一般社団法人インターネット広告推進協会(JIAA)は、3月24日、「プライバシーポリシー作成のためのガイドライン」と「行動ターゲティング広告ガイドライン」を改定したと発表しました。
インターネットショッピングをしたり、あるサイトを利用したりする場合に、そのサイトには「プライバシーポリシー」とか「個人情報保護方針」といったものが表示されていることが多いと思いますが、これを作成する際のガイドラインが変わったということです。
今回は、具体的にはどの点が変わり、どのように反映させる必要があるのかという点を検討してみようと思います。
そもそも、プライバシーポリシーは、収集した個人情報をどのように扱うかをサイト管理者が定めた規範です。そのため、当然のことながら、プライバシーポリシーにおいて定めるべきものは、個人情報の取扱いに関することになります。
ここで「個人情報」が何を指すかですが、個人情報保護法では「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」とされます。
そのため、これまでは、プライバシーポリシーでは個人情報に当たるものについてのみ規定しておけばよかったといえます。
■インフォマティブデータとは?
しかし、今回発表されたガイドラインでは、それのみでは個人情報といえるかどうかが必ずしも判然としないものの、プライバシー上の懸念が生じうる情報や、情報が集積化されることで特定個人と結びつかない形で使用される情報を、インフォマティブ(=情報価値を持つ)データとして新たに定義づけ、それについては基本的に個人情報と同じように扱うように要請しています。
情報が集積化されることで特定個人と結びつかない形で使用される情報であれば、プライバシーの問題は生じないのではないかとも思えます。しかし、たとえばある人物の行動データだけを集積したとすれば、その人物がどのような人物であるかということが割り出せてしまう可能性もあり、そうするとプライバシーの問題が生じ得ることになります。
このように、今回発表されたガイドラインは、インフォマティブデータという定義づけをすることにより、個人情報のみならず、プライバシーへの配慮を高めたということができそうです。
■プライバシーと個人情報の違い
ところで、個人情報とプライバシーはしばしば混同されます。たしかによく似た概念ですし、重なっている部分もあります。
プライバシーは、一般に、私生活上の事実または事実らしく受け取られる情報で、一般に知られておらず、一般人なら公開を欲しない情報を指すとされますが、個人情報とはどのように違うのでしょうか。
顕著な例が氏名です。
氏名は自己と他人を識別する機能を有するものであり、必ずしもプライバシーによる保護を受けるわけではありません。しかし、個人情報の定義から明らかなように、氏名は個人情報に当たるのです。
■このガイドラインに強制力は?
では、このガイドライン違反をすると、サービス提供側は処罰されるのでしょうか。
ガイドラインはあくまで指針に過ぎないため、強制力があるわけではありません。しかし、「本ガイドラインは…会員に適用される」とされており、会員にはウェブサービスを提供する大手の会社が多く含まれていることから、実際上、多くの企業がこれに従っていく可能性はあると思います。
しかし、ガイドラインが改訂されたからといって、それで安心というわけでは必ずしもありません。自分の個人情報やプライバシーは自分で守っていくことが必要なので、サービスの利便性を考慮した上で、どこまでの情報であれば渡してもよいのか(=そのサイトを利用してもよいのか)を検討する必要があると思います。
情報を大量に集積して活用することについて書いた「注目のビッグデータ「Suica」情報活用は適法?」もあわせてチェックしてみてください。