アプリのプライバシーポリシー作成に際しての注意点とポイント解説
【ご相談内容】
現在開発中のアプリが完成間近となり、ユーザーとの契約関係の整備を行っているところです。この一環として、プライバシーポリシーの作成準備を行っているのですが、当社内では、「すでにプライバシーポリシーを制定している以上、これを準用すれば足りるのではないか。」という意見が出ています。
アプリプライバシーポリシーを別途作成する必要はないのでしょうか。
【回答】
形式的な法律論だけで申し上げると、アプリプライバシーポリシーを必ず作成しなければならないとする法的義務はありません。
しかし、ユーザーの権利意識の向上、プライバシー情報を含むパーソナルデータの取扱いが強い関心事項となっていること、たとえ法律違反ではないとしてもユーザーからの誤解を招くことで厳しい社会的非難を浴びること、等を踏まえると、アプリを通じて取得する利用者情報の取扱いにつき、事業者として公表を行うことはむしろ望ましい対応といえます。
そして、アプリプライバシーポリシーは、一般的に公表されているプライバシーポリシーとは性質を異にするため、別に作成したほうが望ましいと考えられます。
以下では、なぜプライバシーポリシーの作成が必要なのかをまずは解説したうえで、アプリプライバシーポリシーを別途作成する意義と、作成する場合にどのような事項を定めるべきかについて、解説を行います。
【解説】
1.アプリプライバシーポリシー作成の必要性
巷では、プライバシーポリシーを作成する法的義務はなく、作成するにしても決まり事は無いと言われたりします。
まずは、この点について解説します。
(1)個人情報保護法との関係
プライバシーポリシーと関係する法律といえば、個人情報保護法が真っ先に思いつく法律ではないかと思われます。
もっとも、個人情報保護法にプライバシーポリシーを作成することを義務付ける条項は存在しません。しかし、個別に検討すると、次に記載するような、一定事項の公表を義務付け、ユーザー(本人)からの同意取得を義務付けています。
この観点からすると、プライバシーポリシーには、少なくとも公表事項や同意取得事項を反映させた方が良いという意味で、作成義務があると言って良いかもしれません。
【公表事項】
・利用目的(法21条)
・オプトアウト(法27条2項)
・共同利用(法27条5項3号)
・保有個人データに関する事項(法32条1項)
(※具体的には、個人情報取扱い事業者の氏名又は名称、保有個人データの利用目的、開示等の請求等に応じる場合の手続き、苦情の申出先、安全管理措置)
・匿名加工情報に関する事項(法43条、法45条)
【同意取得事項】
・目的外利用における同意(法18条1項)
・要配慮個人情報取得時の同意(法18条2項)
・個人データを第三者提供する場合の同意(法27条1項)
・個人データを外国にある第三者に提供する場合の同意(法28条)
・個人関連情報を個人データとして取得する場合の同意(法31条1項)
(2)プラットフォーマーとの関係
スマートフォン向けアプリを配信する場合、ビジネスを成功させる観点から、プラットフォーム(App Store又はGoogle Playストア)を利用することが必須となります。
ところで、プラットフォーマーは、アプリ配信者に対し、プライバシーポリシーを制定し表示するよう義務付けています。この結果、アプリ配信者は、プライバシーポリシーを作成することが事実上強制されることになります。
ちなみに、App Storeでは次のように定められています(2023年3月時点)。
| App Store Reviewガイドライン5.1.1
(i)プライバシーポリシー:すべてのAppには、App Store Connectのメタデータフィールドと各App内にアクセスしやすい形で、プライバシーポリシーへのリンクを必ず含める必要があります。プライバシーポリシーはわかりやすく明確なものである必要があります。 ・App/サービスが収集するデータの種類(該当する場合)、データの収集方法、データの用途はすべて明確に提示してください。 ・本ガイドラインに準拠して、Appのユーザーデータをサードパーティ(分析ツール、広告ネットワーク、サードパーティ製のSDK、その他ユーザーデータにアクセスできる親会社、子会社、その他の関連組織)と共有する場合は、そのサードパーティがAppのプライバシーポリシーで定める内容や本ガイドラインの要求事項と同一、あるいは同等のレベルでユーザーのデータを保護していることを確認する必要があります。 ・データ保存/削除のポリシーと、ユーザーが同意を無効にする方法やユーザーデータの削除をリクエストする方法を記載する必要があります。 |
(参考)
・App StoreでのAppのプライバシーに関する詳細情報の表示
また、Google Playストアでは次のように定められています(2023年3月時点)。
| Google Play デベロッパー販売 / 配布契約4.8
デベロッパーは、Google Play を通じて対象製品を提供するにあたり、ユーザーのプライバシーおよび法的権利を保護することに同意します。ユーザーからデベロッパーにユーザー名、パスワード、もしくはその他のログイン情報または個人情報が提供される場合、またはデベロッパーの対象製品によってそのような情報へのアクセスまたは使用が行われる場合、デベロッパーは、情報がデベロッパーの対象製品に提供されることをユーザーに認識させ、当該ユーザーについてプライバシーに関する法的に十分な通知および保護を行うことに同意します。また、デベロッパーの対象製品による当該情報の使用については、ユーザーがデベロッパーに対して許可した限定された目的のための使用のみが認められます。デベロッパーの対象製品にユーザーから提供された個人情報または機密情報が保存される場合、この保存は保護された方法で、かつ必要な範囲内でのみ行うことにデベロッパーは同意します。ただし、ユーザーがデベロッパーとの間で別途、デベロッパーの対象製品(他の製品またはアプリケーションを含まない)に直接関係する個人情報または機密情報がデベロッパーまたはデベロッパーの対象製品に保存または使用されることを許可する契約を締結することを選択した場合、デベロッパーによる当該情報の使用には当該契約の規定が適用されます。ユーザーからデベロッパーの対象製品に Google アカウントの情報が提供された場合、デベロッパーの対象製品では、ユーザーがデベロッパーに許可したタイミングで、かつユーザーがデベロッパーに許可した限定された目的にのみ、当該情報を使用してユーザーの Google アカウントにアクセスすることが認められるものとします。 |
