総合評価:A
模範的なプライバシーポリシーです。
基本的に、必要な項目について具体的に書かれているほか、拘束的企業準則に依拠したグループ全体のプライバシー保護への取り組みが示されています。
また、プライバシーセンターにおいて、個人情報保護方針には記載のない基本的な事柄も含めて分かりやすく記載されている点が参考になります。
ポリシー最終改訂日:2022/03/31
ポリシー最終評価日:2023/08/25
プライバシーポリシー
https://privacy.rakuten.co.jp/
プライバシーセンター
https://corp.rakuten.co.jp/privacy/?scid=wi_prv_navi_privacycenter
法令等の表記は、以下の例によります。
法 個人情報保護法
令 個人情報保護法施行令
規則 個人情報保護法施行規則
ガイドライン通則編 個人情報の保護に関する法律についてのガイドライン(通則編)
1. 前文等
【原文より抜粋】
楽天グループ株式会社(以下「楽天」といいます。)並びにその子会社および関連会社で構成される楽天グループ(以下単に「楽天グループ」といいます。)は、多種多様なサービスを提供しています。お客様によるサービスのご利用に際して、楽天グループは、お客様の情報を取得および利用し、また、当該情報を保管しています。
楽天グループ株式会社が定めるこの個人情報保護方針(以下「本方針」といいます。)は、本方針を採用する楽天グループの会社がお客様の個人情報を取得して取扱う目的および方法を明らかにし、個人情報に関するお客様の権利について理解を深めていただくためのものです。楽天グループは、お客様によるサービスのご利用にあたり、ご自身の情報がどのように取扱われるか、十分にご理解いただけるよう取り組んでいます。
「お客様の個人情報の利用について」もあわせてご参照ください。
1.はじめに
本方針は、楽天または本方針を採用する楽天グループの会社(以下「私たち」*といいます。)が提供するサービス(関連する付帯サービス、アプリケーション、ツール等を含み、以下「対象サービス」といいます。)をお客様がご利用になる場合に適用されます。なお、私たちおよびその他の楽天グループの会社は、サービスの内容等に応じて、本方針に付加して、または本方針とは別に、個人情報の取扱いに関して定める場合があり、この場合、当該定めが適用されますので、ご留意ください。
楽天グループは、お客様に最適でユニークなサービスを提供したいと考えており、グローバルに展開する楽天グループのサービスに容易にアクセスしていただけるように、シングル・ログイン機能を含む共通IDプログラム(以下「Rakuten ID」といいます。)を提供しています。お客様は、別途楽天が定める楽天会員規約および本方針に基づいてアカウント(以下「アカウント」といいます。)を作成し、会員サービス(以下「会員サービス」といいます。)をご利用いただくことができます。
楽天会員規約や対象サービスの利用規約等とともに、本方針をよくお読みいただき、同意いただいた上で、会員サービスまたは対象サービスをご利用ください。お客様が会員サービスまたは対象サービスのご利用を開始した場合、私たちは、お客様の個人情報の取得、利用、提供および保管について説明した本方針の内容をお客様がご理解いただいたものとみなします。
本方針についてのご質問やお問い合わせは、「お問い合わせ」からお願いいたします。
(*) 私たちとは、以下の楽天グループの会社またはサービスを指すものとします。本方針を採用する私たち各社の代表者名等については、以下の各社のウェブサイトよりご確認いただけます。
(以下省略)
*引用:前文、1.はじめに
【解説】
・個人情報保護方針(以下「本方針」といいます。)の適用対象(名宛人)を「お客様」と定義しており、自社従業員等は対象外としているように読めます。多くのユーザが利用するサービスを提供している企業であることに鑑みれば、ユーザが、自身に関係する記載を判別しやすくするために、本方針のように適用対象者を消費者に限定したプライバシーポリシーを作成するのが適切でしょう。
・本方針では、「本方針を採用する楽天グループの会社がお客様の個人情報を取得して取扱う目的および方法を明らかにし」と記載されており、文言からすると、(少なくとも日本法が適用される範囲においては)個人情報保護法上の「個人情報」の取扱いについて規定しているように読めます。他方で、「2.取得する個人情報」として、「2-4. 情報通信端末に関する情報およびCookie等を利用して取得する情報」が挙げられているところ、かかる情報には、個人情報保護法上の個人情報でない情報も含んでいるものと推測されます。そうすると、楽天グループ(以下「楽天」ということがあります。)においては、これらの情報も個人情報と取り扱う趣旨であると解釈する余地もあります(ただ、「5.お客様に関連する情報の取得」まで読み進めると、Cookie等を個人情報ではなく個人関連情報として扱っていることが分かるので、そのような解釈は採用していないと思われます。)。このような疑義を払しょくするために、本方針で対象とする情報を「個人情報」ではなく「パーソナルデータ」と記載することも一考に値すると思われます。
・本方針が適用される「楽天グループの会社」の商号、住所及び代表者の氏名が示されています。
2. 取得する個人情報(パーソナルデータ)の項目
【原文より抜粋】
