総合評価:A
模範的なプライバシーポリシーです。
必要な項目について十分具体的に書かれており、読みやすいプライバシーポリシーです。例えば第三者提供や外部送信規律など、多くの企業で対応が必ずしも十分でない項目についても充実した記載があり、ガイドラインや改正法令への対応を含め企業として意識の高さが窺えます。
また、ISO/IEC 27001(情報セキュリティマネジメントシステム(ISMS))の認証を取得しています。
なお、プライバシーセンターは設けられていません。
ポリシー最終改訂日:2023/07/01
ポリシー最終評価日:2023/09/12
NewsPicks プライバシーポリシー
https://newspicks.com/policy/privacy-policy-ja/
(株式会社ユーザベース プライバシーポリシー)
https://www.uzabase.com/jp/privacy/
法令等の表記は、以下の例によります。
法 個人情報保護法
令 個人情報保護法施行令
規則 個人情報保護法施行規則
ガイドライン通則編 個人情報の保護に関する法律についてのガイドライン(通則編)
Q&A 「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A
1. 前文等
【原文より抜粋】
株式会社ユーザベース(以下「当社」といいます。)は、企業活動の意思決定を支える情報インフラの提供を行っております。当社が取扱う個人情報の保護について、社会的責任を十分に認識して、個人の権利利益を保護し、個人情報に関する法規制等を遵守致します。
また、以下に示す方針を具現化するために、個人情報保護マネジメントシステムを構築し、最新のIT技術の動向、社会的要請の変化、経営環境の変動等を常に認識しながら、その継続的な改善に、全社を挙げて取り組むことをここに宣言致します。
【方針】
(抜粋省略)
第1条 ユーザー情報の取扱い
当社は、当社が運営管理するサービス「NewsPicks」及び同サービスに関連するすべてのサービス(以下「本サービス」と総称します)におけるユーザーの情報(以下「ユーザー情報」といいます)を以下の通り取り扱います。 なお、本サービスのうち「JobPicks」は株式会社NewsPicks for Business(以下「NP4B」といいます)が提供しており、そのため、JobPicksのご利用にあたっては、本ポリシーにおける「当社」のうち必要な箇所をNP4Bに読み替えて適用するものとします。
*引用:前文
【解説】
・企業が扱う個人情報には、サービス利用者、取引先のほかに従業員も含まれますが、本プライバシーポリシーには、取引先や従業員に関する記載が含まれていません。全ての適用対象者をまとめてプライバシーポリシーを作成するとプライバシーポリシーが長くなり、自身に関わる記載部分を判別しにくくなるので、株式会社ユーザベース(以下、「ユーザベース社」とします)のように多くの個人のサービス利用者を抱えるような企業は、このように適用対象者を分割して作成することをお勧めします(なお、取引先や従業員、採用選考等に関する個人情報の取扱いについては、ユーザベース社のプライバシーポリシーに別途規定があります)。
*なお、本レビューにおいては、NewsPicksを利用するユーザを想定し、NewsPicksプライバシーポリシーを評価対象とし、必要に応じてユーザベース社プライバシーポリシーを参照します。
・本プライバシーポリシーにおける対象範囲(取り扱う情報)を「個人情報(法2条1項)」より広く、「NewsPicks(省略)におけるユーザーの情報(ユーザー情報)」と定義しています。対象情報を「個人情報」にとどめるのは飽くまで法令上の最低ラインであるため、本プライバシーポリシーのように、「パーソナルデータ」や「ユーザー情報」等と定義し、広くユーザに関する情報の取扱いを明らかにすることは参考になります。
2. 取得する個人情報(パーソナルデータ)の項目
【原文より抜粋】
当社が、本サービスにおいて取得するユーザー情報は、以下の通りです。
1. ユーザーから提供を受けた情報又はユーザーから許可を得て取得した情報
(1) ユーザーに関する情報
当社は、ユーザーが本サービスのアカウントを作成するにあたり、一定の情報の提供をお願いしています。これらの情報には、氏名、ユーザネーム、メールアドレス、自己紹介、プロフィール画像といった情報が含まれます。
