仕事効率化

忙しいアプリ開発者のための改正個人情報保護法【2022年4月1日施行】

忙しいアプリ開発者のための改正個人情報保護法【2022年4月1日施行】
記事内に商品プロモーションを含む場合があります

最近いろんなWebサービスやアプリからプライバシーポリシー改定のお知らせがたくさん届くな〜と思った方は多いのではないでしょうか。

特に本日2022年4月1日は、大量にメールがきましたね(汗)

それもそのはず。2022年4月1日から施行される改正個人情報保護法はとてもインパクトの大きなものであり、専門家を内部に抱えている大手企業は適切に対応している様子です。

かといって法改正への対応は大手企業だけがすればいいというものではありません。

この記事では多くのアプリ開発者さんに当てはまるであろう内容に絞って、なるべく難しい内容を避け要点だけ解説していきます。

なお僕は法律の専門家ではありませんので、解釈に間違いがある可能性もあります。対応については、自己責任でお願いします。

ほぼすべての法人/個人事業主が対象

前提として、個人情報保護法に対応したプライバシーポリシーを作成することはほぼすべての法人/個人事業主がやらなければいけないことです。

平成29年に施行された前回の改正まで、個人情報保護法の対象は「5001人以上の個人情報を利用する事業者」でしたが、以降は「個人情報を利用するすべての事業者」が対象になっています。

政府広報オンライン
外部サイト
小規模事業者や自治会・同窓会もすべての事業者が対象です。 これだけは知ってお…
個人情報の適切な取扱いについて定めた個人情報保護法。大企業だけでなく、小規模事業者やNPO、町内会・自治会などの団体も含め、個人情報を事業に利用するすべての事業者・団体が守らなければならないルールです。皆さんに知っていただきたい「改正個人情報保護法」のポイントを説明します。

多くの方は「個人情報なんて利用してないよ」と思うかもしれないですが、メールでのお問い合わせを受け付けている開発者さんは多いですよね。

一方的な要望フォームみたいなものではなく、返信できるようにメールアドレスを受け取っている場合、個人情報としてみなされる可能性が高いです。

メールアドレスの中に氏名が入っていたりすると個人情報に該当するという回答が、個人情報保護委員会から出ています。

メールアドレスのユーザー名及びドメイン名から特定の個人を識別することができる場合(例:kojin_ichiro@example.com)、当該メールアドレスは、それ自体が単独で、個人情報に該当します。

これ以外の場合、個別の事例ごとに判断することになりますが、他の情報と容易に照合することにより特定の個人を識別することができる場合、当該情報とあわせて全体として個人情報に該当することがあります。 – 個人情報保護委員会FAQから引用

ユーザーさんがどんなメールアドレスで送ってくるかなんてこちら側からは把握しようがないですから、メールアドレスを受け取るなら個人情報を利用しているという前提でプライバシーポリシーを作成するべきでしょう。

今回の法改正にも対応したプライバシーポリシーの書き方は、マネーフォワードクラウドの記事がとても参考になりました。

契約の基礎知識 | 電子契約「マネーフォワード クラウド契約」 
外部サイト
プライバシーポリシーの正しい作り方を書き方・テンプレートとともに解説 | 契約の…
プライバシーポリシーは、自社が個人情報保護法に準拠し、適切な個人情報の取り扱いをしていることを示すツールとして役立ちます。また、法定義務を履行するためのツールとしても機能します。ここではプライバシーポリシーについて、最新

以前からAppStoreではプライバシポリシーが必須でしたが、GooglePlayでも必須になる話もあるようです(こちら4月1日になっても必須化されていませんでしたが、時間の問題かと思います)

www.gizmodo.jp
外部サイト
Google Play Storeの全アプリ、2022年4月からプライバシーポリシーが必須に
Google Play Storeでは2022年4月からプライバシーポリシーの提供が必須に。準拠していないアプリは申請不可。