私たちは、後記「3. 個人情報の利用、利用の法的根拠、保持」に定める目的を達成するため、以下に定めるお客様の個人情報を取得します。私たちが取得するお客様の個人情報には、お客様から直接ご提供いただいた情報、お客様の対象サービスのご利用に関する情報、および第三者から取得する情報が含まれます。また、本方針のもとで私たちが取得した個人情報は、楽天によって一元的に保管されます。
2-1. ログインに関する情報
識別子:
n アカウントのIDおよびパスワード
n 氏名およびメールアドレス
2-2. 会員サービスおよび対象サービスの利用等に関する情報
識別子、保護される特性(性別等)、商業的情報(利用履歴等)、インターネットその他の電子的ネットワークにおける行動情報:
n アカウントに付随または関連する情報としてお客様から提供される、性別、年齢、生年月日、電話番号、住所その他のお客様に関する情報
n ポイント、クーポン、キャッシュバックその他のインセンティブプログラム等の会員サービスの利用に関する情報
n 対象サービスの利用(閲覧および書込み等の行為を含みます。)、購買、応募その他の対象サービスを通じてお客様が行った取引の遂行のための情報および当該取引に関する情報(お支払いに利用した決済方法等を含みます。)
2-3. お支払いまたは本人確認のための情報
金融に関する情報、医療保険または健康保険に関する情報:
n お支払いのために利用されるクレジットカード情報、銀行口座情報、電子マネーに関する情報その他の決済に関する情報
n その他法律上の要請等により、本人確認を行うための本人確認書類(運転免許証、健康保険証、住民票の写し等のことをいいます。)および当該書類に含まれる情報
2-4. 情報通信端末に関する情報およびCookie等を利用して取得する情報
インターネットその他の電子的ネットワークにおける行動情報、位置情報:
お客様が会員サービスもしくは対象サービスを利用した場合、会員サービスもしくは対象サービスに関連する広告やコンテンツに接した場合、またはお客様がCookie等(ウェブビーコン、UID、その他の技術を含み、以下単に「Cookie等」といいます。)を有効にしている場合、私たちは、自動的に、お客様が利用したPC、携帯電話端末、タブレットその他の情報通信端末に関する情報およびCookie等を通じた情報を取得します。
私たちは、情報通信端末およびCookie等から以下のような情報を取得します。
n 端末ID等やモバイル広告識別子等の情報通信端末の機体識別に関する情報
n 情報通信端末のOS情報、インターネットへの接続に関する情報
n 位置情報
n リファラ
n IPアドレス
n 閲覧したURLおよび閲覧した日時に関するタイムスタンプ
n 上記以外のサーバログ情報
n 表示もしくは検索された商品またはサービス等に関する情報
また、Cookie等についての詳細および行動ターゲティング広告の設定は、別途定める「Cookie ポリシー」をご確認ください。
(省略)
2-5. 第三者から取得する情報
識別子、保護される特性(性別等)、商業的情報(利用履歴等)、インターネットその他の電子的ネットワークにおける行動情報、位置情報:
お客様が会員サービスまたは対象サービスを利用した場合、私たちは、必要性があり適用法令が許容する限りにおいて、お客様の情報の提供を第三者に要請して、または一般に公表されている情報から、信用情報並びに不正行為等の防止および対応に必要な情報等を取得する場合があります。また、お客様からの同意がある場合にも、その同意に基づいて、第三者からお客様の個人情報を取得または受領することがあります。
私たちは、会員サービスまたは対象サービスにおいて、当該サービスの提供に必要不可欠な場合または法令が許容する場合を除き、人種、信条、社会的身分、病歴、犯罪歴、犯罪による被害に遭った事実等のお客様の機微にかかる情報(以下「機微情報」といいます。)を意図して取得しまたは利用することはございません。お客様ご自身の意思により機微情報をご提供いただいた場合には、私たちは、お客様が同意のもとで「2-2. 会員サービスおよび対象サービスの利用等に関する情報」をご提供いただいたものとして、本方針に基づいて当該機微情報を取扱います。
2-6. 嗜好またはその他の特性に関する推定
私たちは上記で収集した情報からお客様の嗜好またはその他の特性を推定する場合があります。
*引用:2. 取得する個人情報
【解説】
取得する個人情報の項目は、個人情報保護法上、通知や公表が義務付けられているわけではありません(ただし、ガイドライン等で取得する個人情報の項目が求められる場合もあります。)。しかし、利用目的を通知・公表する前提として、取得する個人情報(パーソナルデータ)の項目を記載することが望ましいといえるでしょう。
・本方針では、取得する個人情報を種類ごとに分類し、項目ごとに、取得する具体的な情報が分かりやすく記載されています。
・「2-6.嗜好またはその他の特性に関する推定」に、「私たちは上記で収集した情報からお客様の嗜好またはその他の特性を推定する場合があります」と記載されていますが、「2.取得する個人情報」ではなく「3.個人情報の利用、利用の法的根拠、保持」に記載すべきことのように思えます。
3. 個人情報(パーソナルデータ)の利用目的
【原文より抜粋】
私たちは、取得したお客様の個人情報を、Rakuten IDによるログイン機能提供のため、会員サービスおよび対象サービスの提供のため、関心や嗜好に応じた広告およびマーケティングのため、サービスの研究開発のため、お問い合わせ等に適切に対応するため、並びに不正行為の防止および対応のために利用します。
3-1. 個人情報の利用
詳細な個人情報の利用目的は、以下に定めるとおりとし、これらに関連する目的を含むものとします。
