update:2016.09.27
個人情報保護の見える化
●万全ですでは、信用できない
OECDが1980年に定めた個人情報保護の原則の中に公開の原則というものがある。
個人情報保護を行う上で、「具体的にどのような方法で保護をしているかどうか」を本人に知らせることは、重要だ。
ひとことで個人情報保護をしているといっても、方法はピンからキリまである。 この文章をお読みいただいている皆さんも几帳面な方や大雑把な方といろいろキャラクターがあると思う。企業もその取り組みについては、まちまちなのが実情だ。
以前にプライバシーポリシーのセキュリティという見出しに、「私たちはSSLを利用していますから個人情報保護は万全です。」と書かれていた通販のサイトを見かけたことがある。
確かに、SSLは必要だが、その他の記述がなく、「・・万全です。」と言い切られると、本当に大丈夫なのだろうか?と不安を覚えてしまう。
個人情報保護のレベルにばらつきが発生するのは、企業の資本力や取り組む姿勢によって発生するのは仕方が無いので、ユーザーが読んだ上で、自分が望んでいる保護ができるところかどうか判断するのが合理的だ。
● プライバシーポリシーの掲出は、ほぼ法律の義務と考えよう
個人情報保護法の24条の義務として公表することが定められているので、プライバシーポリシーすら無くし個人情報の収集しているWEBサイトは、法律の義務違反の可能性が非常に高い。それで、個人情報を扱う全てのWEBサイトにプライバシーポリシーという文書がどのサイトにも掲出されている。
個人情報保護について、権利者である個人に知ってもらうことは非常に重要だ。
●法律対応だから、いやいや作っているサイトは一目で分かる。
いろいろなサイトのプライバシーポリシーだけど、読んでみると個人の方に伝える気持ちが本当にあるのかどうかを疑ってしまうようなものがある。
例えば、「当社は、個人情報を収集するときは、利用目的を明確にします。」と書いているプライバシーポリシーがあって、個人情報の入力フォームから、そのプライバシーポリシーにリンクをしているだけのサイトだ。
プライバシーポリシーのリンクでは「利用目的を明確にします。」と書いてあるけれど、実際にあるのは、会員登録とかかれた入力フォームがあって、氏名、住所、メールアドレス等に必須項目かどうかが書かれているだけ。利用規約にリンクが用意されていて、利用規約に書かれていることが利用目的のようだ。
では、利用規約に利用目的が明確に書かれているかというと、中の見出しに 「個人情報保護について」という項目があって、「プライバシーポリシーに則り、個人情報保護を実践します。」というようなことが書かれていたりする。
利用目的読もうとすると、文書がループしてしまうようなケースだ。プライバシーポリシーでは、利用目的を明確にすると言っていたが明確にしたものを伝える気は無いようだ。
●他社のプライバシーポリシーをコピーは危険、コピー元が間違っている
同業他社や信頼のおけそうな企業のプライバシーポリシーを拝借して、利用すると具体的なことが当てはまらないので、あいまいな記述になる。
そして、起こるもっと怖いのは、間違いも真似てしまう現象だ。
駐車場に「月極」という文字が使われているのを見かけるが、これは、「月決め」とするところを誰かが間違えて「月に極める」から月極 と利用してしまい。それを真似る人が連鎖して、とうとう、月極となった。という話を聞いたことがあるがこのように間違えも真似ると広がる。
良くある間違いが、委託先を第三者提供の除外として記載するものだ。
第三者提供の除外項目として委託先について記載をしているが、第三者提供は個人情報保護法23条できめられているので、勝手に除外項目をつくることはできない。
委託先は、利用目的を処理するにあたあたり業務を委託しているので、業務処理をしている企業と当事者の監督責任となる。
第三者提供の第三者は利用目的を達成させるのが第三者であるから、そもそも業務を委託している委託先は第三者ではない。使用者からみると委託先も自社の従業員も業務を処理する意味で同列だ。
第三者という言葉から、自社以外というイメージで物事を捉えてしまう初歩的な間違いだ。ただ、個人情報保護の基本が理解できていないから、そういう企業が業務委託や共同利用をはじめると、とても危険なことをしそうな気がする。
<PR:この点についてもっと知りたい場合には、認定CPAの研修を当社で受講いただくと、まる分かりだ。>
●個人が企業姿勢を把握することで、自衛にもなる。
個人にとっても個人情報保護の見える化によって、分かっていないということが見えることでその企業に預けられる個人情報を制限するといった、自衛ができる。
個人情報保護法は、民間企業だけでなく、行政機関も地方自治体も独立行政法人も同様の義務を持っているが、消費者はその内容を正しく理解する機会が無い。
個人情報保護法は、個人情報を取り扱う者が適切に取り扱うための一定の義務を定めたもので、情報を提供する一般個人については、その内容が伝わっていない。
●個人消費者は、個人情報保護法の内容の理解の場が無い
