総合評価:A
模範的なプライバシーポリシーです。
基本的に、必要な項目について具体的に書かれています。PayPayは日本で数少ないCBPRシステムの認証取得事業者であるほか、プライバシーポリシーとは別に設けられた「ユーザープライバシーについて」の記載も充実している点が参考になります。
匿名加工情報に関する公表事項に関する記載は、記載の追加が必要であると判断させていただきます。
ポリシー最終改訂日:2022/04/1
ポリシー最終評価日:2023/08/31
プライバシーポリシー
https://about.paypay.ne.jp/docs/terms/privacy/
プライバシーセンター
https://paypay.ne.jp/privacy/
法令等の表記は、以下の例によります。
法 個人情報保護法
令 個人情報保護法施行令
規則 個人情報保護法施行規則
ガイドライン通則編 個人情報の保護に関する法律についてのガイドライン(通則編)
ガイドライン仮名加工情報・匿名加工情報編 個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編))
Q&A 「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A
1. 前文等
【原文より抜粋】
当社は、お客様をはじめとした当社に関わる全ての皆さまのプライバシー保護を経営の最重要課題の一つと捉え、パーソナルデータ(以下に定義します)の取扱いにおいて「個人情報の保護に関する法律」(平成15年5月30日法律第57号)及びその他の関係法令(以下「関係法令」といいます)を遵守致します。 また、当社が越境個人情報を取扱う場合は、APECプライバシーフレームワークの原則に従います。本プライバシーポリシーは、当社のサービスのユーザーや見込み顧客、または当社のウェブサイトやコンテンツの利用者(以下総称して「お客様」といいます)に対し適用され、当社が取り扱う、お客様の氏名、連絡先、生年月日やクッキー(Cookie)、サービスの利用履歴などの、お客様を直接的に識別できる情報やお客様を間接的に識別できるすべての情報(以下「パーソナルデータ」といいます)について規定します。「パーソナルデータ」のうち、「個人情報」とは「個人情報の保護に関する法律」に定義されている「個人情報」をいいます。
*引用:前文
【解説】
・本プライバシーポリシーの適用対象(名宛人)を「当社のサービスのユーザーや見込み顧客、または当社のウェブサイトやコンテンツの利用者(以下総称して「お客様」といいます)」と定義しています。PayPayを多くのユーザが利用している現状に鑑みれば、ユーザが、自身に関係する記載を判別しやすくするために、本プライバシーポリシーのように適用対象者をユーザに限定することが適切といえます。
・PayPayは、2022年12月に、CBPR(Cross Border Privacy Rules/APEC越境プライバシールールシステム。企業等の越境個人データの保護に関して、APECプライバシー原則への適合性を認証するシステム)の認証を取得しているところ、これは、越境個人データの保護に関してAPECのプライバシー原則に適合していることが認められたことを意味します。前文で、PayPayが越境個人情報を取り扱う場合にAPECプライバシーフレームワークの原則に従う旨が説明されていることは、ユーザの信頼度を向上させる意味をもつといえます。
・本プライバシーポリシーでは、取扱いの対象となる情報を、個人情報ではなく、パーソナルデータ(当社が取り扱う、お客様の氏名、連絡先、生年月日やクッキー(Cookie)、サービスの利用履歴などの、お客様を直接的に識別できる情報やお客様を間接的に識別できるすべての情報)と定義しています。対象情報を「個人情報(法2条)」にとどめるのは飽くまで法令上の最低ラインであり、本プライバシーポリシーのように、「パーソナルデータ」とする企業が増えています。
2. 取得する個人情報(パーソナルデータ)の項目
【原文より抜粋】
当社は、お客様のご意思に基づいて、以下の場合にパーソナルデータを取得させていただきます。取得するパーソナルデータの詳細については、こちらをご確認ください。なお、パーソナルデータがご提供いただけない場合、各種サービス等をご利用できないことがあります。
①当社が直接取得する場合
(1)端末操作を通じてお客様にご入力いただく場合
