総合評価:A
模範的なプライバシーポリシーです。
必要な項目について十分具体的に書かれており、読みやすいプライバシーポリシーです。
簡潔で理解しやすく、明確かつ平易な文言で書かれており、容易にアクセスできる場所に掲載されています。
また、プライバシーポリシーとは別に、「プライバシーセンター」という説明ページにおいて、パーソナルデータに詳しくないユーザが見ても理解ができるようにわかりやすく説明がなされている点、自社の取組を公表している点が特徴として挙げられます。
ポリシー最終改訂日:2023/06/05
ポリシー最終評価日:2023/08/14
プライバシーポリシー
https://about.yahoo.co.jp/common/terms/chapter1/#cf2nd
プライバシーセンター
https://privacy.yahoo.co.jp/
法令等の表記は、以下の例によります。
法 個人情報保護法
令 個人情報保護法施行令
規則 個人情報保護法施行規則
ガイドライン通則編 個人情報の保護に関する法律についてのガイドライン(通則編)
1. 前文等
【原文より抜粋】
当社は、お客様、取引先をはじめとした皆さま(以下本章で「お客様等」といいます)のプライバシーに関連する情報の重要性を認識し、その情報を正確かつ誠実に取り扱うための基本方針(プライバシーポリシー)を以下に定め、厳正に管理いたします。
注:本プライバシーポリシーに基づき、当社がプライバシーに関連する情報を具体的にどのように取り扱うかについては、Yahoo! JAPANプライバシーセンター→をご参照ください。
本プライバシーポリシーは、当社が取り扱う、個人としてのお客様等を直接的または間接的に識別できるすべての情報(以下「パーソナルデータ」といいます)について適用されます。
*引用:前文
【解説】
プライバシーポリシーの適用対象(名宛人)を「お客様、取引先をはじめとした皆さま」と定義しています。企業が扱う個人情報(パーソナルデータ)は、サービス利用者、取引先のほかに従業員も含まれますが、従業員に関する記載は本プライバシーポリシーに含まれていません。全ての適用対象者をまとめてプライバシーポリシーを作成するとプライバシーポリシーが長くなり、自身に関わる記載部分を判別しにくくなるので、ヤフー株式会社のように多くの個人のサービス利用者を抱えるような企業は、このように適用対象者を分割して作成することをお勧めします。
・また、本プライバシーポリシーでは、対象情報を「個人情報」より広く、パーソナルデータ(「個人としてのお客様等を直接的または間接的に識別できるすべての情報」)としています。対象情報を「個人情報」にとどめるのは飽くまで法令上の最低ラインであり、本プライバシーポリシーのように、「パーソナルデータ」とする企業が増えています。
2. 取得する個人情報(パーソナルデータ)の項目
【原文より抜粋】
当社は、以下の場合にパーソナルデータを適法かつ公正な方法により取得いたします。また、パーソナルデータの取得にあたっては、あらかじめその利用目的を通知または公表(次条による利用目的の公表を含みます)します。
1. 端末操作を通じてお客様等にご入力いただく場合
2. お客様等から直接または書面等の媒体を通じてご提供いただく場合
3. お客様等によるサービス、商品、広告、コンテンツ(以下これらをまとめて「サービス等」(※1)といいます)の利用・閲覧に伴って自動的に送信される場合
4. 上記の他、お客様等の同意を得た第三者から提供を受ける場合など、適法に取得する場合
※1 サービス等は、パートナー(※2)向けおよびご本人以外のお客様等向けのサービス、商品、広告、コンテンツを含みます。
※2 パートナーとは、グループ企業(※3)ならびに当社の情報提供元および広告主、広告配信先その他の提携先をいいます。
※3 グループ企業とは、Zホールディングス株式会社ならびにその親会社、子会社および関連会社(「財務諸表等の用語、様式及び作成方法に関する規則」にいう「親会社」「子会社」および「関連会社」をいいます)をいいます。グループ企業についてはこちらをご確認ください。
*引用:1. パーソナルデータの取得
【解説】