プライバシーマーク制度もその規範となっているJISQ15001:2006の文書は、有料(2000円)となっているので、企業の担当者ではなく、一般の個人が購入して見ることはまず無いだろう。
そこで、個人情報の取扱について、本人にわかってもらうための取り組みとして「プライバシーステートメント」がある。政党のマニュフェストのようなもので、個人情報を受け取る前にどのような取扱にするかをユーザー目線で記載している。
●企業が身を守るには、情報開示が必要
TRUSTeというプライバシー認証の特徴は、個人情報保護の内容を本人に読んでもらい、その内容を自分で評価してもらうということだ。 よくできているプライバシーステートメントは「トリセツ(取扱説明書)」のようであり、出来の悪いステートメントは「利用規約」のように意味が伝わりにくい。
プライバシーステートメントで個人情報保護について具体的に説明を行おうとすると他社の文書の複製は利用できない。そして、わかりやすい文章にしようとするとユーザーの目線で個人情報保護ができていない箇所が明らかになるので、リスク分析と対策が必要となる。そして、プライバシーステートメントに記載していることは、約束となる。
個人情報保護について、見える化を進める際にユーザーの目線にたったプライバシーステートメントを作成することが効果的だ。個人情報の収集内容から利用目的、その他についても個人情報保護についての全てを公開している。バリューコマースは、定期的に世の中の環境変化と自社の業務環境に照らして、プライバシーステートメントの改定を行っている。常に最新の内容とし、また関係者に注意も呼びかけている。
●企業価値を維持するための活動として
そして、同社は、その他の利害関係者のために個人情報保護体制についての文書を公開している。プライバシーステートメントは、個人情報を預ける人を対象としたもので、それ以外の関係者に対する個人情報保護の見える化が必要だ。
個人情報保護を行う上で、「具体的にどのような方法で保護をしているかどうか」を本人に知らせることは、重要だ。
ひとことで個人情報保護をしているといっても、方法はピンからキリまである。 この文章をお読みいただいている皆さんも几帳面な方や大雑把な方といろいろキャラクターがあると思う。企業もその取り組みについては、まちまちなのが実情だ。
以前にプライバシーポリシーのセキュリティという見出しに、「私たちはSSLを利用していますから個人情報保護は万全です。」と書かれていた通販のサイトを見かけたことがある。
確かに、SSLは必要だが、その他の記述がなく、「・・万全です。」と言い切られると、本当に大丈夫なのだろうか?と不安を覚えてしまう。
個人情報保護のレベルにばらつきが発生するのは、企業の資本力や取り組む姿勢によって発生するのは仕方が無いので、ユーザーが読んだ上で、自分が望んでいる保護ができるところかどうか判断するのが合理的だ。
● プライバシーポリシーの掲出は、ほぼ法律の義務と考えよう
個人情報保護法の24条の義務として公表することが定められているので、プライバシーポリシーすら無くし個人情報の収集しているWEBサイトは、法律の義務違反の可能性が非常に高い。それで、個人情報を扱う全てのWEBサイトにプライバシーポリシーという文書がどのサイトにも掲出されている。
個人情報保護について、権利者である個人に知ってもらうことは非常に重要だ。
●法律対応だから、いやいや作っているサイトは一目で分かる。
いろいろなサイトのプライバシーポリシーだけど、読んでみると個人の方に伝える気持ちが本当にあるのかどうかを疑ってしまうようなものがある。
例えば、「当社は、個人情報を収集するときは、利用目的を明確にします。」と書いているプライバシーポリシーがあって、個人情報の入力フォームから、そのプライバシーポリシーにリンクをしているだけのサイトだ。
プライバシーポリシーのリンクでは「利用目的を明確にします。」と書いてあるけれど、実際にあるのは、会員登録とかかれた入力フォームがあって、氏名、住所、メールアドレス等に必須項目かどうかが書かれているだけ。利用規約にリンクが用意されていて、利用規約に書かれていることが利用目的のようだ。
では、利用規約に利用目的が明確に書かれているかというと、中の見出しに 「個人情報保護について」という項目があって、「プライバシーポリシーに則り、個人情報保護を実践します。」というようなことが書かれていたりする。
利用目的読もうとすると、文書がループしてしまうようなケースだ。プライバシーポリシーでは、利用目的を明確にすると言っていたが明確にしたものを伝える気は無いようだ。
●他社のプライバシーポリシーをコピーは危険、コピー元が間違っている
同業他社や信頼のおけそうな企業のプライバシーポリシーを拝借して、利用すると具体的なことが当てはまらないので、あいまいな記述になる。
そして、起こるもっと怖いのは、間違いも真似てしまう現象だ。
駐車場に「月極」という文字が使われているのを見かけるが、これは、「月決め」とするところを誰かが間違えて「月に極める」から月極 と利用してしまい。それを真似る人が連鎖して、とうとう、月極となった。という話を聞いたことがあるがこのように間違えも真似ると広がる。