(2) コメント等のアクション情報
当社は、本サービスの利用に関するユーザーのアクションに応じたコメント、写真、シェアなどの情報及びその他ユーザーのアクションに関する情報を、その日時とともに収集致します。
(3) SNSに関する情報
ユーザーが、Facebook又はtwitter等の第三者が提供するソーシャルネットワーキングサービスと連携させて本サービスにアクセスする場合、ユーザーの許諾の内容にしたがって、性別、年齢、興味のある対象、地域やそのFacebook内の友人関係、Facebook内で「いいね!」しているものに関する情報なども入手します。
(4) 調査等に関する情報
当社は、当社が実施する各種調査・アンケート等に参加いただくため、ユーザーに連絡することがあります。ユーザーが調査等に参加される場合、個人情報を含む情報の提供をお願いすることがあります。
2. 本サービスの利用情報
(1) 端末情報
当社は、ユーザーが利用する機器情報(OS、端末の個体識別情報等)を取得する場合があります。
(2) ログ情報
ユーザーが本サービスを利用した際のIP アドレス、ブラウザ種類、ブラウザ言語等の情報が自動で生成、保存されます。また、当社は、Cookie、広告識別子(AAID、IDFA)やJavaScriptなどの技術を利用し、ユーザーの行動履歴を取得することがあります。
(抜粋省略)
*抜粋:第2条 当社が取得するユーザー情報
【解説】
取得する個人情報(ユーザー情報)の項目は、個人情報保護法上、通知や公表が義務付けられているわけではありません(ただし、ガイドライン等で取得する個人情報の項目が求められる場合もあります。)。しかし、利用目的を通知・公表する前提として、取得する個人情報(ユーザー情報)の項目を記載することが望ましいといえるでしょう。
・本プライバシーポリシーでは、取得するユーザー情報につき、ユーザが自発的に提供する情報(「1.」)、利用に伴って送信される情報(「2.」)に分類し、それぞれにつき、取得する情報を詳細かつ具体的に記載しています。
3. 個人情報(パーソナルデータ)の利用目的
【原文より抜粋】
当社は取得したユーザー情報を以下の目的で利用致します。
1. 本サービスを提供するため
(1) ユーザアカウントの作成・管理
(2) メールマガジンの送付
(3)ユーザーの属性やアクション情報、ログ情報等を分析することにより、ユーザーごとにカスタマイズされたコンテンツを提供する
(4)他のユーザーに対して、ユーザー情報を示してフォローする候補者を推薦する
(5)本サービス(アプリケーションプログラミングインタフェース(API)を経由し、又はその他の方法により、本サービスと連携する第三者の媒体、プラットフォーム等を含む)上でユーザー情報を表示する
(6)有料サービス利用時等における請求処理
2. カスタマーサポート、お問合せ対応のため
(抜粋省略)
3. キャンペーン等の抽選及び賞品や商品発送のため
4. 本サービスの不正利用防止又は不正利用に関する調査のため
5. 利用状況の調査、本サービス改善、新サービス等の検討のため
(抜粋省略)
6. 本サービスその他各種サービスの情報提供のため
(抜粋省略)
7. 広告の配信及び広告配信結果の分析を実施するため
(抜粋省略)
8. 「第4条 ユーザー情報の第三者への開示・提供」及び「第5条 ユーザー情報の共同利用」のため
9. その他ユーザーに同意いただいた利用目的
*引用:第3条 ユーザー情報の利用目的
【解説】
まず、個人情報保護法上、個人情報を取得した場合、利用目的を本人に通知し、又は公表しなければならず(法21条1項)、通知又は公表を行う前提として、利用目的をできる限り特定する必要があります(法17条1項)。また、直接書面(電磁的記録を含む。)に記載された個人情報を取得する場合は、あらかじめ、本人に対し、利用目的を明示する必要があります(法21条2項)。利用目的を変更する場合、変更前の利用目的と関連性を有すると合理的に認められる範囲(予測可能性のある範囲)を超えて行うことはできません(法17条2項)。
利用目的は、単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましいとされています(ガイドライン通則編3-1-1)。
