総合評価:C
いくつかの改善の余地を含んでいると評価させていただきます。
簡潔で理解しやすく、明確かつ平易な文言で書かれており、容易にアクセスできる場所に掲載されています。
ただし、一部の記載内容においては法令適合性に疑義があるといえます。また、外部送信規律の対応が行われていないと思われます。また、GDPRに対応したプライバシーポリシーが削除された理由が明らかでなく、説明を行うことが望ましいといえます(詳しくは後述)。
プライバシー保護に取り組む企業を中心に、自社のプライバシー保護に関する取組やプライバシーポリシーに関する補足説明を行う「プライバシーセンター」をウェブサイトに掲載する動きが加速しています。月間アクティブユーザ数が数百万人に上るプラットフォーム系サービスを提供する同社の国内での社会的影響力に鑑みると、字面だけではわかりにくい事項について、イラストや具体例を用いることによって視覚的に読みやすくする対応等を講じることが望ましいでしょう。
ポリシー最終改訂日:2022/12/20
ポリシー最終評価日:2023/08/31
プライバシーポリシー
https://corporate.gnavi.co.jp/policy/
法令等の表記は、以下の例によります。
法 個人情報保護法
令 個人情報保護法施行令
規則 個人情報保護法施行規則
ガイドライン通則編 個人情報の保護に関する法律についてのガイドライン(通則編)
Q&A 「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A
1. 前文等
【原文より抜粋】
ぐるなびグループ(以下、「当社グループ」といいます。)は、事業活動を推進するために必要不可欠である個人情報(特定個人情報)の活用において、個人情報(特定個人情報)の適切な保護の重要性と社会的責任を十分に認識し、個人情報(特定個人情報)保護に関する法律、その他関係法令を遵守いたします。また、個人情報(特定個人情報)の適正な取扱いおよび秘密保持を徹底するための社内ルールとして「個人情報(特定個人情報)保護マネジメントシステム」を策定し、個人情報保護方針および特定個人情報保護方針に則り全従業者がこれを遵守いたします。
*引用:個人情報(特定個人情報)保護理念
【解説】
・プライバシーポリシーが及ぶ範囲(主体)を、「ぐるなびグループ」とし、プライバシーポリシー末尾に「当社グループ」として、グループ企業名が列挙されており、後記の共同利用者の範囲が明確にされています。プライバシーポリシーは企業ごとに、あるいはサービスに各々作成することが一般的ですが、個人情報の取扱い状況に応じて、同社のようにグループで共通のプライバシーポリシーを定めることも可能です。
2. 取得する個人情報(パーソナルデータ)の項目
【原文より抜粋】
1. 個人情報の取得
当社グループは以下の方法で個人情報を取得します。
本人から口頭または書面等により直接提供いただく場合
本人が当社サービス等(商品、広告、コンテンツ等)の利用や閲覧に伴って、自動的に送信される場合
本人から同意を得た第三者から間接的に提供を受ける場合
刊行物やインターネット等で公開された個人情報を取得する場合当社グループは、Cookie等の属性情報(IPアドレス、識別子、位置情報など)より収集されたwebの閲覧履歴・行動履歴及びその分析結果を、当社サービスおよび第三者が運営するデータ・マネジメント・プラットフォームから取得し、これらの情報をお客様の個人データと結び付けたうえで広告配信等の目的で利用する場合がありますが、この場合は個人情報として取扱います。
2. 個人情報の利用目的
顧客情報
法令遵守のための情報
公開情報等により取得した情報
採用活動時の情報
従業者および退職者の情報
株主の情報
お問合わせ
*引用:1. 個人情報の取得、2. 個人情報の利用目的
【解説】
取得する個人情報(パーソナルデータ)の項目は、個人情報保護法上、通知や公表が義務付けられているわけではありません(ただし、ガイドライン等で取得する個人情報の項目が求められる場合もあります。)。しかし、利用目的を通知・公表する前提として、取得する個人情報(パーソナルデータ)の項目を記載することが望ましいといえるでしょう。