3-1-1. 楽天グループでのRakuten IDによるログイン機能提供のため:
n アカウントへのログイン機能を楽天グループが提供するため
3-1-2. 会員サービスおよび対象サービス提供のため:
n 会員サービスおよび対象サービスを提供するため
n 会員サービスおよび対象サービスに関連して、お客様にサービス、コンテンツおよび情報を提供するため
n ポイント、クーポン、キャッシュバックその他のインセンティブプログラム等の会員サービスを提供するため
3-1-3. 広告、宣伝、マーケティングのため:
n お客様の同意に基づき、または法令で許容されている範囲および手段で、お客様にダイレクトメール、メールマガジン等の広告を送付または表示等するため
n ウェブサイトやアプリケーション上その他の広告媒体において、私たち、楽天グループ、その他第三者の商品もしくはサービスを表示し、紹介し、または広告するため
※お客様に関する「2.取得する個人情報」(属性情報やサービス利用履歴等)を、AI等を用いて、過去および現在のお客様ご自身またはお客様以外の方の個人情報、その他の情報(統計情報や推定情報を含みます。)とともに分析を行い(本方針において「分析」とは、この意味を言います。)、これによりお客様の趣味、嗜好、購買傾向、属性、信用度等を推定し、当該分析・推定結果に基づいたお客様に対する広告配信やマーケティング等の施策に利用する場合があります。
3-1-4. サービスの改善および研究開発のため:
n 既存サービスの改善および新サービスに関する楽天グループによる研究開発のため
※このサービスの改善・開発のために、お客様に関する上記「2.取得する個人情報」(属性情報やサービス利用履歴等)を分析する場合があります。
3-1-5. お問い合わせ等に適切に対応するため:
n サービスまたは広告等に関連するお客様からのお問い合わせ、クレーム、主張等に、楽天グループが適切に対応するため
n 会員サービスおよび対象サービスのご利用終了後において、お客様からの当該サービスに関するお問い合わせ等に楽天グループが適切に対応し、お客様に対するアフターケアを提供するため
3-1-6. 不正行為等の防止および対応のため:
n 詐欺、サイバー攻撃、その他の違法または不正なおそれのある行為を防止、調査、および特定して、私たち、楽天グループまたは第三者の権利利益を保護するため
※この不正行為等の防止のために、お客様に関する上記「2.取得する個人情報」(サービス利用履歴や支払情報等)を分析し、当該分析・推定結果を第三者に提供する場合があります。
3-1-7. 第三者に個人情報を提供するため:
n 以下の「4.お客様の個人情報にアクセスする者」においてご説明する、第三者に対するお客様の個人情報の提供のため
(省略)
*引用:3.個人情報の利用、利用の法的根拠、保持
【解説】
まず、個人情報保護法上、個人情報を取得した場合、利用目的を本人に通知し、又は公表しなければならず(法21条1項)、通知又は公表を行う前提として、できる限りの利用目的を特定する必要があります(法17条1項)。また、利用目的を変更する場合、変更前の利用目的と関連性を有すると合理的に認められる範囲(予測可能性のある範囲)を超えて行うことはできません(法17条2項)。
利用目的は、単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましいとされています(ガイドライン通則編3-1-1)。
また、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならないものとされています(法18条1項)。
・「3-1.個人情報の利用」において、取得する個人情報の利用目的が記載されています。
・ガイドライン通則編3-1-1において、本人から得た情報から、本人に関する行動・関心等の情報を分析する場合は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならないとされているところ、「3-1-3. 広告、宣伝、マーケティングのため」の※において、具体的な分析方法が記述されています。
・表題で、「詳細な個人情報の利用目的は、以下に定めるとおりとし、これらに関連する目的も含むものとします」と記載され、特定された目的にとどまらず、これに関連する目的で利用される可能性が示唆されています。特定された利用目的と関連性を有すると合理的に認められる範囲においては本人の同意なく利用目的を変更することが可能であるものの(法17条2項)、利用目的を変更する手続は必要なはずです。そうすると、「これらに関連する目的も含む」との記載は、利用目的が特定されていない点、利用目的の達成に必要な範囲を超えて個人情報を取り扱っている可能性がある点で、疑義があるといえます。利用目的特定の観点からは、「これらに関連する目的を含むものとします。」との記載は削ることが望ましいでしょう。
4. 個人データ(パーソナルデータ)の第三者提供
【原文より抜粋】
4-2. お客様に商品を販売等する者によるアクセス
私たちは、お客様が対象サービスをご利用の場合、その取引の内容に応じて、お客様が購入する商品等の販売主のほか、取引の対象となる商品またはサービスを提供する者(日本国外にある者を含み、以下「販売主等」といいます。)に、商品またはサービスの予約、購入、配送など、当該取引(取引のための申入れを含みます。)を遂行するのに必要な範囲で、お客様の個人情報を提供します。その場合、販売主等がアクセスできる個人情報は「2. 取得する個人情報」に記載したものに限られます。
