プライバシーポリシーを読まない問題には問題がある
プライバシーポリシーとは、個人情報の取り扱いについて定めた文書ですが、どうしてプライバシーポリシーが必要なのか、またどのように使われているのか知らない人も少なくありません。インタビューを通して正しくプライバシーポリシーを理解しましょう。
プライバシーポリシーは必要の声に押されて生まれた
就職サークルを運営する中で、Web上からイベントへの申し込みを募った大学生の酒井君。問い合わせから「プライバシーポリシーは無いんですか?」との質問があり、何のことだかわからず困ってしまいます。
困った酒井君はCSIRTとして企業で勤める大学OBのJO-HOさん(ハンドルネーム)にお話を聞いてみることにしました。セキュリティの専門家であるJO-HOさんは、プライバシーポリシーはどのようなものだと考えているのでしょうか。
プライバシーポリシーとは情報の取り扱いについてまとめた文書のこと
―JO-HOさん、酒井です、突然のご連絡でスミマセン。今日はプライバシーポリシーについて聞きたいのですが、どうぞよろしくお願いします。
はい。会社の都合もありますので、今回はハンドルネームで失礼します。
―JO-HOさんはCSIRT(シーサート)としてお仕事をされていると聞いているのですが、CSIRTって何をしているんですか?
正直言って耳慣れない言葉ですよね。「CSIRT」というのは「Computer Security Incident Response Team」の略なんですが、簡単に言えば「情報セキュリティ問題や事故の発見・対応・処理にあたる専門チーム」のことです。
―何かかっこいいですね。つまり、情報セキュリティの専門家ということで考えておけばいいんですね。
そうですね。情報セキュリティにもいろんな分野がありますが、大きくはそう受け取ってもらえたら大丈夫です。
―さて、それでは本題なんですが、「プライバシーポリシー」って何のことなんでしょう?突然サークルのイベント広告の際に尋ねられてしまって困りました。
プライバシーポリシーというのは、「個人情報およびプライバシー情報の取り扱い方針を定めて記録した文書」のことを言います。ポリシーというのは「方針、信条」という意味です。普通は組織内の文書というのは社外に公開することはほとんどありませんが、プライバシーポリシーについては社外に向けて公表することを目的にしている文書という性質を持っているのが特徴です。
―「個人情報」や「プライバシー情報」というのは何となくイメージできますが、「取り扱い方針」というのはどういうものを言うんですか?
「取り扱い方針」というのは、たとえば「利用目的」「収集する情報の種類」「収集の方法」「取得した情報の管理について」「取得した情報の廃棄について」「第三者提供」などのことを言います。
―うわ~。聞いているだけでも面倒くさいですね!
あはは。そうかもしれませんね。実際面倒な部分もたくさんありますし、文書にするのもまた面倒なところがたくさんあります。しかし、こういったものが必要だというニーズが強いからこそあることを忘れてはいけません。
プライバシーポリシーが必要な理由は迷惑がかからないようにするため
―プライバシーポリシーは面倒だけど必要ということなんですが、どうしてそこまで必要なんでしょうか?
そうですね、あまり意識していないという人も多いと思うのですが、実は個人情報やプライバシーに関わる情報というのはいろんなところで収集されるようになっています。たとえば、自分の居場所が常に追跡されていたら嫌ですよね。
―マンガとかドラマではよく見ますけど、実際にそんなことがあれば気分はよくないでしょうね。
実は、スマホのアプリなんかでは結構こういうGPSによる位置情報などが情報として取得されています。やろうと思えば、尾行もできますし、移動経路や手段なども分析できるんです。
―え!マジですか?それって犯罪なんじゃ…
勝手にやったら犯罪ですよね。でも、そうならないように最初に「プライバシーポリシーに同意する」とかいう形で許可を取っていることがほとんどです。
―そうだったのか。言われてみれば確かに何かと許可を求められていたような気がします。でも、そういう意味があったとは知りませんでした…。
プライバシーポリシーが必要な理由は、情報を提供する側が、そのことについて不利益を受けないように、何を、どのように情報として取得するのか、その情報を何に使うのかなどについて周知する必要があるからなんです。
―じゃあ、逆に言えばその内容を超えたことはされないし、できないということですか?
そういうことになります。先の位置情報の例で言えば、アプリの性質上、近くにいる人を紹介したりピックアップするために使うことはOKでも、尾行などの目的に使えばサービス提供側はプライバシーポリシーに違反しているために違反となります。
―なるほど。じゃあ、プライバシーポリシーをちゃんと理解した上で個人情報を提供するなら安全だとうことなんですね。
はい、そうですね。実際にはどうしても企業側の不手際やサイバー攻撃などで情報が流出する危険性がありますから、100%とは言えませんが、自分でできるプライバシー対策としてプライバシーポリシーを読むことは大切です。
―プライバシーポリシーが必要なのは、個人が情報を提供することでその人やその周りにいる人に火の粉が降りかかったりしないようにしたり、取得した個人情報を好き勝手に利用されないようにするためなんですね。
プライバシーポリシーは個人情報保護法でもふれられている
―そういえば、「個人情報保護法」という法律をよく耳にしますけど、プライバシーポリシーと何か関係があるんですか?
