第14条に説明されています。
    注意してほしいのは、条文に記載している情報のみではなく、情報の質、アクセス性、網羅性も重要な要素だということです。
    これらの情報についてはデータ主体に確実に情報提供されなければなりません。