・企業が公開しているプライバシーポリシーの中には、利用目的の記載が抽象的で、記載自体からどのように利用されるのかが分かりにくいものもありますが、本プライバシーポリシーは、柱書に記載された利用目的に対応して具体例がそれぞれ示されており、合理的に想定できる程度に利用目的が十分特定されているといえます。
4. 個人データ(パーソナルデータ)の第三者提供
【原文より抜粋】
当社は、取得したユーザー情報を、以下の場合を除き、第三者に提供することはございません。
1.第三者に提供することについて事前の同意を頂いている場合
2. 前条1.(5)記載の目的のために、本サービスと連携する第三者の媒体、プラットフォーム等においてユーザー情報を含むユーザーコンテンツを公開する場合
(3. 〜7. 抜粋省略)
8. 業務委託契約に基づいて、ユーザー情報の取扱いの一部又は全部を外部の会社に委託する場合(サーバーへの蔵置及び本サービスの品質を向上する目的で、業務委託先に情報の管理及び分析を委託する場合も含みます)。この場合、当社はユーザー情報の取り扱いに関する契約の締結や委託先においてユーザー情報の安全管理が図られるよう適切に監督します。
9. 合併、会社分割、事業譲渡その他の事由によって事業の継承が行われる場合
10. 当社の広告配信及びその効果分析のためにユーザー情報を提供する場合
当社は、本サービスその他の当社サービスに関する広告を配信し、また、その効果を分析するために、広告配信会社等の事業者(以下「広告提携事業者」といいます。)にユーザー情報を提供することがあります。この場合における、開示される情報の種類は以下の通りとなります。 なお、広告提携事業者において収集された情報は、当社に提供・開示されることなく、広告提携事業者が定めるプライバシーの考え方について管理・利用されることになります。また、広告提携事業者から配信される広告には、当該広告提携事業者が本サービス以外のサイトで収集した行動履歴等を利用した行動ターゲティング広告が含まれます。提携先によるこのような行動ターゲティング広告の配信を無効にしたい場合は、下記「広告提携事業者一覧」に記載する各事業者のオプトアウトページにアクセスし、手順に従って手続きを行ってください。
【開示される情報の種類】
第2条2.に定めるユーザーの端末情報、ログ情報、広告識別子(AAID、IDFA)及びユーザーの属性情報。
11. 前条7.(2)記載の目的のために、広告主となる事業者又は当該事業者の委託先事業者に対して下記情報を提供する場合。
【開示される情報の種類】
ユーザーが本サービスに掲載される広告ページにアクセスした事実及び当該ユーザーの広告識別子(AAID、IDFA)。
12. 「NewsPicks トピックス」のコンテンツをユーザーが閲覧した場合における閲覧履歴及び当該閲覧履歴に関する統計データを、当該コンテンツを投稿した「NewsPicks トピックス」のオーナー及びモデレーターに対して提供する場合。
*引用:第4条 ユーザー情報の第三者への開示・提供
当社は、以下の場合において外国(本邦の域外にある国又は地域をいいます)にある第三者に個人データの提供・保管等をすることがあります。当社が提供等をする可能性のある外国の名称及び当該外国の制度等に関する情報の一覧は、別紙に記載しております。
また、当社が個人データを提供する外国の第三者は、当該国の個人情報保護に関する法規制を遵守する等、個人情報の保護が十分に図られるような措置を講じております。
【個人データを第三者に提供する場合】
個人データの提供先が外国にある第三者の場合、利用目的に定める範囲で個人データを利用します。
【個人データの取扱い又は保管等を外部委託する場合】
当社は、個人データの全部又は一部を、外国にある委託先に提供し、又はクラウドその他の方法での保管等を委託する場合があります。この場合、当社は当該委託先に対して必要かつ適切な監督を行います。
【外国にあるユーザベースグループと個人データを共同利用する場合】
ユーザベースグループの一部は外国を拠点としており、当社は、共同利用について定める目的等の範囲で、外国のユーザベースグループとの間でも個人データを共同利用します。なお、ユーザベースグループの拠点一覧はこちらに記載されております。
*引用:第6条 外国第三者への提供・保管等
【解説】
1 総論