良くある間違いが、委託先を第三者提供の除外として記載するものだ。
第三者提供の除外項目として委託先について記載をしているが、第三者提供は個人情報保護法23条できめられているので、勝手に除外項目をつくることはできない。
委託先は、利用目的を処理するにあたあたり業務を委託しているので、業務処理をしている企業と当事者の監督責任となる。
第三者提供の第三者は利用目的を達成させるのが第三者であるから、そもそも業務を委託している委託先は第三者ではない。使用者からみると委託先も自社の従業員も業務を処理する意味で同列だ。
第三者という言葉から、自社以外というイメージで物事を捉えてしまう初歩的な間違いだ。ただ、個人情報保護の基本が理解できていないから、そういう企業が業務委託や共同利用をはじめると、とても危険なことをしそうな気がする。
<PR:この点についてもっと知りたい場合には、認定CPAの研修を当社で受講いただくと、まる分かりだ。>
●個人が企業姿勢を把握することで、自衛にもなる。
個人にとっても個人情報保護の見える化によって、分かっていないということが見えることでその企業に預けられる個人情報を制限するといった、自衛ができる。
個人情報保護法は、民間企業だけでなく、行政機関も地方自治体も独立行政法人も同様の義務を持っているが、消費者はその内容を正しく理解する機会が無い。
個人情報保護法は、個人情報を取り扱う者が適切に取り扱うための一定の義務を定めたもので、情報を提供する一般個人については、その内容が伝わっていない。
●個人消費者は、個人情報保護法の内容の理解の場が無い
プライバシーマーク制度もその規範となっているJISQ15001:2006の文書は、有料(2000円)となっているので、企業の担当者ではなく、一般の個人が購入して見ることはまず無いだろう。
そこで、個人情報の取扱について、本人にわかってもらうための取り組みとして「プライバシーステートメント」がある。政党のマニュフェストのようなもので、個人情報を受け取る前にどのような取扱にするかをユーザー目線で記載している。
●企業が身を守るには、情報開示が必要
TRUSTeというプライバシー認証の特徴は、個人情報保護の内容を本人に読んでもらい、その内容を自分で評価してもらうということだ。 よくできているプライバシーステートメントは「トリセツ(取扱説明書)」のようであり、出来の悪いステートメントは「利用規約」のように意味が伝わりにくい。
プライバシーステートメントで個人情報保護について具体的に説明を行おうとすると他社の文書の複製は利用できない。そして、わかりやすい文章にしようとするとユーザーの目線で個人情報保護ができていない箇所が明らかになるので、リスク分析と対策が必要となる。そして、プライバシーステートメントに記載していることは、約束となる。
個人情報保護について、見える化を進める際にユーザーの目線にたったプライバシーステートメントを作成することが効果的だ。個人情報の収集内容から利用目的、その他についても個人情報保護についての全てを公開している。バリューコマースは、定期的に世の中の環境変化と自社の業務環境に照らして、プライバシーステートメントの改定を行っている。常に最新の内容とし、また関係者に注意も呼びかけている。
●企業価値を維持するための活動として
そして、同社は、その他の利害関係者のために個人情報保護体制についての文書を公開している。プライバシーステートメントは、個人情報を預ける人を対象としたもので、それ以外の関係者に対する個人情報保護の見える化が必要だ。
コンプライアンスには、企業の説明責任が求められる。個人情報保護においても、権利者である個人やステークフォルダーに取り組みを見せて評価を求める方法は、合理的な解決策と思われる。
●プライバシー保護の懸念を持たれている企業の対応策
プライバシー保護の大事さから見える化をすすめた例
http://www.google.co.jp/help/maps/streetview/privacy.html
ユーザーに理解してもらうために、クレイアニメーションを作ってしまうという芸当は、通常の企業には真似できないが、これだけのクオリティのものを作り出すには、内容の検討もあわせてかなりの時間とコストがかけられているはずだ。言葉で説明するよりも伝わること、個人情報保護について利用規約のような形式にする必要はなく、相手に伝わることこそが大事なのだ。 これは、個人情報保護の対応においてコロンブスの卵のような解決策だと私は考えている。
個人情報保護の見える化に取り組むと意外と、これまでもやもやしていたものが晴れる。ユーザーに説明ですることをイメージして収集している情報を明らかにして利用目的を整理することは、まじめに取り組むと大変だけれど、それを行うことで業務のリスクや無駄やいけないところが見えてくる。
プライバシーポリシーを見直されてはいかがだろうか。
また、これを機にプライバシーステートメント作成やTRUSTe取得を検討される方はご一報ください。
不動産techとプライバシー不動産業界にもデータ活用のtechの流れがある。「不動産業界…