お客様と販売主等の取引のために提供された個人情報については、当該販売主等において管理されます。販売主等は、お客様が申し込んだ取引を遂行することに加え、取引後のお客様向けメールマガジンなどによる情報提供、お客様による利用および購買の分析をして、当該販売主等の事業運営の改善をするためにお客様の個人情報を利用する場合があります。日本国外にある販売主等への個人情報の提供に際し、提供先となる国の個人情報保護法制等を確認されたい場合は、こちらをご覧ください。
なお、対象サービス所定の手続きによらず、直接お客様が販売主等に提供した情報については、本方針の適用対象外となり、当該販売主等が別途個人情報の取扱いについて定めるところによりますので、情報を提供する際には十分ご注意ください。
4-3. その他委託先等によるアクセス (省略)
4-4. 個人情報の突合による分析および広告配信等による利用
私たちは、第三者(楽天グループおよび私たちと契約を締結した提携会社)から受託したお客様の個人情報を、私たちが管理するお客様の個人情報と突合・分析して利用します。例えば、お客様に関する広告識別子、メールアドレス、電話番号等の個人情報を第三者より受託し、私たちが管理する広告識別子等およびその他の個人情報と突合・分析することで、よりお客様にカスタマイズした広告配信が行えるようになります。また、第三者から受託したお客様の個人情報を私たちが管理するお客様の個人情報と突合・分析し、当該第三者によるマーケティングやサービス改善・開発等の目的のために、お客様個人を特定できないような形式の情報に加工したうえで、当該第三者に提供することがあります。
また、私たちは、私たちが管理するお客様の個人情報を、広告配信等の目的で、第三者(私たちと契約を締結した広告配信サービス等を提供する提携会社〔※〕)に提供することがあります。例えば、私たちが管理する広告識別子、メールアドレス、電話番号等の個人情報を、お客様に対する広告配信目的で当該第三者に提供し、当該第三者が管理する広告識別子等およびその他の個人情報または個人関連情報と突合・分析することで、よりお客様にカスタマイズした広告配信が行えるようになります。この場合、当該第三者は、私たちから依頼された広告配信のために、お客様の個人情報を利用します。
※広告配信サービスを提供する提携会社の一覧および当該提携会社が日本国外にある場合の外国の名称等はこちらでご説明していますので、あわせてご確認ください。
なお、私たちは、私たちが管理するお客様の広告識別子等の個人情報を、広告成果の確認やポイントの付与等の目的で、広告出稿者(広告主)を含む第三者に提供し、当該第三者は、自ら管理する広告識別子等およびその他の個人情報または個人関連情報と紐づけて、条件達成情報等とともに私たちに提供することがあります。私たちは、当該提供を受けた情報を私たちが管理する個人情報と紐づけることで、お客様の広告成果の確認やポイントの付与等のために利用します。
*引用:4. お客様の個人情報にアクセスする者
【解説】
1 総論
法令に基づく場合、人の生命、身体又は財産の保護のために必要のある場合などを除き、個人データを第三者に提供する場合には、原則として本人の同意を取得しなければならないとされています(法27条1項)。また、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的において、その旨が明確に分かるよう特定しなければならないとされています(ガイドライン通則編3-1-1)。
・「4-2」及び「4-4」で第三者提供と整理された個人データの提供について、「4-3」で委託と整理された個人データの提供について記載されています(「4-1」は共同利用と整理されていると思われるので、次項で述べることにします。)。
・「4-2」は、楽天市場でショッピングをした場合等を想定していると思われ、この場合、商品等の予約、購入等の情報を取引の遂行に必要な範囲で販売主や商品等提供者に提供されることが記載されています。また、「取引後のお客様向けメールマガジンなどによる情報提供」等の目的で利用することを想定して第三者提供されることについても記載されており、ユーザが楽天会員ログインを行う際等に同意することで、このような目的での利用が正当化されることになります。
・「4-4」は、①楽天が第三者から提供を受けた個人情報を楽天が自社の個人情報と突合・分析して使用すること(さらに、楽天が個人を特定できない形式の情報に加工した上で第三者に提供することがあること)、②楽天が、広告配信等の目的で提携会社に提供することがあることが記載されています。具体例を伴って詳しく記述されており、十分な記載がなされているものと評価できます。
2 外国にある第三者への提供について
外国にある第三者に個人データを提供する場合(委託や共同利用を含みます。)、法28条の定めに従う必要があります
まず、提供先の第三者が我が国と同等の水準にあると認められる個人情報保護制度を有している国(現時点では、EEA加盟国及び英国)にある場合、当該第三者は「外国」に当たらないものとされています。
次に、基準適合体制の整備によって外国への第三者提供を整理する場合、「相当措置の継続的な実施を確保するために必要な措置を講じる」とともに、本人の求めに応じて「当該必要な措置に関する情報」を本人に提供しなければならないものとされています(法28条3項)。
上記の2つに該当しない場合は、「本人に参考となるべき情報」をあらかじめ提供した上で本人の同意を得なければならないとされています(法28条2項、規則17条2項)。