法令に基づく場合、人の生命、身体又は財産の保護のために必要のある場合などを除き、個人データを第三者に提供する場合には、原則として本人の同意を取得しなければならないとされています(法27条1項)。また、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的において、その旨が明確に分かるよう特定しなければならないとされています(ガイドライン通則編3-1-1)。
・本プライバシーポリシー第4条にて、法定の例外事項も含めた具体的な記載が列挙されています。また、「8.」では、委託先の監督義務(法25条)の履行についても明記されています(法令で義務付けられているため、必ずしも記載しなければならない事項ではありませんが、有用な記載といえます)。
・抜粋「10. 当社の広告配信及びその効果分析のためにユーザー情報を提供する場合」として、「広告提携事業者」について記載されており、「開示される情報の種類」やオプトアウトによる無効化の方法など、読み手に必要な説明が十分にあると評価できるでしょう。
2 外国にある第三者への提供について
外国にある第三者に個人データを提供する場合(委託や共同利用を含みます。)、法28条の定めに従う必要があります。
まず、提供先の第三者が我が国と同等の水準にあると認められる個人情報保護制度を有している国(現時点では、EEA加盟国及び英国)にある場合、当該第三者は「外国」に当たらないものとされています。
次に、基準適合体制の整備によって外国への第三者提供を整理する行う場合、「相当措置の継続的な実施を確保するために必要な措置を講じる」とともに、本人の求めに応じて「当該必要な措置に関する情報」を本人に提供しなければならないものとされています(法28条3項)。
上記の2つに該当しない場合は、「当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他本人に参考となるべき情報」をあらかじめ提供した上で本人の同意を得なければならないとされています(法28条2項、規則17条2項)。
・本プライバシーポリシーでは「当社が提供等をする可能性のある外国の名称及び当該外国の制度等に関する情報の一覧」を「別紙」と題したPDFにまとめています。細目的な事項をプライバシーポリシー本文に記載せず別紙形式で掲載することで、本文が長くなることを防止し、ユーザの見やすさに配慮しているといえます。
・別紙では、規則17条2項各号に関する記載(外国の名称、個人情報保護法制に関する情報、第三者が講ずる個人情報保護のための措置に関する情報)がなされています。
5. 個人データ(パーソナルデータ)の共同利用
【原文より抜粋】
当社は、より良いサービスを提供するため、株式会社ユーザベース並びに同社の子会社及び関連会社(以下併せて「ユーザベースグループ」といいます。)と、厳格な管理のもとに適切な安全措置を講じて、ユーザー情報を共同利用します。
【共同利用するグループ会社】
ユーザベースグループ各社【共同利用する個人データの項目】
第2条に規定するユーザー情報【共同利用の目的】
第3条に規定する利用目的と同一の目的(但し、本項目においては、「本サービス」を「ユーザベースグループが提供するサービス」と、「当社」を「ユーザベースグループ各社」と読み替えるものとします)【共同利用する個人データの管理責任者】
株式会社ユーザベース
株式会社ユーザベースの住所・代表者等の情報については、以下をご参照ください。
https://www.uzabase.com/jp/company
*引用:第5条 ユーザー情報の共同利用
【解説】
個人情報保護法上、以下5項目について「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置」く場合、第三者提供に該当しないものとされています(共同利用。法27条5項3号)。
⑴共同利用をする旨、⑵共同利用する個人情報の項目、⑶共同利用者の範囲、⑷共同利用する個人情報の利用目的、⑸共同利用の管理責任者
・上記⑴から⑸に対応した記載がなされています。なお、「共同利用するグループ会社」については、読み手に配慮し、同グループ各社の一覧が確認できるページに遷移できるリンクを挿入する方法も一考に値します。
6.安全管理措置
【原文より抜粋】
第7条 情報の安全管理