取得する個人情報(パーソナルデータ)の項目は、個人情報保護法上、通知や公表が義務付けられているわけではありません(ただし、ガイドライン等で取得する個人情報の項目が求められる場合もあります。)。しかし、利用目的を通知・公表する前提として、取得する個人情報(パーソナルデータ)の項目を記載することが望ましいといえるでしょう。
・本プライバシーポリシーでは、取得するパーソナルデータの種類が多岐にわたるためか、パーソナルデータの項目については記載されていませんが、取得源(どのような場合にパーソナルデータを取得するか)が記載されています。
・なお、プライバシーセンターの「パーソナルデータ」において、取得するパーソナルデータの全項目までは記載されていないものの、一般のユーザが理解できるように具体的に記載されています。
【原文より抜粋】
当社は、取得したパーソナルデータを以下の目的または個別にお客様等に通知もしくは個別のサービス等において公表する目的のためにのみ利用(※4)し、これらの利用目的以外の目的では利用いたしません。また、目的外利用をしない為の措置を講じます。パーソナルデータの具体的な活用事例については、こちらをご確認ください。
1. お客様等に適した当社のサービス等をご提供するため
2. お客様等からのお問い合わせに対応するため
3. 商品の配送、代金請求、ポイント付与等をするため
4. お客様等に当社およびパートナーのサービス等に関するお知らせをするため
5. 当社のサービス等の安全なご提供を確保するため。これには、利用規約に違反しているお客様を発見して当該お客様に通知をしり、サービス等を悪用した詐欺や不正アクセスなどの不正行為を調査・検出・予防したり、これらに対応することが含まれます
6. 当社のサービス等の改善および当社の新たなサービス等を検討するため
7. 当社のサービス等のご利用状況等を調査、分析するため
上記にかかわらず、当社が第三者からパーソナルデータの提供を受ける際に、当該パーソナルデータの利用目的について別途定めがある場合は、その定めに従い当該パーソナルデータを利用します。
※4 本条に定める利用には、当社が取り扱うお客様等のYahoo! JAPAN ID、パートナーのID、広告ID(Advertising Identifier(IDFA)およびGoogle Advertising Identifier(AAID)を含みますがこれに限りません)、クッキーその他の各種識別子を紐づけて管理し、利用する場合を含みます。また、それに限らず、当社は、パートナーより受領するウェブページの閲覧履歴・検索履歴、パートナーが運営する店舗やショッピングサービス等での購買履歴、位置情報等の行動履歴、暗号化されたメールアドレス、クッキー、広告ID等の個人関連情報を、当社の保有するパーソナルデータと紐づけたうえで利用します。ただし、当該紐づけにあたり、個人情報の保護に関する法律(以下「個人情報保護法」といいます)によりお客様等の同意が必要な場合には、個人情報保護法および関連するガイドラインに従った態様で本プライバシーポリシーに同意いただいた場合にのみ紐づけを行います。
*引用:2. パーソナルデータの利用目的
【解説】
利用目的は、単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましいとされています(ガイドライン通則編3-1-1)。
・企業が公開しているプライバシーポリシーの中には、利用目的の記載が抽象的で、記載自体からどのように利用されるのかが分かりにくいものもありますが、本プライバシーポリシーは、合理的に予測・推定できるほど利用目的が特定されているといえます。
・また、プライバシーセンターの「パーソナルデータの活用」にて、利用目的等がより具体的に説明されており、パーソナルデータを具体的にどのように利用しているのかが分かりやすく、透明性が確保されていると評価できます。
4. 個人データ(パーソナルデータ)の第三者提供
【原文より抜粋】
法令で認められた場合のほか、お客様等の同意をいただいた場合は、当社は、パートナー等の第三者(外国にある第三者を含みます。以下同じ)に対してパーソナルデータを提供いたします。ただし、以下の場合においては、氏名や住所など直接特定の個人を識別することができる情報を除外した上で、当社は第三者に対して、必要な範囲でパーソナルデータを提供いたします。
1. 当社のサービス等の提供に必要な場合(当社のサービス等に関する広告、プロモーション活動等に必要な場合を含みます)