・本方針では、楽天グループで共同利用する場合(4-1)、商品の販売等に伴って第三者提供する場合(4-2)、委託先等に提供する場合(4-3)、広告配信等に利用する場合(4-4)のいずれの場合においても、外国にある第三者に個人データが提供され得ることが記載されています。日本国外への個人情報の提供については、本方針内にリンクが設けられており、こちらのページから確認することができます。令和2年改正で「外的環境の把握」に関する制度が設けられたところ、個人情報保護委員会による制度調査のサイトのリンクが貼られているほか、同サイトに記載のない国については、独自で記載がなされています。「〈随時追加予定〉」との記載からは、移転先の国が網羅しきれていないことが想像されますが、外的環境の把握が事業者に重大な負担を課す改正であったことからすれば、ある程度やむを得ない側面もあるでしょう。
・長文になるため引用はしていませんが、「8.セキュリティおよび国外への移転」において、ユーザが居住する地域と同等の個人情報保護法制を有さない国に移転する可能性に触れつつ、拘束的企業準則(BCR)を含む適切な保護措置を講じていることが明記されています。また、「世界のどこにあってもお客様のプライバシーの保護を強く確約する」という強いプライバシー保護に対する姿勢が示されている点が印象的です。
5. 個人データ(パーソナルデータ)の共同利用
【原文より抜粋】
4-1. 楽天グループによるアクセス
楽天グループにおける情報の連携は、楽天グループが一体となって、よりユニークで魅力的なサービスを開発し、お客様に提供するために必要不可欠です。
そのため、私たちが本方針に従って取得したお客様の個人情報は、私たちから楽天に集約されることによって、一元的に楽天によって安全かつ適正に管理されます。私たちは、本方針所定のお客様の個人情報を、本方針所定の目的のために、楽天を管理責任者(管理責任者についてはこちらよりご確認いただけます。)として共同で利用します。
また、私たちは、お客様の個人情報を、私たち以外の楽天グループの会社(日本国外にある者を含みます。)に提供し、当該楽天グループの会社が所定の目的のために利用します。詳細は、以下に定めるところに従うものとします。なお、日本国外にある楽天グループに提供する場合の外国の名称等はこちらでご説明していますので、あわせてご確認ください。
4-1-1 Rakuten IDによるログインに対応したサービスを提供する楽天グループの会社による利用 (略)
4-1-2 お客様がアカウントを他の楽天グループの会社のサービスで利用または連携した場合、当該サービスを提供する楽天グループの会社による利用 (略)
4-1-3 研究開発に関する統括機能を持つ楽天グループの会社による利用(参照リンク) (略)
4-1-4 すべての楽天グループの会社による利用 (略)
(略)
*引用:4. お客様の個人情報にアクセスする者
【解説】
個人情報保護法上、以下5項目について「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置」く場合、第三者提供に該当しないものとされています(共同利用。法27条5項3号)。⑴共同利用をする旨、⑵共同利用する個人情報の項目、⑶共同利用者の範囲、⑷共同利用する個人情報の利用目的、⑸共同利用の管理責任者
・本方針では、楽天を管理責任者として共同利用する旨(⑴、⑸)、表形式で「利用する個人情報」(⑵)、「個人情報の利用目的」(⑷)が、楽天グループという共同利用者の範囲(⑶)が、それぞれ明記されており、法定の公表事項が充足されています。
6. 安全管理措置
【原文より抜粋】
私たちは、お客様の個人情報に対する不正アクセスまたは漏洩を防止し、個人情報の正確性を維持し、および必要な場合は適切な廃棄を行うために、適用法令を遵守するとともに、高い情報セキュリティ水準での個人情報の取扱いに努めています。私たちは、個人情報の取得時または移転時には、通信を暗号化し、また、保管する個人情報についてアクセス権の制限を設け、業務の遂行に必要な者のみに取扱わせています。加えて、私たちは、上記取り組みが実効的に適切になされているか、および適正な水準にあるかを確認するため、定期的に見直しを行っています。私たちが講ずる安全管理の措置については、以下の「情報セキュリティの取り組み」もあわせてご確認ください。
→情報セキュリティの取り組みについて
(省略)
お客様のアカウントの安全性の維持のためには、お客様によるパスワードの保護が大変重要です。他のサービスと同一のパスワードをご利用になることおよびパスワードを第三者に明かすことは、おやめください。お客様のパスワードを要求する内容のメールやその他の連絡は不正なものとみなし、「お問い合わせ」に従ってご連絡ください。
お客様がアカウントアグリゲーション等のサービスを利用された場合を含み、どのような事由でも第三者にお客様のパスワードを開示した場合、当該第三者はお客様のアカウントおよび個人情報にアクセス可能な状態となります。この場合、お客様に損害が生じたとしても、私たちは、私たちの責に帰すべき事由がある場合を除き、責任を負わないものとします。もし第三者がお客様のアカウントにアクセスしていると疑われる場合、直ちにパスワード変更を行った上で、私たちにご連絡ください。
*引用:8.セキュリティおよび国外への移転
【解説】
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないとされています(法23条)。