はい。その通りです。個人情報保護法は、個人情報の取り扱いについて定めた法律ですが、プライバシーポリシーに関する内容もあります。
―もしかして、プライバシーポリシーが無いと罰則とかあったりするんですか?
個人情報保護法では、プライバシーポリシーは個人情報保護方針と言われることもありますが、「事業者が個人情報を取得した場合は、あらかじめ利用目的を公表している場合を除き、速やかに、利用目的を、本人に通知又は公表しなければならない」という内容があるんですね。
―ふむふむ。
この「あらかじめ利用目的を公表している場合」を作るために、プライバシーポリシーを作って公表することが多いわけです。何かの際に毎回利用目的を作って通知するのは大変ですからね。
―なるほど。
個人情報保護法では、事業に個人情報データベースを活用している者(※)が対象になります。個人情報データベースというのは、情報が整理されていて、特定個人の検索や識別などができ、活用可能な形態になっているものを言います。個人情報保護法に違反すると、改善命令や6か月以内の懲役または30万円以下の罰金が課せられます。(※国の機関、地方公共団体、独立行政法人、地方独立行政法人などの行政組織は除く)
―うちのサークル、まずいかもしれない。
サークル活動くらいなら、実際にはグレーなところですけどね。「事業」はある程度反復して行われるものになりますので、イベント用に取得した情報についてはすぐに削除するなど決めておけば個人情報データベースという扱いにはならないでしょう。ただし、取得した情報で定期的に案内を送るなどするなら法の対象となります。ですが少なくとも、いきなり懲役や罰金は無いので、注意があれば改善命令に従って対応しておけば大丈夫です。
―良かった~。この数日間、本当にドキドキしながら過ごしていたんです。でも、プライバシーポリシーの必要性や目的がわかってみると、うちのサークルでもできれば作っておきたいと思いました。
プライバシー情報は範囲が広いので取り扱いには注意すること
今までは個人情報についての話だったんですが、最近は実はプライバシーに関する情報が特に問題になっているので、プライバシーポリシーの重要性が高まっているんです。
―プライバシーに関する情報と個人情報はどう違うんですか?
個人情報が「個人を識別するための情報」であるのに対し、プライバシー情報は「メールやSNSのメッセージ内容」や「身長・体重」「病歴」「犯罪歴」「クレジットカード情報」などの様々な私生活上の情報になります。範囲がかなり幅広くなりますので取り扱いには注意が必要です。
―ということは、先ほどの位置情報もプライバシー情報にあたるんですね。
そうです!今はスマホなどの情報デバイスが身近になり、インターネットなどの通信技術の発達もあって、情報の入力をしなくても多くの情報のやりとりが可能になっています。「購入履歴」や「よくアクセスするサイト」なども情報価値が高いです。だからこそ、プライバシー情報についても何を取得するのかをしっかりサービス提供側も示すんですね。
「プライバシーポリシーを読まない問題」はとてもまずい
―でも、私もそうなんですけどプライバシーポリシーってほとんど読んだことがありません。これって色々とまずいんじゃないでしょうか。
そうですね。ハッキリ言ってまずいんです。でも、仕方ない部分もあります。何かのサービスを利用するたびにプライバシーポリシーを全文読むのは厳しいと思います。私でも全部見ることはほとんどありません。
―じゃあ、全部じゃなくてもプライバシーポリシーで見た方が良いポイントなどはありますか?
もしプライバシーポリシーを見るなら、「取得する個人情報の種類」や「第三者提供」、「開示請求」などの項目は見ておいた方が良いでしょう。第三者提供は、他の組織に取得した情報を渡す場合の定めです。開示請求というのは、自分に関するどのような個人情報が取得され、扱われているのかを確認するための手続きです。
―ちょっと難しそうですが、確かに聞いてみると見ておいた方が良さそうな部分ですね。このくらい知っていれば、迷惑メールが増えたとか、何か気になることが身の回りであったら、確認してみることもできそうです。
はい、ぜひ一部だけでも読むようにしてもらえたらと思います。プライバシーポリシーを読まないというのは、仕方のない部分はありますが、読まないことは問題という意識は必要です。もし何かのトラブルが起これば、プライバシーポリシーの内容に基づいて様々な手続きを行うことになりますし、企業側も法的なリスクヘッジのためにプライバシーポリシーをかなり細かく作成しています。
―つまり、情報を提供する個人からすれば自分の個人情報やプライバシーを守るため、企業や組織からすると、安心して有用な情報を取得できるようにしたりリスクヘッジをするためにプライバシーポリシーを作成するということですね。勉強になります!JO-HOさん、ありがとうございました!
プライバシーポリシーは個人のため・組織のためにある
プライバシーポリシーは、個人情報の取り扱いについて定め、公表するための文書です。プライバシーポリシーがあることで個人の情報が無制限に使われることを防げますし、組織側も許可の範囲内で有用に様々な情報を使うことができます。多くの情報がスマホなどのデバイスを通して取得できる今だからこそ、しっかりとプライバシーポリシーを確認する習慣をつけましょう。