2. 当社のサービス等の品質向上のために必要な場合
3. 当社の新たなサービス等の検討のために必要な場合
4. 調査・研究・分析のために研究機関に提供する場合
*引用:3.パーソナルデータの提供の同意(第1項)
【解説】
1 総論
法令に基づく場合、人の生命、身体又は財産の保護のために必要のある場合などを除き、個人データを第三者に提供する場合には、原則として本人の同意を取得しなければならないとされています(法27条1項)。
・本プライバシーポリシー3条1項本文においてこのことが明らかにされているほか、同条項ただし書において、一定の場合に「氏名や住所など直接特定の個人を識別することができる情報を除外した上」で、パーソナルデータを提供することが定められています。この点、間接的であれ特定の個人を識別することができる情報が付された情報を第三者に提供する場合、法令上個人データの第三者提供に当たる可能性が残りますが、本プライバシーポリシーにおいて個人データを本人の同意なく第三者提供する余地を認めている点で、法令適合性に疑義があるといえます。
・プライバシーセンターの「パーソナルデータの連携」において、グループ企業やパートナー企業へのデータ連携の方法について図を用いてユーザに分かりやすい説明を試みている点は評価できるといえるでしょう。
2 外国にある第三者への提供について
外国にある第三者に個人データを提供する場合(委託や共同利用を含みます。)、法28条の定めに従う必要があります。
まず、提供先の第三者が我が国と同等の水準にあると認められる個人情報保護制度を有している国(現時点では、EEA加盟国及び英国)にある場合、当該第三者は「外国」に当たらないものとされています。
次に、基準適合体制の整備によって外国への第三者提供を整理する行う場合、「相当措置の継続的な実施を確保するために必要な措置を講じる」とともに、本人の求めに応じて「当該必要な措置に関する情報」を本人に提供しなければならないものとされています(法28条3項)。
上記の2つに該当しない場合は、「本人に参考となるべき情報」をあらかじめ提供した上で本人の同意を得なければならないとされています(法28条2項、規則17条2項)。
・プライバシーセンターの「海外パートナー企業へのデータ連携」において、「イギリスおよびEEA構成国、欧州委員会から十分性認定を受けた国または地域」、「APEC CBPR参加国」に対してパーソナルデータを提供・委託することが明記されており、パーソナルデータの提供・委託先の個人情報保護制度に関する情報において、提供・委託先の法制度に関する情報が分かりやすくまとめられています。プライバシーポリシーから当該情報に容易にジャンプすることができる方法により確認することができる点は参考になるでしょう。また、プライバシーポリシー本文には記載せず、「プライバシーセンター」にて別途詳細に説明することで本文が冗長になることを防ぎ、ユーザの見やすさに配慮しているといえます。
5. 個人データ(パーソナルデータ)の共同利用
【原文より抜粋】
前項の場合に加え、以下の場合においては、お客様等から別途グループ企業とのデータ連携を許可いただいていることを条件に、氏名や住所など直接特定の個人を識別することができる情報を除外した上で、当社は、グループ企業に対して、必要な範囲でパーソナルデータを提供いたします。なお、当該提供にあたり、当社はグループ企業による第三者への再提供(法令上の強制力を伴う開示請求に応じる場合を除きます)を禁止します。
1. グループ企業のサービス等の提供に必要な場合
2. グループ企業のサービス等の品質向上のために必要な場合
3. グループ企業の新たなサービス等の検討のために必要な場合
*引用:パーソナルデータの提供の同意(第2項)
【解説】
個人情報保護法上、以下5項目について「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置」く場合、第三者提供に該当しないものとされています(共同利用。法27条5項3号)。⑴共同利用をする旨、⑵共同利用する個人情報の項目、⑶共同利用者の範囲、⑷共同利用する個人情報の利用目的、⑸共同利用の管理責任者