2022年の法改正で創設された「個人関連情報」

今回の法改正で、新しく「個人関連情報」という概念が登場しました。

これは、個人情報保護法の中で具体的に定義されている個人情報(氏名や住所など)には該当しないけど、個人に関する情報すべてを指します。

重要なポイントとしては、この中に個人情報保護法において個人情報として保護の対象となるものとならないものがあるということです。

例えば個人が利用するスマートフォンから生成される位置情報、閲覧履歴などもすべて「個人関連情報」となりますが、それだけで個人を特定することは難しいでしょう。

利用方法によっては個人情報と紐付けることが可能なものが保護の対象となります。具体的には

  • デバイスID(端末識別子)
  • iOSのIDFA / AndroidのAAIDなどの広告ID(広告識別子)
  • ブラウザのCookie

などがそれにあたります。

例えばデバイスIDや広告IDについては、自分のアプリで取得して利用するだけなら個人情報ではないと考えることができます。

AdMobなどの広告SDKに注意

しかし、AdMobやUnityAdsなどのパーソナライズド広告を利用している場合、話は変わってきます。

例えばAdMobでは、取得した広告IDを第三者であるGoogleに送信することになります。

そしてGoogleはたくさんの個人情報を含むGoogleアカウントを抱えていますから、広告IDとGoogleアカウントを紐付けて個人を特定することは簡単にできてしまいます。

もちろんGoogleがわざわざそんなことをする必要はないのですが「第三者であるGoogleに広告IDを渡すことによって個人を特定できる」という事実が存在することが重要なポイントになってきます。

保護すべき個人情報として、プライバシーポリシーで広告IDを利用していることを記載しておくべきでしょう。実際にそのように対応している企業が多い様子でした。

利用目的の明確化

多くの企業がプライバシーポリシーを改定することになった理由がこれです。

従来は個人情報の利用目的について「サービス内容向上のため」みたいな曖昧な記述でも問題なかったのですが、もっと具体的に書きなさい。という改正が行われました。

例えば先述したようにメールアドレスを受け取っている場合「お問い合わせへの返信を行うため」と記載すべきですし

AdMobやUnityAdsなどのパーソナライズド広告を利用している場合は、広告IDの利用目的として「お客様の興味・関心にあわせて広告を表示するため」と記載しなければいけません。

プライバシーポリシー内で個人情報の利用目的が曖昧になっている場合は、より具体的な内容に書き換えましょう。

事業者の名称・住所の記載

個人でアプリ開発をされている人にとって、最もエグいのがコレかもしれません。

プライバシーポリシーには、事業者情報も記載しましょう。
個人情報保護法の改正により、公表すべき事項が増えたので、この点にも留意しましょう。
個人情報取扱事業者が個人の場合は氏名と住所、法人の場合は会社名と住所、代表者の氏名を記載します。 – マネーフォワードクラウド プライバシーポリシーの正しい作り方を書き方・テンプレートとともに解説から引用

個人の場合は氏名と住所。いやいや住所は困りますよ。という感じですよね。

といってもちゃんと配慮されてるのでご安心下さい。

以前から『特定商取引法に基づく表示』に対するアプローチとしてよく使われてきた方法なのですが

記載のない項目について、正当な理由に基づきお問い合わせ頂ければ遅滞なく回答いたします

のようにプライバシーポリシー内に書いておけば、載せなくても大丈夫です。氏名についてもニックネーム等でOKです。

法人の場合は会社概要へのリンクを貼る形でも大丈夫です。変更があった時にすべてのアプリ・Webサイトで修正するのは大変ですしね。

Cookieの同意ボタンは必要?

Webサイトやブログを作成している方が対象の話です。

『GoogleAdSense』や『GoogleAnalytics』を利用しているとCookieも利用することになり、今回の法改正でCookieの利用についてプライバシーポリシーに記載することが必須になりました。

ただこれは以前からGoogleのポリシーとして記載が必要とされてきたことなので、プライバシーポリシーに記載済みの方が多いはずです。

では最近よく見るWebサイトを訪問した時に表示される「このサイトではCookieを利用します」と同意ボタンの表示。これもしかして、今回の法改正で必要なの?という話。

これは僕にとっても非常に気になったポイントで、詳しく調べたのですが結論から言うと必要なかったです。

改正法では、先述したAdMobの例のようにGoogleが別のアプリから提供を受けた個人関連情報を個人情報と紐付ける目的で使用する場合はGoogle側が利用者に同意を取る必要がある。というように定義されています(重ねて書きますが、Googleさんはそういう目的でCookieを収集しているわけではありません。あくまで例です)。