(2)お客様から書面等の媒体または口頭等によりご提供いただく場合
(3)お客様によるサービス、商品、アプリケーション、ウェブページ、広告、コンテンツの利用・閲覧に伴って送信・提供される場合
②当社が間接的に取得する場合
(1)業務提携先またはお客様が同意された第三者から提供を受ける場合など、適法に取得する場合
(2)業務提携先から、当該業務提携先が運営するウェブページやサービス上の行動履歴、IPアドレス、クッキー、広告ID、デバイス情報などの個人関連情報の提供を受ける場合。なお、提供を受けた個人関連情報は、「2.パーソナルデータの利用目的」に記載の目的で、当社の保有するパーソナルデータを紐づけて利用する場合があります。この場合、当該情報は、個人情報として取扱います。
業務提携先はこちら(クッキー設定)からご確認いただけます。
*引用:1. パーソナルデータの取得
【解説】
取得する個人情報(パーソナルデータ)の項目は、個人情報保護法上、通知や公表が義務付けられているわけではありません(ただし、ガイドライン等で取得する個人情報の項目が求められる場合もあります。)。しかし、利用目的を通知・公表する前提として、取得する個人情報(パーソナルデータ)の項目を記載することが望ましいといえるでしょう。
・本プライバシーポリシー自体に取得項目に関する記載はありませんが、PayPayがどのような場合にパーソナルデータを取得するのかを直接取得、間接取得に分類し、それぞれの類型につき具体的な取得経緯が説明されています。
・PayPayは、プライバシーポリシーとは別に、「ユーザープライバシーについて」という説明ページを設けています。「ユーザープライバシーについて」の「パーソナルデータの取得」で、上記各経緯で取得されるパーソナルデータの例(例えば、「アプリやウェブページを通じてお客様にご入力いただく場合」については、「氏名、生年月日、携帯電話番号、メールアドレス、銀行口座情報」)が示されており、適切な記載がなされています。
3. 個人情報(パーソナルデータ)の利用目的
【原文より抜粋】
当社は、以下のことを行うためにのみパーソナルデータを利用し、これらの目的以外では利用いたしません。また、目的外利用をしないための措置を講じます。利用目的の詳細については、こちらをご確認ください。
(1)電子マネーサービス(前払式支払手段発行業、資金移動業)、銀行代理業、金融商品仲介業、電気通信事業、その他当社が運営するすべてのサービス(以下「本サービス」という)をご提供するため
例えば、以下のことを行うために利用させていただきます。
・本サービスをご利用になられたお客様の商品や役務の購入に関する内容の決定または取引の実行のため
・商品や有料サービスの代金のご請求、精算処理のため
・本サービスご利用やお問い合わせにおけるお客様の認証、本人確認または審査のため
・ポイントやクーポン(第三者が発行するものを含みます)を付与するため
・本サービスに関するお知らせをするため
(2)広告、宣伝、マーケティングのため
例えば、以下のことを行うために利用させていただきます。
・当社または広告主となる第三者のサービスに関する広告、宣伝のため
・当社または第三者の商品、サービスに関するマーケティングのため
・キャンペーン等の抽選や景品発送のため
(3)本サービスの改善および新サービス等を検討するため
例えば、以下のことを行うために利用させていただきます。
・本サービスの改善および新サービスの企画立案、開発のため
・本サービスの利用状況の調査、分析または統計データの作成、公表のため
・窓口対応者の応対評価、応対レベルの向上のため
(4)お客様ごとに最適なサービスやコンテンツをご提供(パーソナライズ)するため
(5)本サービスを安全にご提供するため
例えば、以下のことを行うために利用させていただきます。
・本サービスの利用規約等に違反しているお客様を発見しまたは利用規約等の違反者への対応を行うため
・本サービスを用いた詐欺や不正アクセスなどの不正行為を調査、検出、予防したり、これらに対応したりするため
・パーソナルデータのデータ管理およびデータの安全性の確保のため
(6)本サービスの利用・運営上のトラブル解決のため
*引用:2. パーソナルデータの利用目的
【解説】