・3条2項はグループ企業に対するパーソナルデータの提供について規定するものであり、グループ企業の範囲も明確にされていることから、共同利用として整理しているものと解釈するのが素直なように思えます。ただし、お客様等からデータ連携の許諾を条件としていること、共同利用の文言がないこと、当該条項に上記⑴から⑸が網羅的に規定されているわけではないことから、ヤフー株式会社が、同条項を共同利用として整理しているか否かは判然とせず、社内的には第三者提供と整理しているようにも思えます。なお、共同利用者の範囲については、1条及びプライバシーセンター「グループ企業とのデータ連携」に記載があります)。
6. 安全管理措置
【原文より抜粋】
当社は、個人情報保護法および本プライバシーポリシーに従って、パーソナルデータを適切に取り扱います。また、目的外利用等の不適切な取り扱いを防ぐため、以下の安全管理措置を実施し、パーソナルデータおよびパーソナルデータを処理する情報システムの安全を確保します。
1. パーソナルデータの取扱いに関する責任者を設置する
2. パーソナルデータを取り扱う従業者および当該従業者が取り扱うパーソナルデータの範囲を明確化し、個人情報保護法やパーソナルデータの取扱いに関する社内規程に違反している事実または兆候を把握した場合の責任者への報告連絡体制を整備する
3. パーソナルデータの取扱いに関する留意事項について、従業者に定期的な教育を実施する
4. パーソナルデータを取り扱う区域において、従業者の入退室管理および持ち込む機器等の制限を行うとともに、権限を有しない者によるパーソナルデータの閲覧を防止する措置を実施する
5. アクセス制御を実施して、担当者および取り扱う個人情報データベース等の範囲を限定する
また、これらの安全管理措置が適切に講じられていることを担保するため、情報セキュリティマネジメントシステム認証を取得し、定期的にマネジメントシステムの見直しを行っています。
当社がパーソナルデータの取り扱いを第三者に委託する場合は、当社が定める委託先選定基準を満たす者に委託し、委託先と契約を締結して委託先による業務を適切に管理しています。また、当社は、当社が定める基準を満たす安全管理措置を講じている第三者にのみパーソナルデータを提供します。
*引用:4.セキュリティについて(第1項)
【解説】
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないとされています(法23条)。
また、保有個人データに関して講じた安全管理措置は、「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」に置かなければならないとされています(法32条1項4号、個人情報保護法施行令10条1号)。
講ずべき安全管理措置の例は、ガイドライン通則編10に記載があります。
・ヤフー株式会社が講じている組織的・物理的・人的・技術的安全管理措置についての説明が、ユーザが理解しやすいように記載されています。体制の構築という点でも、有識者との対話等、グループ会社を含めた様々な取り組みがなされています。
・また、プライバシーセンターの「パーソナルデータの安全管理措置」において、プライバシーポリシーとは別に説明がなされています。
7. 開示等の請求の対応
【原文より抜粋】
お客様が、ご自身の登録情報等についての確認をご希望の場合は、「登録情報」のページをご確認ください。また、特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律(平成13年法律第137号)第4条に基づく発信者情報の開示を請求される方は、「プロバイダ責任制限法に関する申告を行う方へ」のページをご確認ください。
*引用:Yahoo!JAPAN プライバシーセンター「プライバシーの設定」、「郵送による個人情報開示手続き」参照。
【解説】
個人情報取扱事業者は、保有個人データに関し、開示等の請求に応じる手続及び開示の請求に係る手数料の額について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含みます。)に置かなければなりません(法32条1項)。
・プライバシーポリシーに開示等の手続についての記載はありませんが、プライバシーセンターにおいて、オンライン上・郵送での開示(閲覧)の手続についての説明があります。開示の方法については、令和2年改正により、電磁的記録の提供による方法、書面の交付による方法その他事業者の定める方法のうち本人が請求した方法による開示に対応する必要があるところ、改正法に対応した案内がなされています。
