プライバシーポリシーとは、Webサイトで収集される個人情報の利用目的や管理方法等の取扱い方針を定めた文書のことを言います。普段目にするプライバシーポリシーは日本語で記載されているものが多いと思いますが、海外向けビジネスを行っている企業のWebサイトでは、英文プライバシーポリシーの記載が必要となる場合もあります。今回は、英文プライバシーポリシーの作り方についてQ&A方式で詳しく解説します。
ページコンテンツ
【質問1】英文プライバシーポリシーって必要ですか。
【回答1】
GDPRやCCPA*、CalOPPA**等の海外のデータ保護法の適用がある場合は、これらの法令により、一定の事項を通知・公表する法的義務が課されます。この通知・公表は、プライバシーポリシーへの記載によって行うことが一般的であり、また、通知・公表は本人にとって理解できる言語で行う必要があると考えられますので、海外の方向けに必要事項の通知・公表を行うツールとして、英文プライバシーポリシーが必要となる場合が多いと考えられます。
これらの海外のデータ保護法の適用が無い場合も、適切な英文プライバシーポリシーがあれば、個人情報を慎重に取り扱うための手順が整備されている企業だと示すことができ、海外顧客から信頼を得る一助となるでしょう。
海外では、企業は英文のプライバシーポリシーを掲載し、個人情報の適切な取扱体制があることを示すことで、顧客を安心させるということが行われることがあります。日本企業が英語のホームページにて「安心安全」、「最高品質」、「顧客との信頼第一」とPRする一方で、顧客を安心させる「英文プライバシーポリシー」すら準備出来ていない状況は、ちぐはぐな印象を与えかねないでしょう。
なお、ホームページの運営に伴って個人情報を取り扱う場合以外に、会員向けウェブサービスやアプリの提供に伴って個人情報を取り扱うような場合にも、プライバシーポリシーは必要です。
*CCPA カリフォルニア州消費者プライバシー法(California Consumer Privacy Act)」
**CalOPPAカリフォルニアオンラインプライバシー保護法(California Online Privacy Protection Act)
【質問2】日本語サイトにプライバシーポリシーがあります。これを英訳すれば良いですか。
【回答2】
日本語のプライバシーポリシーは、日本の個人情報保護法という法律の要請に基づき作成・公表されています。日本の個人情報保護法に基づき作成・公表されたプライバシーポリシーを英訳したとしても、日本の個人情報保護法しか遵守したことにはなりません。
これに対して、日本企業に海外のデータ保護法が適用される場合は、適用される海外のデータ保護法に従った対応が求められます。この場合、海外向けの英語のプライバシーポリシーは、例えばEUや米国の法律の要請に基づき作成・公表されることが求められます。
各国それぞれの法律によって、本人に通知・公表すべきとされる事項は異なります。そのため、日本企業に海外のデータ保護法が適用される場合、日本語のプライバシーポリシーを英訳するだけでは、GDPRやCCPAとの関係では内容が不十分で法的リスクは回避できないため、該当する国の法律に基づいたプライバシーポリシーを、新規で準備することをおすすめします。
【質問3】EU向け、米国向け、など各国対応が必要なのですか。
【回答3】
日本企業に対しては、原則として日本の個人情報保護法が適用され、一定の要件を満たした場合に、GDPR・CCPAといった海外のデータ保護法が日本の個人情報保護法とともに適用されることになります。
従って、この場合、日本の個人情報保護法に対応したプライバシーポリシーの日・英のバージョンを「通則」として掲載し、当該「通則」に加えて、英国やEUのお客様がいるのであれば、当該お客様向けにGDPRに対応したプライバシーポリシーの日・英のバージョン、米国カリフォルニア州のお客様がいらっしゃるのであれば、当該お客様向けにCCPAに対応したプライバシーポリシーの日・英のバージョンを、それぞれ「特則」として掲載することがよくみられる取扱いです。
もっとも、上記の対応方法では、合計6つのプライバシーポリシーをウェブサイトに掲載することになり、プライバシーポリシーを管理する労力・コストが相応のものとなるため、日本の中小企業にとっては負担が重く、対応しにくいと考えられます。
そのため、日本の中小企業の場合には、最小限の対応方法として、①日本の個人情報保護法に対応した日本語のプライバシーポリシー、②GDPR及び/又はCCPAに対応した特則としての英語のプライバシーポリシーの3つ又は2つをウェブサイトに掲げるという方法があり得ると考えられます。
【質問4】プライバシーポリシーを自動生成できるサイト、アプリ、プラグインがあるようです。
【回答4】
近年、個人情報保護の関心の高まりから、会社名の入力といくつかの質問に回答すればその場で自動生成できる『プライバシーポリシージェネレーター』と呼ばれるツール等の利用も増えているようです。実際のビジネスの状況を見て必要十分な内容と判断できれば、それらを活用することも一理あるでしょう。
但し、プライバシーポリシーの内容をよく把握せずにコピー&ペーストで自社サイトに掲載することには様々なリスクがあることも忘れてはいけません。
顧客から「私の個人情報をいつまでどんな形で保管するのか?」と質問を受けた場合、即答できるでしょうか。別の顧客から「個人情報を削除して欲しい」と言われた場合、どの情報をどこまで削除すれば十分なのか社内に分かる人はいるでしょうか。メールの誤送信や商品の誤発送の際に、あるいは個人情報が漏洩した際に、英文プライバシーポリシーの声明に則った正しい対応や適切な謝罪は即時実行出来るでしょうか。