まず、個人情報保護法上、個人情報を取得した場合、利用目的を本人に通知し、又は公表しなければならず(法21条1項)、通知又は公表を行う前提として、利用目的をできる限り特定する必要があります(法17条1項)。また、直接書面(電磁的記録を含む。)に記載された個人情報を取得する場合は、あらかじめ、本人に対し、利用目的を明示する必要があります(法21条2項)。利用目的を変更する場合、変更前の利用目的と関連性を有すると合理的に認められる範囲(予測可能性のある範囲)を超えて行うことはできません(法17条2項)。
利用目的は、単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましいとされています(ガイドライン通則編3-1-1)。
また、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならないものとされています(法18条1項)。
・柱書で、記載した利用目的以外の目的でパーソナルデータを利用しないこと及び目的外利用をしないための措置を講ずることが記載されています。
・各号((1)、(2)、…)の表題は概括的な記載ですが、各表題の下に具体的な利用目的の例が分かりやすく記載されています。
・また、「ユーザープライバシーについて」の「パーソナルデータの利用」において、上記(1)、(2)、…に対応する形で、平易な日本語及びイラストを用いて更に分かりやすく説明されています。
4. 個人データ(パーソナルデータ)の第三者提供
【原文より抜粋】
当社は、法令で認められた場合のほか、以下の場合に、第三者(外国にある第三者を含みます。以下同じ)に対して原則として契約を締結したうえで、パーソナルデータを提供させていただきます。
(1)他社(関係会社を含みます)との提携サービスの提供を目的として、提携サービスの登録・提供等に必要なパーソナルデータをサービス提携会社に提供する場合
例えば、以下の場合に提供します。
・当社のアプリ内で提供される提携サービスのアプリ(以下「ミニアプリ」といいます)のアカウント開設・連携、提携サービスの提供のために、お客様の識別子(ユーザーIDなど)、パスワード、氏名、表示名、プロフィール画像、メールアドレス、現在位置情報、端末のバッテリー情報、残高情報、電話番号、カメラの利用等のパーソナルデータを、ミニアプリの提供事業者に提供する場合。これらのパーソナルデータのうち一部の情報は、お客様の選択により、提供の有無をコントロールすることができる場合があります。
・サービス提携会社のウェブサイト(*)またはアプリケーション内で本サービスをご利用いただけるようにするために、お客様の識別子(ユーザーIDなど)、残高情報等のパーソナルデータを、サービス提携会社に提供する場合。
・サービス提携会社がお客様に最適なサービスやコンテンツをご提供するために、お客様のクッキー、デバイス識別子等(お客様の氏名、連絡先などお客様を直接的に識別できる情報を含みません)のパーソナルデータを、サービス提携会社に提供する場合。クッキー等の取扱いの詳細については、7.クッキー等の取扱い、をご確認ください。
※ サービス提携会社は、ミニアプリまたは提携サービスの初回利用時に、確認画面にて、主要なパーソナルデータ提供項目とともに明示されます。
(2)本サービスのうちパーソナルデータを他のユーザーに開示することを前提としているサービスを提供するために、本サービス上で他のユーザーへの提供が必要な場合
例えば、以下の場合に提供します。
・わりかん、送金、受け取りのサービスを利用される際に、お客様が指定した、またはお客様を指定した他のユーザーに提供する場合
(3)紛争解決のため、または、当社又は第三者の権利、財産等を保護するために必要な場合
(4)本サービスまたは提携サービスの不正利用対策や対応のために必要な場合 例えば、以下の場合に提供します。
・お客様のPayPayアプリに登録されたクレジットカードや銀行口座等に関する不正利用が発生した場合またはその疑いがある場合に、事案の究明や被害防止のためにお客様の登録情報を当該クレジットカードや銀行口座等にかかるクレジットカード会社や銀行等に提供することがあります。
(5)合併、会社分割、その他の事由による事業の承継のため、事業の承継先に提供する場合
(6)お客様から別途個別に同意をいただいた場合
*引用:3. パーソナルデータの提供
【解説】
1 総論
法令に基づく場合、人の生命、身体又は財産の保護のために必要のある場合などを除き、個人データを第三者に提供する場合には、原則として本人の同意を取得しなければならないとされています(法27条1項)。また、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的において、その旨が明確に分かるよう特定しなければならないとされています(ガイドライン通則編3-1-1)。