・本プライバシーポリシーでは、取得源(どのような場合に個人情報を取得するか)について言及がありますが、取得する個人情報の種類が多岐にわたるためか、「Cookie等の属性情報(IPアドレス、識別子、位置情報など)より収集されたwebの閲覧履歴・行動履歴及びその分析結果」以外については、具体的な個人情報の項目が例示されていません。なお、「2. 個人情報の利用目的」において、「種別」として一応の言及がありますが、プライバシーセンター等の別のページで詳細な説明がなされているわけでもないことに鑑みれば、例えば、氏名、住所、メールアドレス...などもう少し具体的に記載するとよいでしょう)。
3. 個人情報(パーソナルデータ)の利用目的
【原文より抜粋】
顧客情報
・当社グループが提供するサービスの会員登録・ログイン時における本人確認(生体認証含む)およびサービスの提供。
・当社グループのサービスに関する、電話・郵送・メール等によるご案内およびご連絡(以下、それぞれ「ご案内」、「ご連絡」といいます。)、アンケート調査およびメールマガジンの配信。
・回答項目に個人情報を含む場合のあるアンケート調査の実施、回答内容に記載された方への当社グループのサービス・商品のご提案、イベントのご案内等の営業活動。
・レストラン予約の手続き、予約状況管理、ご連絡、ご来店者構成の把握、ご来店時の本人確認、サービス提供のための予約店舗への提供。
・ご来店・ご購入・閲覧・行動履歴(以下、「各履歴」といいます。)または位置情報によるサービスの提供、ご利用状況の把握・分析等。
・映像を元にした特定の個人を識別できない統計データの作成および、作成したデータを利用したご来店状況の把握・分析、当社サービスの品質向上。
・各履歴を基にしたレコメンド情報、ダイレクトメールの配信・ご案内。
(抜粋省略)
*引用:2. 個人情報の利用目的
【解説】
利用目的は、単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましいとされています(ガイドライン通則編3-1-1)。
・企業が公開しているプライバシーポリシーの中には、利用目的の記載が抽象的で、記載自体からどのように利用されるのかが分かりにくいものもありますが、本プライバシーポリシーは、合理的に予測・推定できるほど利用目的が特定されているといえます。
・利用目的が詳細かつ網羅的に記載されています。
4. 個人データ(パーソナルデータ)の第三者提供
【原文より抜粋】
3-1 個人情報の提供
当社グループは、個人情報の提供にあたり、以下の場合を除き本人の同意を得ない限り第三者(外国にある第三者を含みます)へ提供をしない措置を講じます。
⑴ 法令にもとづく場合。
⑵ 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
⑶ 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
⑷ 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
⑸ 利用目的の達成に必要な範囲内において個人データの取扱いの全部または一部を委託することに伴って当該個人データを提供する場合。
⑹ 合併その他の事由による事業の承継に伴って個人データを提供する場合。なお、事業承継後は、承継前の利用目的の範囲内で利用いたします。
⑺ 特定の者との間で共同して利用する個人データを当該特定の者に提供する場合であって、その旨並びに共同して利用する個人データの項目、共同して利用する者の範囲、利用する者の利用目的および当該個人データの管理について責任を有する者の氏名または名称について、あらかじめ、本人に通知し、または本人が容易に知り得る状態に置いているとき。3-2 法人等の役員・株主等の情報提供
法人その他の団体に関する情報に含まれる当該法人その他の団体の役員および株主に関する情報であって、かつ法令にもとづき、または本人もしくは当該法人その他の団体自らによって公開または公表された情報を提供する場合は、利用目的をお伝えしたうえで本人の同意を得てこれを実施する場合がございます。
3-3 委託先の監督
個人情報を取扱う業務処理を委託する場合は、委託先に対して漏えい・滅失・毀損・紛失・改ざん・不正アクセス等が行われないよう個人情報保護に関する契約を締結し、委託先に対して監査等の適切な管理を行います。
4-2 第三者広告配信事業者が提供する広告配信について
当社は、お客様により適切な広告を表示するために、当社の保有する個人情報の一部(メールアドレス等)を本人が特定されないデータに不可逆変換した上で、第三者広告配信事業者とマッチングを行い、その結果に基づいて広告を配信することがあります。
(抜粋省略)