8. 苦情・問合せ
【原文より抜粋】
本プライバシーポリシーに関するご質問、ご相談、その他のお問い合わせにつきましては、以下のお問い合わせフォームよりオンラインでご連絡ください。
〒 102-8282 東京都千代田区紀尾井町 1-3
東京ガーデンテラス紀尾井町 紀尾井タワー
ヤフー株式会社 プライバシー担当
https://support.yahoo-net.jp/form/s/PccPrivacypolicy
*引用:末尾
【評価結果】
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならず、必要な体制の整備に努めなければならないとされており(法40条)、保有個人データの取扱いに関する苦情の申出先について本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならないとされています(法32条1項4号、令10条2号)。
・お問合せに必要な情報として、「Yahoo!JAPAN-お問い合わせフォーム」からオンラインで連絡する手段が記載されており、ユーザが戸惑うことなく問合せフォームにアクセスすることができます。
9. Cookie等の取扱い
【原文より抜粋】
一般的に、お客様があるウェブページにアクセスすると、そのウェブサイトの運営者はお客様がご利用の端末にクッキーを送信し、クッキーはお客様がご利用の端末に保存されます。お客様が、同じウェブサイトに再度アクセスすると、ウェブサイトの運営者は、お客様がご利用の端末に保存されたクッキーを取得し、参照することができます。
ウェブサイトの運営者は、お客様がウェブページで入力した情報などをクッキーに記録しておくことができます。これにより、たとえば、お客様は何度も同じ情報の入力する必要がなくなり、また、たとえば、クッキーにお客様が登録しているIDを記録しておくことで、ウェブサイトの運営者は、お客様がアクセスしてきたときにどのIDをお使いのお客様であるのかを知ることができ、お客様にあったコンテンツや広告を提供することができるようになります。
ブラウザの設定を変更することで、クッキーの送受信を拒否することができます。クッキーに関する設定方法は、お使いのブラウザの「ヘルプ」メニューなどでご確認ください。
他社サイト上のYahoo!JAPANのクッキー (抜粋省略)
Yahoo!JAPAN上の他社のクッキー (抜粋省略)
*引用:Yahoo!JAPAN プライバシーセンター「クッキー」
【解説】
Cookieはそれ単体では個人情報に該当しない(法2条1項)ものの、保有する個人情報と紐付け個人を識別することができるようにしている場合は、Cookieにより取得した情報も含む全体が個人情報に該当し、個人情報に対する規制が及びます。外部送信規律により公表等の措置を講じる必要がある場合を別として、Cookieの取扱いについて個人情報保護法上、プライバシーポリシーで定めることは必須ではないものの利用する具体的なCookieの種類や内容、管理・選択方法等を一律にしてあらかじめ公表しておくことが望ましいといえます。
Cookieは個人関連情報に該当しますが、個人関連情報を第三者に提供する場合、提供先の第三者が個人データとして取得することが想定される場合、提供先においてあらかじめ本人の同意を取得し、提供元において当該同意の取得を確認しなければならないとされています(法31条1項)。
・ヤフー株式会社の場合、同社が3rd PartyとしてCookieを送信・保存する場合と同社の外部に送信・保存される場合がありますが、その双方について、Cookieに馴染みがないユーザにとっても理解できるよう、丁寧に用語説明がなされています。
10. 個人データ(パーソナルデータ)の保存期間
【原文より抜粋】
Yahoo! JAPANでは、お客様がYahoo! JAPANを利用するたびに、ご自身の設定に基づくカスタマイズした情報を表示できるよう、お客様の登録情報をYahoo! JAPANのユーザーデータベースにアクティブな状態で保存しています。
お客様がYahoo! JAPANにご自身のYahoo! JAPAN IDを削除するよう要求すると、お客様のYahoo! JAPAN IDはアクティブ状態ではなくなります。そして、一定期間経過後にYahoo! JAPANのユーザーデータベースから削除されます。この猶予期間は、お客様が詐欺行為などの不利益に巻き込まれることを防ぐために設けられているものです。