・(1)から(6)の6つの場合に第三者提供がなされることが記載されています。
・また、「ユーザープライバシーについて」の「パーソナルデータの連携」において、(1)、(2)、(4)の各場合について具体的に説明されています。一般的に、プライバシーポリシーの第三者提供に関する記載は、ユーザにとって、提供される情報や提供の必要性につき理解が得られにくいといえますが、詳細がユーザに開示されることで、ユーザの疑念・不信感を拭うことができると考えられます。また、捜査機関等からの情報開示要請への対応方針も、「ユーザープライバシーについて」に記載がなされています。
2 外国にある第三者への提供について
外国にある第三者に個人データを提供する場合(委託や共同利用を含みます。)、法28条の定めに従う必要があります。
まず、提供先の第三者が我が国と同等の水準にあると認められる個人情報保護制度を有している国(現時点では、EEA加盟国及び英国)にある場合、当該第三者は「外国」に当たらないものとされています。
次に、基準適合体制の整備によって外国への第三者提供を整理する場合、「相当措置の継続的な実施を確保するために必要な措置を講じる」とともに、本人の求めに応じて「当該必要な措置に関する情報」を本人に提供しなければならないものとされています(法28条3項)。
上記の2つに該当しない場合は、「本人に参考となるべき情報」をあらかじめ提供した上で本人の同意を得なければならないとされています(法28条2項、規則17条2項)。
・本プライバシーポリシーそれ自体に、外国にある第三者への提供について特別の記載はなされていませんが、「ユーザープライバシーについて」(「パーソナルデータの連携」の「データの保管、アクセスについて」)において、個人情報の保管場所、外国の第三者への提供・業務委託及び外国の第三者による相当措置の実施に関する情報についてそれぞれ記載されています。
・「データの保管、アクセスについて」の「3.外国の第三者による相当措置の実施に関する情報」によれば、PayPayは、基準適合体制の整備によって外国にある第三者への個人データの提供を行っているものと解されます。提供先の外国における個人情報の保護に関する制度の情報は、個人情報保護委員会のホームページのリンクを設定することにより、本人の求めに応じて必要な措置に関する情報を本人に提供できる状態になされています。提供先となる事業者が所在する国のほか、個人情報を保管する国、個人情報にアクセスする者が所在する国の情報も記載されている点が参考になります。
・また、2021年に、日本企業の業務委託先である中国企業の従業員が国内の個人データにアクセス可能な状態になっていた問題が話題になり、ユーザの意識も高まっている状況ですが、「パーソナルデータへのアクセス」において、中国企業がPayPayユーザ及び加盟店の情報にアクセスできるか否かについて記載されている点は、ユーザの関心に配慮していると評価できるでしょう。
5. 個人データ(パーソナルデータ)の共同利用
【原文より抜粋】
当社が取得するパーソナルデータを以下のとおり共同利用いたします。
【共同利用する個人情報の項目】
当社が取得するパーソナルデータのすべて【共同して利用する者の範囲】
当社および関係会社※(外国にある会社を含みます。以下同じ。)ただし、当社は、関係会社がパーソナルデータを共同利用する場合、あらかじめパーソナルデータの取り扱いに関する契約を締結し、パーソナルデータが適正に管理される体制作りを行います。当社がパーソナルデータの取り扱いに関する契約を締結した関係会社はこちらに掲げるとおりです。
※ 「関係会社」とは、当社の親会社であるソフトバンクグループ株式会社が直近で作成した連結財務諸表で採用した会計基準において定義されている、ソフトバンクグループ株式会社の子会社および関連会社ならびに共同支配企業をいいます。
【共同して利用する者の利用目的】
上記2.に記載された利用目的(ただし、共同利用の利用目的については、「当社」を「当社および関係会社」と、また、「本サービス」を「当社および関係会社が運営するすべてのサービス」と読み替えるものとします)【共同利用における管理責任者】
PayPay株式会社
代表取締役 中山 一郎