当社は、取得するユーザー情報に関して、漏洩、滅失又は毀損の防止、その他安全管理のために必要かつ適切な措置を講じます。
情報セキュリティ基本方針(プライバシーポリシー外ページ)
(抜粋省略)
*引用:第7条 情報の安全管理
【解説】
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないとされています(法23条)。
また、保有個人データに関して講じた安全管理措置は、「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」に置かなければならないとされています(法32条1項4号、個人情報保護法施行令10条1号)。
講ずべき安全管理措置の例は、ガイドライン通則編10に記載があります。
・ユーザベース社が講じている安全管理措置については、ユーザベース社プライバシーポリシーから遷移できる「情報セキュリティ基本方針」にて、具体的な記載があり、組織的・人的・技術的セキュリティ対策を講じていることが分かります。また、サービスごとにダウンロードできるセキュリティチェックシートも参考になります。
7. 開示等の請求の対応
【原文より抜粋】
本ポリシーに関する不明点、ユーザー情報に関する苦情及び相談、ユーザー情報の開示・訂正・利用停止その他法令に定められている開示手続等について、以下の窓口までメールにてご連絡ください。なお、お問合せ内容によっては、ご本人確認(公的な証明書の写しを郵送して頂く場合を含みます)及び当社所定の書面に必要事項をご記入頂く場合がございます。
(抜粋省略)
*引用:第8条 お問合わせ
【解説】
個人情報取扱事業者は、保有個人データに関し、開示等の請求に応じる手続及び開示の請求に係る手数料の額について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含みます。)に置かなければなりません(法32条1項)。
・プライバシーポリシーに開示等の手続についての記載はありませんが、明示された窓口まで問い合わせることで知ることができるため、「本人の知り得る状態」にあるといえます。
8. 苦情・問合せ
【原文より抜粋】
本ポリシーに関する不明点、ユーザー情報に関する苦情及び相談、ユーザー情報の開示・訂正・利用停止その他法令に定められている開示手続等について、以下の窓口までメールにてご連絡ください。なお、お問合せ内容によっては、ご本人確認(公的な証明書の写しを郵送して頂く場合を含みます)及び当社所定の書面に必要事項をご記入頂く場合がございます。
(抜粋省略)
*引用:第8条 お問合わせ
【評価結果】
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならず、必要な体制の整備に努めなければならないとされており(法40条)、保有個人データの取扱いに関する苦情の申出先について本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならないとされています(法32条1項4号、令10条2号)。
・ユーザーが苦情を申し出るための情報として、「お問合せ窓口」のメールアドレスが示されています。
9. Cookie等の取扱い
【原文より抜粋】
2. 本サービスの利用情報
(1) 端末情報
当社は、ユーザーが利用する機器情報(OS、端末の個体識別情報等)を取得する場合があります。(2) ログ情報
ユーザーが本サービスを利用した際のIP アドレス、ブラウザ種類、ブラウザ言語等の情報が自動で生成、保存されます。また、当社は、Cookie、広告識別子(AAID、IDFA)やJavaScriptなどの技術を利用し、ユーザーの行動履歴を取得することがあります。※本サービスでは、ユーザーがより便利に本サービスを利用して頂けるよう「Cookie」という技術を使用することがあります。これは、ユーザーのコンピュータが本サービス上のどのページにアクセスしたかを記録しますが、ユーザーが本サービスにおいてご自身の個人情報を入力されない限りユーザーを特定したり、識別することはできません。
Cookieの使用を希望されない場合は、ご本人のブラウザの設定を変更することにより、Cookieの使用を拒否することができますが、その場合には、本サービスの一部又は全部をご利用できなくなる場合がありますので、あらかじめご了承ください。