*引用:Yahoo!JAPAN プライバシーセンター「データの保存」
【解説】
個人情報保護法では、個人情報の保存期間や廃棄すべき時期について規定していませんが、個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければなりません(法22条)。それぞれの企業において、個人データの廃棄に関するルールを定められていることが通常ですが、ユーザへの説明がなされていれば丁寧であるといえます。
・プライバシーポリシー上に記載はありませんが、プライバシーセンター「データの保存」には、ユーザがYahoo! JAPAN IDを削除するよう要求すると一定期間経過後に直接個人を識別できる情報がユーザデータベースから削除されること、不正利用等の防止のために必要な情報については一部保存され、更に一定期間が経過した後に順次削除されることなどが説明されています。
11. 外部送信規律
【原文より抜粋】
利用者に関する情報の外部送信について
ヤフーでは、サービスを提供するにあたってさまざまなパートナー企業のサービスを利用しており、それらの利用で必要となる利用者に関する情報が、お客様のパソコンやスマートフォン等の端末から当該パートナー企業へ外部送信される場合があります。
このような外部送信について、電気通信事業法の外部送信規律に基づき公表しています。パートナー企業へ送信された利用者に関する情報は、以下のような目的のためそれぞれのパートナー企業のプライバシーポリシーに沿って取り扱われます。
(抜粋省略)外部送信先一覧
サービス等を利用される方に関する情報を送信しているパートナー企業のサービスは以下のとおりです。
(抜粋省略)
*引用:Yahoo!JAPAN プライバシーセンター「利用者情報の外部送信に関する公表事項」
【解説】
令和4年改正電気通信事業法により、「電気通信事業を営む者」が、「利用者の利益に及ぼす影響が少なくない電気通信役務」(たとえば、メッセージ媒介サービスや各種情報のオンライン提供など)を行う場合、次の事項を「容易に知り得る状態に置」かなければなりません(改正電気通信事業法27条の12」)。
(1)送信されることとなる利用者に関する情報の内容
(2)送信先となる第三者の名称
(3)利用者に関する情報の利用目的
(参考:「電気通信事業における個人情報等の保護に関するガイドラインの解説」258頁「7-3 通知又は容易に知り得る状態に置くべき事項(第 51 条第 5 項関係)」)。
「容易に知り得る状態に置」けば足りるため、法律上、厳密にはプライバシーポリシー上での「公表」は義務ではありませんが、より負担の少なく現実的な対応として「公表」を推奨いたします。なお、外部送信規律は確認すべき要件が複雑なため、詳細には次の解説記事をご参照ください。
・同社の場合、「Yahoo!JAPAN プライバシーセンター」にて別個独立したページを設た上で、「外部送信先一覧」として送信先となる第三者の名称を公開し、当該第三者ごとに利用目的および送信される情報の内容を明らかにしています。
・また、「外部送信」などの用語について、一般のユーザが十分に理解できるよう丁寧に説明されており、改正法の対応として望ましい水準にあると言えます。
1. プライバシーセンターについて
プライバシー保護に取り組む企業を中心に、自社のプライバシー保護に関する取組やプライバシーポリシーに関する補足説明を行う「プライバシーセンター」をウェブサイトに掲載する動きが加速しています。
ヤフー株式会社も、ホームページにプライバシーセンターを開設し、自社の取組やプライバシーポリシーにおいて字面だけでは分かりにくい事項を、イラストや具体例を用いて補足説明しています。プライバシーセンターは、プライバシーポリシーの前文にリンクが設置されており、1度のクリックによって確認することができます。
2. アドバイザリーボードの設置
また、社内体制のみならず、プライバシーに関する取組を第三者の視点で確認するため、様々な分野の有識者から成るアドバイザリーボードを設置しています。
アドバイザリーボードの開催実績についても、プライバシーセンターから確認することができます。