東京都千代田区紀尾井町1番3号
*引用:4. パーソナルデータの共同利用
【解説】
個人情報保護法上、以下5項目について「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置」く場合、第三者提供に該当しないものとされています(共同利用。法27条5項3号)。
⑴共同利用をする旨、⑵共同利用する個人情報の項目、⑶共同利用者の範囲、⑷共同利用する個人情報の利用目的、⑸共同利用の管理責任者
・本プライバシーポリシーでは、それぞれ⑴「当社が取得するパーソナルデータを以下のとおり共同利用いたします」、⑵【共同利用する個人情報の項目】、⑶当社および関係会社(関係会社の定義もあり)、⑷【共同して利用する者の利用目的】、⑸【共同利用における管理責任者】としてそれぞれ記載されています。
・「ユーザープライバシーについて」の「パーソナルデータの連携」の「関係会社とのパーソナルデータの共同利用」において、イラストを伴った説明がなされています。
・共同利用がなされる「関係会社」は、「PayPay株式会社の親会社であるソフトバンクグループ株式会社が直近で作成した連結財務諸表で採用した会計基準において定義されている、ソフトバンクグループ株式会社の子会社および関連会社ならびに共同支配企業」と定めれています。ただ、ユーザが、直近で作成された財務諸表のページを見に行って、「子会社」、「関連会社」、「関連会社」を特定することは容易ではありません(財務諸表を辿ってこれらの定義をユーザが明らかにすることも難解です。)。そのため、プライバシー又は「ユーザープライバシーについて」のページにできるだけ具体的に記載することが望ましいといえるでしょう(なお、共同利用者の範囲は、必ずしも事業者の名称等を個別に全て列挙する必要はないものの、本人がどの事業者まで利用されるか判断できるようにする必要があり、Q&A7-45(57頁)では、「『当社の子会社及び関連会社』といった表記の場合、当該子会社及び関連会社の全てがホームページ上で公表」することが一例として挙げられています。)。
6. 安全管理措置
【原文より抜粋】
当社は、本プライバシーポリシーに従って、パーソナルデータを適切に取り扱います。
パーソナルデータを適切に取り扱うとともに、パーソナルデータの漏えい等の事故を防ぐため、組織的、人的、物理的、技術的安全管理措置を講じます。たとえば、以下のような措置を講じています。
・パーソナルデータ保護のための社内規程および組織の整備
・パーソナルデータの取扱いに関する管理、監督、および入社時及び定期的な社員教育の実施
・パーソナルデータの重要性による情報区分および業務エリアの整備による利用制限
・パーソナルデータのアクセス制御、適切な暗号化技術・ハッシュ化技術の採用
・パーソナルデータを提供する国における個人情報の保護に関する制度を把握した上での安全管理措置の実施詳細については、こちらをご確認ください。
当社が個人情報の取り扱いを第三者に委託する場合は、当社が定める委託先選定基準を満たす者に委託し、委託先と契約を締結して委託先による業務を適切に管理しています。
当社は、当社が定める基準を満たす安全管理措置を講じている第三者にのみ個人情報を提供します。
当社は、パーソナルデータの漏えい等の事故が発生した場合、関係法令に則り、監督官庁への報告を行うとともに、当該監督官庁の指示に従い、類似事案の発生防止措置および再発防止措置等の必要な対応を行います。
*引用:6. セキュリティについて
【解説】
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないとされています(法23条)。
また、保有個人データに関して講じた安全管理措置は、「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」に置かなければならないとされています(法32条1項4号、個人情報保護法施行令10条1号)。
講ずべき安全管理措置の例は、ガイドライン通則編10に記載があります。
・PayPayが講じている安全管理措置の内容が記載されています。
・また、リンク先の「ユーザーセキュリティについて」においてセキュリティ方針等が具体的に説明されています。
7. 開示等の請求の対応
【原文より抜粋】
PayPayに登録されている個人情報の確認や修正、削除方法、代理人からの請求方法などは、ヘルプページに記載されています。