また、保有個人データに関して講じた安全管理措置は、「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」に置かなければならないとされています(法32条1項4号、個人情報保護法施行令10条1号)。
講ずべき安全管理措置の例は、ガイドライン通則編10に記載があります。
・本方針及び本方針にリンクが添付されている「情報セキュリティへの取り組み」で、組織的・物理的・人的・技術的安全管理措置についての説明が、ユーザが理解しやすいように記載されています。基本方針やマネジメント体制、国際基準(ISO/IEC 27001)への準拠を丁寧に記載している点は参考になります。
7. 開示等の請求の対応
【原文より抜粋】
6-1. お客様の権利
適用法令に基づき、お客様ご自身の個人情報に関し、以下の権利を含む一定の権利が認められる場合があります。
l 個人情報へのアクセス:個人情報のカテゴリー、取扱いの目的、または適用法令が定めるその他の情報など、お客様の個人情報に関する情報へのアクセスを請求することができます。
l 個人情報の訂正:不正確な個人情報を訂正することができます。
l 個人情報の消去:私たちが収集したお客様の個人情報の消去を請求することができます。
l 個人情報の利用の制限
l 個人情報の利用に関する異議申し立て:状況に応じて、プロファイリングや、適用法令に基づくその他の取扱いなど、お客様の個人情報に関する一部の取扱いに対して異議を申し立てることができます。
l データポータビリティ:個人情報を利用可能な電子形式で受領し、それを第三者に送信することができます。
l 個人情報の取扱いに関する理解:情報の収集元、情報を収集し第三者に提供する目的、保持する情報の内容、および情報の提供先となる第三者について詳細を確認することができます。
(省略)
これらの権利について問い合わせるまたは権利の行使を希望される場合、「お問い合わせ」に従って私たちにご連絡ください。お客様は適用法令に従って授権代理人を使用してお客様の権利を行使することもできます。その場合は当該代理人に対し必ず書面による許可を与えていただきますようお願いいたします。
*引用:6. お客様の権利とお客様による選択
【解説】
個人情報取扱事業者は、保有個人データに関し、開示等の請求に応じる手続及び開示の請求に係る手数料の額について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含みます。)に置かなければなりません(法32条1項)。
・個人情報保護法で定められている権利のほか、データポータビリティの権利についても記載がなされており、プライバシー保護に対する企業意識が窺えます。
・開示等の請求の具体的な手続については、本方針の最下部の「お問い合わせ」に従って進めるようです。「お問い合わせ」にリンクが設定されている「ヘルプページ」を押下し、手続を行うことになりますが、「ご質問またはご懸念がある場合には、ヘルプページをご参照ください。」と記載がなされていることから、当該ページが権利行使に関するページだと理解するのに少し手間取るように思います。
8. 苦情・問合せ
【原文より抜粋】
本方針またはお客様の個人情報の取扱いについて、ご質問またはご懸念がある場合には、ヘルプページをご参照ください。ヘルプページには、お問い合わせのための連絡方法も掲載されています。
本方針に関するご意見、または適用法令上お客様に認められた権利の行使については、下記のお問い合わせ方法により私たちにご連絡ください。適用法令上お客様に認められる権利の例としては、米国カリフォルニア州居住者に認められる「販売」を停止する権利等があります。お客様の権利について、詳しくは「6. お客様の権利とお客様による選択」をご覧ください。
→よくあるご質問
→個人情報保護方針に関するお問い合わせ
私たちはお問い合わせの受領後遅滞なくお客様に回答いたします。お問い合わせの際には、本人確認を行うため、または、私たちが当該お問い合わせに適切に対応するため、お客様から追加の情報のご提供をお願いする場合があります。あらかじめご了承ください。
※楽天グループの各サービスに関するお問い合わせは、お手数ですがこちらから各窓口へお問い合わせください。
*引用:お問い合わせ
【評価結果】
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならず、必要な体制の整備に努めなければならないとされており(法40条)、保有個人データの取扱いに関する苦情の申出先について本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならないとされています(法32条1項4号、令10条2号)。
・お問合せに必要な情報が記載されているほか、「ヘルプページ」には問い合わせが想定される質問に関するFAQが記載されており、記載が充実しています。
9. Cookie等の取扱い
【原文より抜粋】
インターネットその他の電子的ネットワークにおける行動情報、位置情報:
お客様が会員サービスもしくは対象サービスを利用した場合、会員サービスもしくは対象サービスに関連する広告やコンテンツに接した場合、またはお客様がCookie等(ウェブビーコン、UID、その他の技術を含み、以下単に「Cookie等」といいます。)を有効にしている場合、私たちは、自動的に、お客様が利用したPC、携帯電話端末、タブレットその他の情報通信端末に関する情報およびCookie等を通じた情報を取得します。
(省略)