※当社は、その情報単体では個人情報に該当しない属性情報(例:年齢・性別等)、Cookie、IPアドレス、広告識別子(AAID・IDFA)、位置情報・行動履歴といったインターネットの利用にかかるログ情報を、ユーザーの個人情報と紐付ける場合がありますが、この場合には当該情報も個人情報として取り扱います。
*引用:第2条 当社が取得するユーザー情報
利用者に関する情報の外部送信について
NewsPicksにおいては、Cookieその他のトラッキングのための技術(「Cookie等」)を使用し、ユーザーの皆様に関する情報を外部の第三者に送信することがあります。 以下、本サービスにおいて、どのような情報を、誰に対し、どのような目的で送信しているかを、記載いたします。
※Cookie等とは、ユーザーがウェブサイトにアクセスした際にユーザーのデバイスに保存されるテキストファイルおよびこれに類似する技術(Webビーコン等を含む)によって保存される電子ファイルをいいます。私たちは、ユーザーの皆様により便利にサービスを利用いただき、また、ウェブサイトがどのように利用されているかを把握する目的でCookie等を使用しています。
【解説】
Cookieはそれ単体では個人情報に該当しない(法2条1項)ものの、保有する個人情報と紐付け個人を識別することができるようにしている場合は、Cookieにより取得した情報も含む全体が個人情報に該当し、個人情報に対する規制が及びます。外部送信規律により公表等の措置を講じる必要がある場合を別として、Cookieの取扱いについて個人情報保護法上、プライバシーポリシーで定めることは必須ではないものの、利用する具体的なCookieの種類や内容、管理・選択方法等を一律にしてあらかじめ公表しておくことが望ましいといえます。
Cookieは個人関連情報に該当しますが、個人関連情報を第三者に提供する場合、提供先の第三者が個人データとして取得することが想定される場合、提供先においてあらかじめ本人の同意を取得し、提供元において当該同意の取得を確認しなければならないとされています(法31条1項)。
・馴染みのない読み手に配慮し、端末情報やログ情報、Cookieの技術についての簡単な説明があり、中でもCookieの使用を希望しない場合はブラウザ設定を変更することにより使用を拒否することができることが注意的に記載されています。
10. 外部送信規律
【原文より抜粋】
NewsPicksにおいては、Cookieその他のトラッキングのための技術(「Cookie等」)を使用し、ユーザーの皆様に関する情報を外部の第三者に送信することがあります。 以下、本サービスにおいて、どのような情報を、誰に対し、どのような目的で送信しているかを、記載いたします。
※Cookie等とは、ユーザーがウェブサイトにアクセスした際にユーザーのデバイスに保存されるテキストファイルおよびこれに類似する技術(Webビーコン等を含む)によって保存される電子ファイルをいいます。私たちは、ユーザーの皆様により便利にサービスを利用いただき、また、ウェブサイトがどのように利用されているかを把握する目的でCookie等を使用しています。
・ Google Analytics
送信される利用者情報:ファーストパーティの Cookie、デバイス / ブラウザに関連するデータ、IP アドレス、サイト内 / アプリでのアクティビティ
サービス提供者:Google LLC
当社の利用目的:アクセス解析
送信先の利用目的:アクセス解析
(以下抜粋省略)
【解説】
令和4年に電気通信事業法が改正され、いわゆる「外部送信規律」が設けられたことで、電気通信事業者又は同法上の第三号事業を営む者は、情報送信指令通信(外部送信)を行う際に、次の事項につき、通知又は容易に知り得る状態に置く(以下「公表」といいます。)など一定の措置を講じるものとされました(電気通信事業法27条の12)。
⑴ 送信されることとなる利用者に関する情報の内容
⑵ 送信先となる第三者の名称
⑶ 利用者に関する情報の利用目的(利用目的については、送信元の利用目的と送信先の利用目的のいずれも記載する必要があります。電気通信事業における個人情報等の保護に関するガイドラインの解説258頁)。