(省略)
【個人情報の保護に関する責任者】
〒102-0094 東京都千代田区紀尾井町1番3号
PayPay株式会社 チーフデータオフィサー
個人情報(第三者提供に係る記録を含みます)の開示を請求される場合は、下記フォームに必要事項を記入し、本人確認書類を添付のうえ送信してください。1回(1アカウント)のご請求につき、1,000円+消費税の開示手数料をお支払いいただきます。
*引用:10. 個人情報の問い合わせ先、11. 個人情報の開示請求
【解説】
個人情報取扱事業者は、保有個人データに関し、開示等の請求に応じる手続及び開示の請求に係る手数料の額について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含みます。)に置かなければなりません(法32条1項)。
・PayPayに登録されている個人情報の訂正等、利用停止等、利用目的の通知については、リンク先のページからそれぞれ行うこととされており、簡易に手続がとれるように工夫されています。
・開示請求については、手数料(1回(1アカウント)の請求につき1000円(税別))が明確に記載され、また、専用のフォームも分かりやすく掲載されていると評価できます。
8. 苦情・問合せ
【原文より抜粋】
その他個人情報に関するお問い合わせ・苦情の申し立てについては、ヘルプページの下部の[フォームでお問い合わせ]よりお問い合わせください。それでも解決しない場合は、以下まで郵便にてご連絡ください。
【個人情報の保護に関する責任者】
〒102-0094 東京都千代田区紀尾井町1番3号
PayPay株式会社 チーフデータオフィサー
*引用:10. 個人情報の問い合わせ先
【評価結果】
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならず、必要な体制の整備に努めなければならないとされており(法40条)、保有個人データの取扱いに関する苦情の申出先について本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならないとされています(法32条1項4号、令10条2号)。
・フォームでの問合せ及び郵送での問合せの方法が適切に記載されています。
9. Cookie等の取扱い
【原文より抜粋】
当社のウェブサイトおよび本サービス上では、ユーザーの利便性向上やサイト改善のためにクッキー等を使用します。また、第三者に対して、サービスの利用状況を調査する目的やお客様により適切な広告を配信するため、クッキー等の設置を認める場合があります。詳細については、こちら(クッキー設定)をご確認ください。
Cookie 設定
※クッキー等の取扱いの詳細についてご確認いただけます
*引用:8. クッキー等の取扱い
【解説】
Cookieはそれ単体では個人情報に該当しない(法2条1項)ものの、保有する個人情報と紐付け個人を識別することができるようにしている場合は、Cookieにより取得した情報も含む全体が個人情報に該当し、個人情報の規制が及びます。外部送信規律により公表等の措置を講じる必要がある場合を別として、Cookieの取扱いについて個人情報保護法上、プライバシーポリシーで定めることは必須ではないものの利用する具体的なCookieの種類や内容、管理・選択方法等を一律にしてあらかじめ公表しておくことが望ましいといえます。
Cookieは個人関連情報に該当しますが、個人関連情報を第三者に提供する場合、提供先の第三者が個人データとして取得することが想定される場合、提供先においてあらかじめ本人の同意を取得し、提供元において当該同意の取得を確認しなければならないとされています(法31条1項)。
・「クッキー設定」において、「クッキー」、「広告識別子」、「Google Analytics」についての説明がなされており、また、目的別にCookieを有効にするか拒否するかの設定を行うことができる仕様になっています。Cookieそれ自体を規制する外国法を遵守する必要がないのであれば必ずしもCookieバナーを表示させる必要はないため、同社のようにプライバシーポリシーでCookieの設定ができるようにする方法も一考に値します。
10 . 匿名加工情報
【原文より抜粋】
当社は、当社が保有する以下の情報について、特定の個人を識別すること及び個人を復元することができないような適切な措置を講じたうえで、匿名加工情報を作成し、第三者に提供いたしますので、公表します。