*引用:3.個人情報の提供、4-2 第三者広告配信事業者が提供する広告配信について
【解説】
1 総論
法令に基づく場合、人の生命、身体又は財産の保護のために必要のある場合などを除き、個人データを第三者に提供する場合には、原則として本人の同意を取得しなければならないとされています(法27条1項)。また、第三者提供の提供先(範囲や属性)について、可能な限り特定を行い、記載することが望ましいとされています(Q&A 7-9)。
・上記抜粋のとおり、法27条1項及び5項に基づいた記載があり、委託先の監督についての言及があります。
・4-2の、広告配信(例えば「Googleカスタマーマッチ」など)に関する記載が充実しています。ただし、かかる広告配信は、法的には個人データの第三者提供に当たると整理されると思われることから、「3. 個人情報の提供」に記載することが望ましいと思料します
2 外国にある第三者への提供について
外国にある第三者に個人データを提供する場合(委託や共同利用を含みます。)、法28条の定めに従う必要があります。
まず、提供先の第三者が我が国と同等の水準にあると認められる個人情報保護制度を有している国(現時点では、EEA加盟国及び英国)にある場合、当該第三者は「外国」に当たらないものとされています。
次に、基準適合体制の整備によって外国への第三者提供を整理する行う場合、「相当措置の継続的な実施を確保するために必要な措置を講じる」とともに、本人の求めに応じて「当該必要な措置に関する情報」を本人に提供しなければならないものとされています(法28条3項)。
上記の2つに該当しない場合は、「本人に参考となるべき情報」をあらかじめ提供した上で本人の同意を得なければならないとされています(法28条2項、規則17条2項)。
・「3.個人情報の提供」において「本人の同意を得ない限り第三者(外国にある第三者を含みます)へ提供をしない」としていることから、外国にある第三者への提供を前提とした記載のように思えます。すると、仮に外国の第三者に提供している実態があれば、「本人に参考となるべき情報」をあらかじめ提供しなければならないところ、本プライバシーポリシーその他検索可能な範囲では該当する記載が見つかりませんでした。具体的に、⑴当該外国の名称の一覧、⑵適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報及び⑶当該第三者が講ずる個人情報の保護のための措置に関する情報を記載することが必要です(なお、上記⑶を提供できない場合は、その旨及び理由について言及しなければならないとされています。規則17条4項)。
5. 個人データ(パーソナルデータ)の共同利用
【原文より抜粋】
個人情報(特定個人情報)保護理念
ぐるなびグループ(以下、「当社グループ」といいます。)は、(中略)個人情報保護方針および特定個人情報保護方針に則り全従業者がこれを遵守いたします。
*引用:個人情報(特定個人情報)保護理念
【解説】
個人情報保護法上、以下5項目について「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置」く場合、第三者提供に該当しないものとされています(共同利用。法27条5項3号)。
⑴共同利用をする旨、⑵共同利用する個人情報の項目、⑶共同利用者の範囲、⑷共同利用する個人情報の利用目的、⑸共同利用の管理責任者
・個人データの共同利用について、本プライバシーポリシーには該当する記載がありませんでした。
・「個人情報(特定個人情報)保護理念」から読み取れるように、同社グループにおける個人情報取扱い方針について規定するものであり、グループ企業の範囲も明確にされていることから(末尾「当社グループ」参照)、共同利用している個人データが存在することが推測されます。ただし、上記⑴ないし⑸の記載が見当たらないことからすると、仮に共同利用を行っている場合には法令違反の問題が生じると思われます。なお、⑶共同利用者の範囲については本プライバシーポリシー末尾「当社グループ」に、⑸共同利用の管理責任者については「個人情報(特定個人情報)管理責任者」にそれぞれ記載されています。
6.安全管理措置
【原文より抜粋】
当社グループは個人情報の組織的・人的・物理的・技術的安全管理措置を講じ、個人情報の漏えい・滅失・毀損・紛失・改ざん・不正アクセス等の防止に努めるとともに常に改善に努めます。
組織的安全管理措置:
(抜粋省略)人的安全管理措置:
(抜粋省略)物理的安全管理措置:
(抜粋省略)技術的安全管理措置:
(抜粋省略)外的環境の把握:
(抜粋省略)
*引用:個人情報保護方針「3.個人情報の適正な管理措置」
【解説】
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないとされています(法23条)。
また、保有個人データに関して講じた安全管理措置は、「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」に置かなければならないとされています(法32条1項4号、個人情報保護法施行令10条1号)。
講ずべき安全管理措置の例は、ガイドライン通則編10に記載があります。
・同社グループが講じている組織的・物理的・人的・技術的安全管理措置についての説明が、ユーザが理解しやすいように記載されています。
・また、「情報セキュリティポリシー」において、セキュリティ体制についての説明がされています。
7. 開示等の請求の対応
【原文より抜粋】
5-1 当社グループが扱っている保有個人データの開示等
(抜粋省略)
5-2 開示等のご請求に関する手数料およびお支払い方法
(抜粋省略)
5-3 請求手順
(抜粋省略)
*引用:5.個人情報の開示等
【解説】
個人情報取扱事業者は、保有個人データに関し、開示等の請求に応じる手続及び開示の請求に係る手数料の額について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含みます。)に置かなければなりません(法32条1項)。
・同社グループ所定の依頼書による開示請求方法について詳細に説明しており、郵送による開示等の請求について十分な言及があります。
8. 苦情・問合せ
【原文より抜粋】
個人情報(特定個人情報)お問合わせ窓口
株式会社ぐるなび
〒100-0006
東京都千代田区有楽町1-1-2 日比谷三井タワー11F
「個人情報(特定個人情報)お問合わせ窓口 苦情・相談窓口責任者宛」
お問合わせはこちら
*引用:個人情報(特定個人情報)に関する苦情・相談等のお問合わせ
【評価結果】
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならず、必要な体制の整備に努めなければならないとされており(法40条)、保有個人データの取扱いに関する苦情の申出先について本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならないとされています(法32条1項4号、令10条2号)。
・お問合せに必要な情報として、「個人情報(特定個人情報)お問合わせ窓口」からオンラインで連絡する手段が記載されており、ユーザが戸惑うことなく問合せフォームにアクセスすることができます。また、オンラインでの連絡手段のほか、窓口の住所が記されており、郵便による問い合わせも可能にしています。
9. Cookie等の取扱い
【原文より抜粋】
⑴当社グループは、お客様にとってより使いやすく、より価値ある情報をご提供するためにCookie(以下、「クッキー」といいます。これに類似の技術を含みます。)を使用することがあります。
クッキーは、Webサイトを利用されたときにご利用のパソコン等に一時的にデータを保存させるもので、これを利用することにより当社グループのサーバに、当社グループサイト内におけるお客様の行動履歴(アクセスしたURL、コンテンツ、参照順序等)や、年齢や性別、職業、居住地域、ご来店履歴、位置情報等個人が特定できない属性情報(それらの組み合わせによっても個人が特定できないもの)を取得することがあります。
お客様がご自分に関する情報の取得を望まれない場合は、インターネット閲覧ソフト(ブラウザ)の設定により、クッキーの受け取りを拒否することも可能です。ブラウザの設定方法は各ソフト製造元へお問合わせください。なお、クッキーの受け取りを拒否された場合、ログイン保持機能等、当社グループサービスの一部がご利用できなくなることがあります。
⑵当社グループは、第三者が提供する広告配信サービスを利用しております。その際、当該第三者は、クッキー等によってお客様の当社グループサイトへのご訪問・行動履歴情報を取得、利用する場合があります。
当該第三者によって取得されたクッキー情報等は、当該第三者のプライバシーポリシーに従って取扱われます。
お客様は、当該第三者のウェブサイト内に設けられたオプトアウトページにアクセスして、当該第三者によるクッキー情報等を利用する広告配信を停止することができます。