外部送信規律への対応が求められる企業の多くは、公表によって対応しているように見受けられます。公表によって対応する場合には、外部送信を行うウェブページ又は当該ウェブページから容易に到達できるウェブページにおいて、法定の事項を表示すべきとされています(電気通信事業における個人情報等の保護に関するガイドラインの解説254頁)。
なお、外部送信規律の詳細については、解説記事をご参照ください。
・「利用者に関する情報の外部送信について」と題されたページから確認することができます。なお、ユーザベース社のホームページからは直接到達できるリンクは見当たらず、NewsPicksプライバシーポリシーページのフッターに配置されたリンクからアクセスできるようになっています。各サービスのそれぞれのページから容易に到達ができるページに公表事項が記載されており法的には問題ありませんが、容易に到達するための工夫の一つとして、上記ホームページやプライバシーポリシーの分かりやすい位置にリンクを配置することも考えられます。
・送信先のサービス名ごとに、「送信される利用者情報」、「サービス提供者」、「当社(ユーザベース社)の利用目的」、「送信先の利用目的」が公表されており、上記3項目が記載されています。上記項目⑶については、送信元の利用目的のみを記載する企業が少なくない中、送信先の利用目的も記載されています。
・また、ユーザベース社においては、外部送信規律について、例えば、NewsPicksやSPEEDA等の各サービスごとに整理しています。同じ企業が複数のサービスを提供する場合でも特定のサービスに限って利用するユーザがいることなどに鑑みると、サービスごとに表示することが望ましいといえ、ユーザベース社の表示方法は参考になります。
11. プライバシーポリシーの変更
【原文より抜粋】
当社は、ユーザー情報の取扱いについて継続的に改善するため、本ポリシーを変更することがあります。この場合には、当社が管理するWebサイト上において変更した本ポリシーを掲載するものとします。なお、法令上ユーザーの同意が必要となる内容の変更の場合は、当社所定の方法でユーザーの同意を得るものとします。
*引用:第10条 プライバシーポリシーの改定
【解説】
法律上、プライバシーポリシーの変更に関する定めを公表する義務はありませんが、プライバシーポリシーの変更に備え、変更に関する定めを置く企業もあります。
個人情報保護法上、例えば、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない(法17条2項)などの定めが置かれています。
・改定されることがある旨が記載されており、また、本プライバシーポリシーの末尾の「附則」から過去のプライバシーポリシーを確認できます(なお、変更箇所は確認できません。)。
1. 個人情報マネジメントシステム
【原文より抜粋】
株式会社ユーザベース* は、ISO/IEC 27001(情報セキュリティマネジメントシステム(ISMS))の認証を取得しています。(認証登録番号:JQA-IM1746)
(抜粋省略)
*引用:情報セキュリティ基本方針「組織的セキュリティ対策」
【解説】
ITシステムやネットワークに対する脅威に対して、企業における総合的な情報セキュリティを確保する目的で、近年ISMS(情報セキュリティマネジメントシステム)の構築・運用が注目されています。ISMSとは、「個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用すること」です(「情報マネジメント認定センター」より)。
・ユーザベース社は、安全管理措置(組織的セキュリティ対策)の一環として、マネジメントシステム認定を取得していることを公開しており、必要な体制の構築に努めている一つの証明だといえるでしょう。認証の副次的な効果として、ステークホルダーに対する信頼性の向上にも有用だといえます。
2. 第三者サービス利用例
・ユーザベース社が利用している広告機能(サービス提供事業者、主な機能、オプトアウトの案内)について、第三者サービス利用例という独立のページで説明がなされています。利用している全てのサービスを網羅しているわけではありません(外部送信規律の公表等がなされている限り、このようなページを設ける義務はありません)が、広告配信・情報解析に関する有名なサービスについて独立のページが設けられていることで、ユーザが主要なサービスの概要やオプトアウトの手続を把握しやすくする配慮をしていることは参考になります。