1. 個人に関する情報の項目
(1)ユーザー識別情報
(2)位置情報
(3)決済に関する情報(決済日時、決済金額、決済場所)
2. 提供の目的および方法
(1)目的
お客様に最適なサービス(パーソナライズ)を提供するシステムを開発するため(2)方法
セキュリティが確保されたシステムを介して行います
*引用:匿名加工情報に関する公表事項
【解説】
まず、匿名加工情報を作成したときは、作成後遅滞なく、当該匿名加工情報に含まれる個人に関する情報の項目を、インターネットの利用その他適切な方法により公表しなければならないものとされています(法43条3項、規則36条1項)。例えば、「氏名・性別・生年月日・購買履歴」のうち、氏名を削除した上で、生年月日の一般化、購買履歴から特異値等を削除する等加工して、「性別・生年・購買履歴」に関する匿名加工情報として作成した場合の公表項目は、「性別」、「生年」、「購買履歴」とすることが考えられます(ガイドライン仮名加工情報・匿名加工情報編3-2-4)。また、個人に関する情報の項目が同じである匿名加工情報を同じ手法により反復・継続的に作成する場合には、最初の匿名加工情報を作成して個人に関する項目を公表する際に、作成期間又は継続的な作成を予定している旨を明記するなど継続的に作成されることとなる旨を明らかにしておくことにより、その後に作成される匿名加工情報に係る公表については先の公表により行われたものと解されます(同ガイドライン3-2-4)。公表に当たっては、実際に匿名加工情報に含まれる個人に関する情報の項目が分かるようにする必要があり、事前にプライバシーポリシーに包括的な記載を掲載するだけでは当該義務を履行したことにはならないとされています(Q&A15-20)。
次に、匿名加工情報を第三者に提供するときは、提供に当たりあらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目を、インターネットの利用その他の適切な方法により公表等する必要があります(同条4項、規則37条1項)。
・本プライバシーポリシーにリンクが添付されている匿名加工情報に関する公表事項に、「匿名加工情報を作成」すること及び「第三者に提供」することが明記されています。このように、公表事項をプライバシーポリシー本文と区別して記載することは、読み手の分かりやすさに資する点、柔軟な内容更新を可能にする点で参考になります。
・匿名加工情報は継続的に作成されていると推察されますが、作成期間及び継続的な作成を予定している旨の記載がありません。
・また、個人に関する情報の項目のうち「ユーザー識別情報」については、実際に匿名加工情報に含まれる個人に関する情報の項目が分かるといえないと評価される余地がありそうです。「ユーザー識別情報」の具体的な内容(氏名、メールアドレス、ID等)を記載することが望ましいでしょう。
・第三者提供時の公表に関しては、利用目的を記載することは求められていませんが、利用目的についても記載されています。
11. 外部送信規律
【原文より抜粋】
①情報収集モジュールによる利用者情報の取得
当社のアプリケーションには、以下の情報収集モジュールが組み込まれており、お客様の情報を収集・利用しております。
Google Analytics/ Firebase 向け Google Analytics
当社は、Google, Inc.の提供するGoogle Analytics/Firebase 向け Google Analyticsを利用しています。Google Analytics/Firebase 向け Google Analyticsによって取得される項目と当社における利用目的は以下のとおりです。
・取得される項目:
アプリやウェブサイトの操作履歴
・当社の利用目的:
アプリやウェブサイトの利用状況の計測・分析
Google Analytics/Firebase 向け Google Analyticsに関する詳細は以下をご参照ください。
Firebase 向け Google Analyticsの概要
https://firebase.google.com/products/analytics?hl=ja
Google社プライバシーポリシー
(省略)
*引用:利用者情報の外部送信について
【解説】