(抜粋省略)
*引用:4.行動履歴、属性情報および第三者の広告配信について、行動履歴、属性情報および第三者の広告配信に利用しているCookie一覧
【解説】
Cookieはそれ単体では個人情報に該当しない(法2条1項)ものの、保有する個人情報と紐付け個人を識別することができるようにしている場合は、Cookieにより取得した情報も含む全体が個人情報に該当し、個人情報の規制が及びます。外部送信規律により公表等の措置を講じる必要がある場合を別として、Cookieの取扱いについて個人情報保護法上、プライバシーポリシーで定めることは必須ではないものの利用する具体的なCookieの種類や内容、管理・選択方法等を一律にしてあらかじめ公表しておくことが望ましいといえます。
Cookieは個人関連情報に該当しますが、個人関連情報を第三者に提供する場合、提供先の第三者が個人データとして取得することが想定される場合、提供先においてあらかじめ本人の同意を取得し、提供元において当該同意の取得を確認しなければならないとされています(法31条1項)。
・Cookie等の利用について、ユーザが理解できるように用語の説明がなされており、またオプトアウトページについても、第三者配信事業者ごとに列挙されています。
10. 外部送信規律
【解説】
令和4年に電気通信事業法が改正され、いわゆる「外部送信規律」が設けられたことで、電気通信事業者又は同法上の第三号事業を営む者は、情報送信指令通信(外部送信)を行う際に、次の事項につき、通知又は容易に知り得る状態に置く(以下「公表」といいます。)など一定の措置を講じるものとされました(電気通信事業法27条の12)。
⑴ 送信されることとなる利用者に関する情報の内容
⑵ 送信先となる第三者の名称
⑶ 利用者に関する情報の利用目的(利用目的については、送信元の利用目的と送信先の利用目的のいずれも記載する必要があります。電気通信事業における個人情報等の保護に関するガイドラインの解説258頁)。
外部送信規律への対応が求められる企業の多くは、公表によって対応しているように見受けられます。公表によって対応する場合には、外部送信を行うウェブページ又は当該ウェブページから容易に到達できるウェブページにおいて、法定の事項を表示すべきとされています(電気通信事業における個人情報等の保護に関するガイドラインの解説254頁)。
なお、外部送信規律の詳細については、解説記事をご参照ください。
・例えば、同社が運営する飲食店の情報を集めたウェブサイト「ぐるなび」やウェブメディア「みんなのごはん」は「利用者の利益に及ぼす影響が少なくない電気通信役務(電気通信事業法27条の12、電気通信事業法施行規則22条の2の27第2号、4号)」に該当しうるため、それにより外部送信を行う場合は上記義務を負う可能性があります(電気通信事業法27条の12、164条1項3号)。
・同社ホームページ及びサービストップページ上から容易に到達できる範囲では、該当する記載が見つかりませんでした。法令上必ずしも上記事項の「公表」が義務付けられているわけではなく「通知」等によっても対応できますが(サイト訪問時にポップアップ表示する等)、実際には「公表」が比較的負担の少ない対応だと考えられ、ウェブページ上で上述3点を公表することを推奨いたします。
11. GDPRへの対応
【解説】
GDPRが適用される場合、個人データの処理に当たって、データ主体の同意、契約の履行にとって必要な場合、法的義務の遂行にとって必要な場合、管理者又は第三者によって求められる正当な利益の目的に必要な場合など、GDPR6条1項に掲げられている事項のうちいずれかに根拠を求める必要があります。
・2023年4月時点では、GDPRに対応したプライバシーポリシーが公開されていましたが(リンク:https://corporate.gnavi.co.jp/policy/gdpr.html)、2023年8月現在では、当該ページは削除されているようです(なお、英語版プライバシーポリシーは、日本語版と内容は同一です。)。GDPRに対応したプライバシーポリシーが削除された理由は明らかでありませんが、同社がGDPRの適用を受けないと判断した結果、削除に至ったと推測されます
・GDPRプライバシーポリシーが削除された理由が判然としないため、削除された理由や、GDPRが適用されると整理していた時期に管理していたEEA域内のデータ主体の個人データをどのように取り扱うのかについて説明することがユーザビリティに資するでしょう。