プライバシーポリシーは、個人情報を取り扱う事業者であれば策定し公表している場合が多いかと思いますが、記載内容については原則として特段のルールはないため、各企業で自由に文書化している場合が多いかと思います。
ただ、業種によってはガイダンスやガイドラインが定められている場合があり、代表的なものとしては「金融分野ガイドライン」や「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」が挙げられます。
このような業種の事業者は、注意が必要な情報を常に取り扱うことから個人情報保護に関する要求レベルも高く、上記ガイドライン等に準拠するよう十分に検討した上でプライバシーポリシーを策定・公表しているものと推察されます。
ただ、それ以外の事業者にとっては守るべきガイドライン等に関する情報も乏しいため、自己に関係する情報についてあまり気にしていない場合もあるかと思います。
そこで、この記事では多くの事業者に関係する可能性があるものとして、総務省が公表する「スマートフォン プライバシー セキュリティ イニシアティブ」(略してSPSI)を紹介します。
SPSIとは?
SPSIとは、スマホアプリの利用者情報の適切な取扱いに関して、個人情報保護法や電気通信事業法などの法令の趣旨を取り入れながら、スマホアプリに関する事業者が取り組むことが望ましい基本的事項を定めて総務省が提言する「指針」です。
このような指針はSPSIが初めてではなく、「スマートフォン プライバシー イニシアティブ」(SPI)の名称で平成24年8月に公表された後、それに続くSPI II、SPI IIIを経た上で、令和6年11月に公表されました。
基本原則
SPSIでは、スマホアプリ提供者が従うことが望ましい「基本原則」を定めています。
- 透明性の確保
- 利用者関与の機会の確保
- 適正な手段による取得の確保9・不適正利用の禁止
- 適切な安全管理の確保
- 苦情相談への対応体制の確保
- プライバシー・バイ・デザイン/セキュリティ・バイ・デザイン
- 特定の情報及び利用者の属性に応じた配慮
それを受けて、アプリケーションごとに日本語でプライバシーポリシーの作成し、スマホアプリ利用者が容易に参照できる場所への掲示またはリンク設置が望ましいとされています。
プライバシーポリシーへの記載が望ましい項目
スマホアプリについてのプライバシーポリシーは、ただ作成し公表すればよいというものではなく、以下の10個の事項について明示することが望ましいとされています。
①アプリケーション提供者の氏名又は名称及び連絡先等
個人情報保護法では、個人情報を取り扱う者(個人情報取扱事業者)の氏名と住所、法人であれば代表者氏名を本人が知り得る状態におくことが義務付けられていますが、プライバシーポリシーへの明示までは求められていません。
しかし、SPSIでは、個人情報の取扱いの有無に関わらず、アプリを提供する者についての情報(氏名または名称、連絡先等)をプライバシーポリシーに明示することが望ましいとされています。
②アプリケーション提供者が取得する利用者情報の項目等
個人情報保護法では、原則として取得する個人情報の項目の明示までは求められていませんが、SPSIでは取得する利用者情報の項目や内容をプライバシーポリシーに列挙することが望ましいとされています。
③アプリケーション提供者による取得方法
利用者情報を取得する場合において、それが利用者の入力によるものなのか、アプリが自動的に取得しているものなのかといった取得方法を明確に示すことが望ましいとされています。
④利用目的の特定・明示
これは個人情報保護法上でも求められるものであり、通常プライバシーポリシーには記載する項目かと思います。
なお、漠然と記載するのではなく、利用目的をしっかり特定した上で、明確に記載することが望ましいとされています。
⑤第三者提供、外国の第三者に対する提供、共同利用及び情報収集モジュールに関する記載事項
個人情報保護法上の要求と重複するところもありますが、第三者提供等についても指針が定められています。
取得した利用者情報を第三者に提供する場合は、それを利用目的とすることに加えて、第三者に提供される情報の項目等を明確に記載することが望ましいとされています。
また、提供先(委託先や共同利用相手も含みます)が外国にある場合は、上記に加えて提供先の第三者の所在国名などもプライバシーポリシーに記載することが望ましいとされています。