令和4年に電気通信事業法が改正され、いわゆる「外部送信規律」が設けられたことで、電気通信事業者又は同法上の第三号事業を営む者は、情報送信指令通信(外部送信)を行う際に、次の事項につき、通知又は容易に知り得る状態に置く(以下「公表」といいます。)など一定の措置を講じるものとされました(電気通信事業法27条の12)。
⑴ 送信されることとなる利用者に関する情報の内容
⑵ 送信先となる第三者の名称
⑶ 利用者に関する情報の利用目的(利用目的については、送信元の利用目的と送信先の利用目的のいずれも記載する必要があります。電気通信事業における個人情報等の保護に関するガイドラインの解説258頁)。
外部送信規律への対応が求められる企業の多くは、公表によって対応しているように見受けられます。公表によって対応する場合には、外部送信を行うウェブページ又は当該ウェブページから容易に到達できるウェブページにおいて、法定の事項を表示すべきとされています(電気通信事業における個人情報等の保護に関するガイドラインの解説254頁)。
公表を行うことによって対応する場合、情報送信指令通信を行うウェブページから1回程度の操作で到達できる遷移先のウェブページに当該事項が表示されており、かつ、情報送信指令通信を行うウェブページにおいて、当該遷移先のウェブページに当該事項の表示があることが利用者にとって理解できる形でリンクが配置されていれば、当該遷移先のウェブページは、「容易に到達できるウェブページ」に該当するとされています(電気通信事業における個人情報等の保護に関するガイドラインの解説257頁)。
なお、外部送信規律の詳細については、解説記事をご参照ください。
・公表等を行うべき情報送信指令通信が全て網羅されているかは定かでありませんが、法定の事項が適切に公表されています。
・ユーザとしては、「ユーザープライバシーについて」に遷移した後、「パーソナルデータの取得」に遷移し、そこから更に「PayPayアプリにおける利用者情報の外部送信についてはこちらをご確認ください。」との記載を押下することで外部送信規律の公表ページに遷移することができる構造になっています。ガイドラインでも1回「程度」の操作で到達できる遷移先のウェブページに表示することを求めているので必ずしも1回の操作で到達できる必要はありませんが、到達するための手間を減らすことが望ましいといえます。
12. プライバシーポリシーの変更
【原文より抜粋】
本プライバシーポリシーは改定されることがあります。重要な変更にあたってはお客様に対して事前に改定内容を告知いたします。
*引用:12.プライバシーポリシーの改定
【解説】
法律上、プライバシーポリシーの変更に関する定めを公表する義務はありませんが、プライバシーポリシーの変更に備え、変更に関する定めを置く企業もあります。
個人情報保護法上、例えば、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない(法17条2項)などの定めが置かれています。
・改定されることがある旨、及び、重要な変更に当たっては事前に改定内容を告知する旨記載されています。
・本プライバシーポリシーの上部に、改定のお知らせが添付されており、改定の経緯を確認することができます。また、本プライバシーポリシーの下部に、改定履歴が掲載されており、改定の履歴を辿ることができます。
1. 「ユーザープライバシーについて」について
プライバシー保護に取り組む企業を中心に、自社のプライバシー保護に関する取組やプライバシーポリシーに関する補足説明を行う「プライバシーセンター」をウェブサイトに掲載する動きが加速しています。
PayPayも、プライバシーセンターと同様の役割を果たす「ユーザープライバシーについて」を掲載し、自社の取組やプライバシーポリシーにおいて字面だけでは分かりにくい事項を、イラストや具体例を用いて補足説明しています。
2. CBPRの認証取得について
プレスリリースによれば、PayPayは、2022年12月に、資金移動事業者として初めてCBPRシステムの認証を取得しました。CBPR(Cross Border Privacy Rules/APEC越境プライバシールールシステム)は、企業等の越境個人データの保護に関して、APECプライバシー原則への適合性を認証するシステムです。認証を受けた事業者は、APEC域内で個人データの越境移転を円滑に行うことができるとともに、国内外の消費者へのアピールポイントになり、取引先としてのブランド力の向上が望めます。2023年1月時点で、日本におけるCBPR認証事業者は5社のみです。