22年4月 改正個人情報保護法の施行に向けて Cookieを活用する企業が知っておくべき3つのポイント
外部サイト
22年4月 改正個人情報保護法の施行に向けて Cookieを活用する企業が知っておくべき…
2022年4月の改正個人情報保護法について、マーケティング施策にCookieを活用する上で知っておきたい3つのポイントをご紹介します。(Cookieは同意が必要か、個人関連情報(Cookie等)と個人情報を紐づける場合、個人関連情報を第三者提供する場合)

Webサイト・ブログなどを作成しているこちら側では、特に同意を得る必要はありません。従来どおり、プライバシーポリシーに記載していればOKです。

なぜこのブログでは表示してるの?

「この記事を表示した時にそれ出てた気がするぞ…?」と思いました?

一応解説しておきますね。

日本の法律では必要ないですが、EUの法律であるGDPRへの対応となります。GDPRにおいては、Cookie単体で個人情報として扱われます。

日本でサービスを提供していても、EU圏のユーザがアクセスすることによってGDPRが適用されると判断されてしまう可能性があります。

PrivLab
外部サイト
Cookie利用同意取得、日本企業はわずか5%。企業が急ぐべき対策と改正個人情報保護…
個人情報保護法改正により、国内でもCookie利用への同意取得対策が必要になってきます。しかし海外と比べると大きく遅れをとっているのが現状です。この記事では、国内企業によるCookie利用同意取得に関する現状と、企業が取るべき対策についてご紹介します。

世界的にはCookieの利用同意を取る企業が増えている状況であり、今後の法改正で日本でもCookieが個人情報として扱われる可能性は考えられます。

技術ブログを書いていると、日本語でも海外からのアクセスが一定数あるため良い機会と思い対応しておきました。

読者にとって邪魔なものではあるので申し訳ないとは思いつつ、WordPressのプラグインを導入することで一定数画面をスクロールしたら自動で消え、指定した期間(6ヶ月や1年など)は表示しないようにできたので意外と入れておいても悪くないなと思いました。

WordPressでの対応方法はこちらが参考になります。

Libreco
外部サイト
WordPressサイトでGDPR対応!プラグインでCookie同意ボタンを簡単作成♪
WordPressサイトのGDPR対応!Cookieの同意ボタンを設定するのに便利なプラグイン『Cookie Notice for GDPR & CCPA』の使い方を解説しています。

WordPressを使用していないWebサイトの場合、こちらが参考になりました。

IB-Note
外部サイト
【コピペで実装】Cookie使用同意のポップアップ3選 | IB-Note
サイトを訪れたときに時々表示されるCookie使用同意のポップアップ。よくあるタイプのものを独自に作成してみました。

そもそも厳密に対応する必要があるのか?

まあ、厳密に対応しなくてもいいと思います。ユーザ側もそこまで気にしていない人が多いですし。

ただ、各アプリがiOS14でIDFAの許可ダイアログの対応をした時なんかもそうですが「企業から監視されてる!!」みたいな陰謀論が出てきたりとか、技術的なことをユーザが正しく把握しているわけではないですから、プライバシーポリシーを適切に保っておいて損することはないかなと思います。

法律に沿って網羅的なプライバシーポリシーを書くことで自衛することができますが、長々として読みにくいものになってしまいます。

必要最小限の情報にとどめて読みやすいプライバシーポリシーにするという考え方も僕は好きです。ブログに関しては、そんな感じでプライバシーポリシーを作成しています。

実際のところ専門家が発信している情報でも解釈が違ったりしますし、対応が正しかったかどうかは訴訟が起きない限り答えも分かりません。

できることから、対応していけば良いのかなと思います。

まとめ

今回の内容は以上となります。これも重要じゃない?というトピックがありましたら、ぜひ教えて頂けると幸いです。

  • 個人情報保護法は、ほぼ全ての法人/個人事業主が対象
  • AdMobやUnityAdsなどのインタレスト広告を利用している場合は要注意
  • 個人情報の利用目的は具体的に書く必要がある
  • 氏名・住所公開への対策は、お問い合わせで回答する旨を書けばOK
  • 海外からの利用が想定される場合、GDPR対応も検討を
関連記事