また、Cookie等についての詳細および行動ターゲティング広告の設定は、別途定める「Cookie ポリシー」をご確認ください。
私たちは、氏名等のお客様を特定する情報を保有しない第三者から、識別子や行動履歴など、お客様に関連する情報(個人関連情報)の提供を受け、当該情報を私たちが管理するお客様の個人情報と紐づけることで個人情報として取得し、別途の目的が示されている場合を除き、上記「3‐1.個人情報の利用」でご説明した目的にしたがって、当該情報を利用することがあります。具体的には、Cookie等、モバイル広告識別子、メールアドレスや電話番号(不可逆的な変換処理がなされたものを含みます。)、広告の閲覧回数等の広告配信関連ログ、ウェブサイトの閲覧履歴や検索履歴、実店舗でのショッピングを含む購買履歴、位置情報その他の行動履歴、TV視聴関連ログ等を取得し、私たちが管理する個人情報と紐づけて利用する場合があります。この場合は、適用法令に従い、個人情報として適切に取り扱います。
*引用:2-4. 情報通信端末に関する情報およびCookie等を利用して取得する情報、5.お客様に関連する情報の取得
【解説】
Cookieはそれ単体では個人情報に該当しない(法2条1項)ものの、保有する個人情報と紐付け個人を識別することができるようにしている場合は、Cookieにより取得した情報も含む全体が個人情報に該当し、個人情報の規制が及びます。外部送信規律により公表等の措置を講じる必要がある場合を別として、Cookieの取扱いについて個人情報保護法上、プライバシーポリシーで定めることは必須ではないものの利用する具体的なCookieの種類や内容、管理・選択方法等を一律にしてあらかじめ公表しておくことが望ましいといえます。
Cookieは個人関連情報に該当しますが、個人関連情報を第三者に提供する場合、提供先の第三者が個人データとして取得することが想定される場合、提供先においてあらかじめ本人の同意を取得し、提供元において当該同意の取得を確認しなければならないとされています(法31条1項)。
・楽天がユーザからCookie等を通じた情報を取得すること、第三者から個人関連情報として取得することが具体的に説明されています。
・また、本方針とは別にCookieポリシーを定めており、Cookieに関する基本的な説明のほか、どのような情報を取得するのか、どのように利用するのかが分かりやすく記載されています。
【原文より抜粋】
私たちは、契約上の義務の履行を目的として、お客様へのサービスの提供、お客様との取引等が継続される限り(楽天会員登録を維持していただくなど)お客様の個人情報を保持し、また、お客様へのサービスの提供やお客様との取引等が終了した後も、お客様の個人情報を10年間保持いたします。また、情報通信端末に関する情報およびCookie等を利用して取得する情報などの情報については、取得後最長2年間利用および保持を行います。
適用法令を遵守するためにお客様の個人情報を保持しなければならない場合や、未解決の請求もしくは苦情に対応する場合など、正当な必要性がある場合を除き、上記の期間を越えてお客様の個人情報を保持することはありません。
*引用:3-3.個人情報の保持
【解説】
個人情報保護法では、個人情報の保存期間や廃棄すべき時期について規定していませんが、個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければなりません(法22条)。それぞれの企業において、個人データの廃棄に関するルールを定められていることが通常ですが、ユーザへの説明がなされていれば丁寧であるといえます。
・サービス提供、取引等が終了した後、ユーザの個人情報を10年間保持すること、一部の情報は取得後最長2年間利用・保持することが記載されています。
11. 外部送信規律
【原文より抜粋】
第三者のCookie
本項目では、情報の送信先やその利用目的、送信している情報を確認することができます。
※第三者のCookie情報が表示されない場合は、ページの再読み込みをしてください。
(省略)
なお、リンク先は楽天グループ外のウェブサイトです。Cookieの利用に関するポリシーやオプトアウト方法を示しています。英語等、日本語以外のウェブサイトもありますが、「Opt Out」や「opt-out」等の表記がされており、それをクリックすることでオプトアウトされることが一般的です。
*引用:3. Cookieを用いた情報にもとづくターゲティング広告のオプトアウト(広告の最適化の解除)(「Cookieポリシーと広告の最適化」より)
【解説】
令和4年に電気通信事業法が改正され、いわゆる「外部送信規律」が設けられたことで、電気通信事業者又は同法上の第三号事業を営む者は、情報送信指令通信(外部送信)を行う際に、次の事項につき、通知又は容易に知り得る状態に置く(以下「公表」といいます。)など一定の措置を講じるものとされました(電気通信事業法27条の12)。
⑴ 送信されることとなる利用者に関する情報の内容
⑵ 送信先となる第三者の名称
⑶ 利用者に関する情報の利用目的(利用目的については、送信元の利用目的と送信先の利用目的のいずれも記載する必要があります。電気通信事業における個人情報等の保護に関するガイドラインの解説258頁)。
外部送信規律への対応が求められる企業の多くは、公表によって対応しているように見受けられます。公表によって対応する場合には、外部送信を行うウェブページ又は当該ウェブページから容易に到達できるウェブページにおいて、法定の事項を表示すべきとされています(電気通信事業における個人情報等の保護に関するガイドラインの解説254頁)。