英文のプライバシーポリシーを掲載している、ということは当然、海外顧客は上記についての正確な対応を期待します。少なくとも海外展開を進める企業の経営者の方は、英文プライバシーポリシーの内容、構成をよく理解し、自社のビジネスに合った内容であることも確認し、もしもの時に備え誰が何をすべきかを社内の共有理解に落とし込んでおかねばならないでしょう。
なお、下記の個人データを取り扱う事業を海外で展開している場合は、不適切な取扱いがあった場合の法的なリスクが特に高くなりますので、専門家(弁護士、システムインテグレーター等)に別途相談することをおすすめします。
・未成年者の個人データ。
・機微性の高い(センシティブな)個人データ/特別なカテゴリの個人データ。
【質問5】例えばEU向けのプライバシーポリシーに含めなければならない必須項目は何ですか。
【回答5】
下記などがあります。
・個人データ処理の法的根拠と処理される個人データの種類
・個人データの取得源
・個人データの保存期間
・個人データの共有・開示
・お客さまの権利(GDPR13条~18条、20条~22条)
・方針の変更
・連絡先
【質問6】クッキーポリシーとは何ですか。プライバシーポリシーと違うものですか。
【回答6】
まず、クッキーとは何かについて説明します。
Cookie(クッキー)とは、Webサーバーがクライアントコンピュータに預けておく小さなファイルのことです。
分かり易く説明するために、例えばここに『キコウ市場』というショッピングサイトがあるとします。『あなた』はそのサイトの来訪者です。(Webサーバーを『キコウ市場』、クライアントコンピュータを『あなたのPC』として説明します。)『あなたのPC』が、『キコウ市場』に初めてアクセスした際に、『キコウ市場』が『あなたのPC』の中に、『キコウ市場』専用のCookieファイルを作成します。
そして次回、『あなたのPC』が『キコウ市場』に接続したときには、『あなたのPC』のブラウザ(インターネットエクスプローラーやグーグルクローム、マイクロソフトエッジ等)がそのCookieを『キコウ市場』に送信します。このような仕組みによって、『キコウ市場』は、『あなたのPC』が前回使用していた情報を読み取ることができるようになります。
Cookieには、『キコウ市場(のサーバー)』によってどのような情報でも格納できますが、多くの場合は、ユーザー名などの接続情報、ショッピングサイトなどで購入する商品を一時的に保管する“買い物かご”の情報、氏名や住所、電話番号などの一度登録した会員情報といった管理に利用されています。
このCookieの取扱いについての声明がクッキーポリシーで、
・Cookieの取得目的
・Cookieの種類
・Cookieの保存期間
・Cookieの機能(役割)
・個人情報収集の有無
・個人特定の有無
・Cookieの第三者利用
・Cookieの管理と削除方法
などについて説明されているものです。
クッキーポリシーとプライバシーポリシーは個人情報保護という観点は同じですが、それぞれ異なるポリシーですので、別立てとしてサイト内に掲載する場合もあれば、クッキーポリシーをプライバシーポリシーに含めて掲載する場合もあり、掲載方法については実態に合わせて各事業者が選択します。
なお、日本の個人情報保護法においてCookie単体では個人情報に当たらない、とされていますが、EUのGDPR、米国のCCPAにおいてはCookie単体でも個人情報に当たり得ると認識されています。
以上のように、海外市場では、個人情報の取扱い、プライバシーポリシーやクッキーポリシーに対する考え方、意識がより厳格となっており注意が必要です。日本のやりかたのままで進めていける海外市場は実はどこにもありません。日本の事業展開の延長線上に海外市場はなく、海外市場そのものに対応しようとする新しい努力が必要です。
参考
SEQ Legal :
https://seqlegal.com/free-legal-documents/privacy-policy
国民のための情報セキュリティサイト:
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security_previous/kiso/k01_cookie.htm
実務担当者のための欧州データコンプライアンス 岡田 淳・田中 浩之・杉本 武重 編著
森・濱田松本法律事務所・Bird & Bird LLPデータプロテクションチーム 著
おわりに
越境ECや海外向けホームページに必要な英文のプライバシーポリシーやクッキーポリシーについてお困りではありませんか?中小機構では『英文プライバシーポリシー、英文クッキーポリシー』についてのご相談を受付けています。具体的な対策が重要だと思うが、どこから手を付ければ良いか判らないなど、お悩みの場合には、お気軽に中小機構の海外展開ハンズオン支援をご利用ください。
中小機構 中小企業アドバイザー(新市場開拓)伊藤 亮介
中小機構 中小企業アドバイザー(国際化・販路開拓) 小川 陽子
中小機構について
中小機構の「海外展開ハンズオン支援」では、国内外あわせて300名以上のアドバイザー体制で、海外ビジネスに関するご相談を受け付けております。
ご相談内容に応じて、海外現地在住のアドバイザーからの最新の情報提供やアドバイスも行っております。ご利用は「何度」でも「無料」です。どうぞお気軽にお申し込みください。
「海外展開ハンズオン支援」
※ご利用は中小企業・小規模事業者に限らせていただきます。