共同利用についても、個人情報保護法による第三者提供の規定を適用しないための要件として規定されている項目と同じもの(共同利用する旨、共同利用される情報の項目、共同利用する者の範囲、利用目的、共同利用に責任を有する者の氏名・連絡先)を明確にプライバシーポリシーに記載することが望ましいとされています。
そして、見落としがちなのが、「情報収集モジュールに関する記載事項」です。
情報収集モジュールとは、アプリに組み込むことで自動的に利用者情報を取得する機能をもつプログラムを指し、例えばAppsFlyerやGoogle Firebase、adujstなどが該当します。
これらのプログラムやライブラリをアプリに組み込んで利用している場合は、そのモジュールの名称、提供者名(外国にある第三者の場合は国名も)、取得される利用者情報の項目(*)、利用目的(*)、モジュール提供者による情報利用の有無、第三者提供・外国の第三者への提供・共同利用の有無など(*)について、情報収集モジュールごとに記載するとともに、各情報収集モジュール提供者のプライバシーポリシーへのリンクなどにより容易に参照できるようにすることが望ましいとされています。
(*印の項目は、情報収集モジュール提供者のプライバシーポリシーなどに明示されている場合は、そのリンクを張ることにより代替可能)
⑥同意取得の方法及び利用者関与の方法
同意取得の対象となる利用者情報の範囲や取扱い方法について、プライバシーポリシーに記載することが望ましいとされています。
また、同意しなければ利用できない機能と同意なく利用できる機能がある場合は、同意取得前に明示するとともに、同意をしない選択肢も提示することが望ましいとされています。
加えて、利用者情報の取得や利用を中止する方法についても記載することが望ましいとされています。
⑦問合せ窓口
電話番号やメールアドレス、問合せフォームなど、問合せ窓口の連絡先をプライバシーポリシーに記載することが望ましいとされています。
⑧プライバシーポリシーの変更を行う場合の手続
プライバシーポリシーの変更は通常想定されるものです。
個人情報保護法では特段の規定はありませんが、SPSIでは変更した際の通知方法などを記載することが望ましいとされています。
⑨利用者の選択の機会の内容、データポータビリティに係る事項
利用者情報の取得・利用の停止を利用者が求めることができるか否かについて、そして停止を求める方法や停止後におけるアプリの継続利用可否などについても記載することが望ましいとされています。
また、データポータビリティを確保している場合は、利用者情報の移転方法や移転先の条件についても記載することが望ましいとされています。
⑩委託に関する事項
個人情報保護法では特段の規定はありませんが、利用者情報の取扱いを外部に委託する場合には、委託を行う情報の内容や委託先、委託目的をプライバシーポリシーに記載することが望ましいとされています。
プライバシーポリシーの運用
先述の内容を含めたプライバシーポリシーを策定したとしても、その透明性が確保され、適切に運用されないと意味がありません。
そのため、SPSIでは、利用者が容易にプライバシーポリシーを参照できる、また利用者が容易に理解できるように、利用者にとってわかりやすい方法で示されること(例えばプラバシーポリシーのわかりやすい概要を作成)が望ましいとされています。
また、利用者からの同意を取得するタイミングについても、原則としてアプリをダウンロードまたはインストールする前に行うことが望ましく、それらが難しい場合でも初回起動時に処理が実行される前に行うことが望ましいとされています。
その他、苦情相談への対応体制の確保や、適切な安全管理措置、ダークパターン(※)回避の対応なども重要です。
※ダークパターンとは:利用者を欺いたり操作したりするような方法又は利用者が情報を得た上で自由に決定を行う能力を実質的に歪めたり損なったりする方法で、ユーザインタフェースを設計・構成・運営すること
適切なプライバシーポリシー作成を
以上のとおり、スマホアプリの提供に関しては指針が定められており、これに反しないよう適切なプライバシーポリシーの策定と運用が求められます。
SPSIはあくまで指針であり、法的拘束力をもつものではありません。
そのため、指針に従わなかったからといって直ちに罰則などが適用されるものではありませんが、ただ事業者側のコンプライアンス向上やスマホ利活用の促進のためにも非常に重要なものですので、しっかり理解しておくことが大切です。