なお、外部送信規律の詳細については、解説記事をご参照ください。
・「楽天市場」を例にとると、楽天市場のページの下部に「個人情報保護方針」のリンクが設けられており、「個人情報保護方針」から遷移できる「Cookieポリシーと広告の最適化」に「※ 電気通信事業法に基づく外部送信に関する公表事項については「第三者のCookie」をご覧ください。」との記載があることから、ここで外部送信規律に関する公表がなされていることが分かります。「当該ウェブページから容易に到達できるウェブページに」おいて公表がなされているといってよいでしょう。
・「広告」「アクセス解析」「データ収集」など、大まかな利用目的ごとに公表事項が見やすく記載されています。
・ただし、利用目的については送信先の事業者に係る事項しか記載されておらず、送信元事業者である楽天の利用目的はこの箇所に記載されていません。
・また、楽天のように様々なサービスを提供している事業者の場合、提供しているサービスの一部を利用するユーザも想定されるため、サービスごとに公表事項を記載することがより適切であり、法の趣旨にかなうと考えます。
12. GDPRへの対応
【原文より抜粋】
欧州経済領域では、私たちは正当な理由(または法的根拠)がない限り個人情報を取扱うことができません。ほとんどの場合、私たちは以下の事項のうち一つを個人情報の取扱いの根拠とします。
会員サービスおよび対象サービス、お客様と販売主等とのお取引を仲介するサービス等において、私たちの契約上の義務を履行するため
マネーロンダリング(資金洗浄)防止に関する義務を充足するためにお客様の本人確認書類を取得するなど、私たちの法的義務を遵守するため
お客様による会員サービスおよび対象サービスの利用状況を理解しそれをもとにサービスを改善することや、お客様に合わせた広告等を適切な手法でお届けすることなど、私たちの正当な利益を確保するため。お客様の個人情報を取扱うことで得られる私たちの正当な利益は、お客様にRakuten IDを通じてサービスを利用いただくにあたり最適でユニークなサービスを提供するという私たちのミッションと願いから成り立ちます。
また、私たちは、お客様に広告、宣伝のための電子メールを送信しようとする場合や、機微情報を取扱う場合などに、一定の種類の個人情報の収集および利用について、お客様に同意をお願いする場合があります。個人情報の取扱いについて同意をお願いする場合、私たちはお客様がいつでもその同意を撤回できることを保証します。
*引用:3-2. 個人情報の利用の法的根拠
【解説】
GDPRが適用される場合、個人データの処理に当たって、データ主体の同意、契約の履行にとって必要な場合、法的義務の遂行にとって必要な場合、管理者又は第三者によって求められる正当な利益の目的に必要な場合など、GDPR6条1項に掲げられている事項のうちいずれかに根拠を求める必要があります。
・本方針では、欧州経済領域において(GDPRが適用される個人データの処理についてはという趣旨と解されます)、個人データを処理するに当たっての法的根拠が具体的に説明されています。
13. プライバシーポリシーの変更
【原文より抜粋】
私たちは、本方針を、法令変更への対応の必要性および事業上の必要性等に応じて、随時、変更および改正する場合があり、当該変更等について、このウェブサイト上に掲載します。お客様は、このウェブサイト上に掲載される変更等の後の最新の本方針の内容を十分にご確認ください。
*引用:9. 本方針の変更
【解説】
法律上、プライバシーポリシーの変更に関する定めを公表する義務はありませんが、プライバシーポリシーの変更に備え、変更に関する定めを置く企業もあります。
個人情報保護法上、例えば、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない(法17条2項)などの定めが置かれています。
・本方針では、随時変更及び改正を行う場合があること、変更等に際してはウェブサイト上に掲載することが記載されています。
・本方針には、最新版の1つ前の規定も確認することができるように、リンク(ページ上部、「改定前の方針はこちら参照」)が設けられています(なお、変更箇所及びそれ以前の改訂の経過は、プライバシーセンターに掲載されています。)。
1. プライバシーセンターについて
プライバシー保護に取り組む企業を中心に、自社のプライバシー保護に関する取組やプライバシーポリシーに関する補足説明を行う「プライバシーセンター」をウェブサイトに掲載する動きが加速しています。
楽天も、ホームページにプライバシーセンターを開設し、自社の取組やプライバシーポリシーにおいて字面だけでは分かりにくい事項を、イラストや具体例を用いて補足説明しています。特に、「プライバシーをわかりやすく」のタブでは、「プライバシーってなんだろう」、「個人情報保護方針ってなんだろう」といった、基本的ではあるものの一般ユーザに馴染みのない事柄について平易な文章で記載されているなど、プライバシーセンターを設けている他企業と比べても、記載が特に充実しています。
2. 拘束的企業準則について
楽天はGDPRが適用されるところ、越境移転による個人データの処理について拘束的企業準則(BCR)に依拠しているようです(プライバシーセンター「拘束的企業準則(BCR)」参照)。
楽天のようにグループ企業が多数にわたる場合、拘束的企業準則に依拠することが多く、データ保護政策を公表することで、グループ企業内での移転について高水準なプライバシー保護体制を敷いていることを対外的に示すことができるという利点があります。