(参考)
(3)スマートフォン プライバシー イニシアチブとの関係
ユーザーによるプライバシー権への意識が高まっていることはもちろん、ユーザーの情報がどのような形で収集され、利用されているのかがユーザーにとって強い関心事項となっています。そして、スマートフォンの場合、個人情報保護法に定める個人情報のみならず、行動履歴や位置情報などといったユーザーに関するあらゆる情報が収集され、ユーザーが不安感を抱く事態に至っています。
もっとも、ユーザーに関する情報収集につき、過度な規制をかけてしまうと、経済活動に悪影響を与えてしまい、日本という国自体がIT後進国になりかねません。
このような利害調整を図る観点から、総務省が「スマートフォン プライバシー イニシアチブ」を作成公表し、一定の目安を示しています。
アプリプライバシーポリシーに関する事項として重要な事項は、次の8項目を記載するよう求めている点です。
なお、「スマートフォン プライバシー イニシアチブ」自体は法律ではありませんので、これに従ってプライバシーポリシーを作成しなければならない法的義務が発生するわけではありません。ただ、多くのアプリ配信者は、これに準拠してプライバシーポリシーを作成しているものと考えられることから、必ず参照したい内容となります。
| スマートフォン プライバシー イニシアチブ1.2.1.1
アプリケーション提供者は、個別のアプリケーションや情報収集モジュールについて、以 下の①から⑧までの事項について明示するプライバシーポリシーをあらかじめ作成し、 利用者が容易に参照できる場所に掲示又はリンクを張る。 ①アプリケーション提供者の氏名、名称、連絡先等 ②アプリケーション提供者が取得する利用者情報の項目等 ③アプリケーション提供者による取得方法 ④利用目的の特定・明示 ⑤第三者提供、外国の第三者に対する提供、共同利用及び情報収集モジュールに関する記載事項 ⑥同意取得の方法及び利用者関与の方法 ⑦問合せ窓口 ⑧プライバシーポリシーの変更を行う場合の手続
(執筆者注:ここでいう「利用者情報」とは、利用者の識別に係る情報、利用者の通信サービス上の行動履歴に関する情報、利用者の状態に関する情報など、スマートフォンにおいてスマートフォンの利用者の情報と結びついた形で生成、利用又は蓄積されている情報(電話帳等の第三者に関する情報を含む。)の総称を指し、個人情報保護法に定める「個人情報」よりも相当範囲の広いものとなります。 |
(参考)
2.アプリプライバシーポリシーの定めるべき事項
(1)共通プライバシーポリシーと個別(アプリ)プライバシーポリシー
上記1.(3)で記載した「スマートフォン プライバシー イニシアチブ」では、共通のプライバシーポリシーとアプリサービスごとの個別のプライバシーポリシーの2種類を作成することを推奨しています。
これは、次のような理由があると考えられます。
・複数のアプリを展開している場合、取得する利用者情報や利用目的が異なり、1つのプライバシーポリシーにまとめて記載するのが技術的に難しい場合があること
・一般的なプライバシーポリシーの場合は個人情報保護法を念頭に規定するのに対し、アプリプライバシーポリシーの場合は個人情報保護法より拡大した利用者情報の取得を念頭にする必要性があり、その対象を異にすること
・アプリの新規提供や廃止等に伴うプライバシーポリシーの変更を行う場合、アプリプライバシーポリシーのみ変更すれば足り、対処がしやすいこと
そこで、本記事でも共通のプライバシーポリシーとアプリサービスごとの個別のプライバシーポリシーの2種類を作成することを前提に以下では解説を行います。
なお、共通のプライバシーポリシーの作成に際しての留意点については、次の記事をご参照ください。
プライバシーポリシー作成に際して注意するべき事項につき、弁護士が解説!
(2)具体的な条項例(サンプル)
■タイトル
| ××アプリ向けプライバシーポリシー |
タイトルで法的有効性や法的性質に影響を与えることはありません。
もっとも、タイトルを「プライバシーポリシー」ではなく、「個人情報保護方針」と定めた場合、ユーザーからは個人情報保護法のみを念頭に置いたものとして誤解される恐れがあります。
上記1.(2)で記載したプラットフォーマーからの要求事項に対処すること、上記1.(3)に記載したスマートフォン プライバシー イニシアチブへ対応することを意識した場合、個人情報保護法が定める個人情報よりも広義の情報(利用者情報)を保護することを明確にする意味で、タイトルはこだわった方がよいと考えられます。
■頭書・前文
| ××株式会社(以下「当社」といいます)は、××と称するアプリケーション(以下「本アプリ」といいます)のご利用者様より取得する情報の取扱いについて、次の通りプライバシーポリシーを定めます(以下「本ポリシー」といいます)。 |
ここでは、個人情報保護法に定める「個人情報」のみ対象とするのではなく、「ご利用者様より取得する情報」という表現を用いることで、スマートフォン プライバシー イニシアチブでいう「利用者情報」、世間一般で用いられている用語でいえば「パーソナルデータ」を含むものとして、情報の取扱いを宣言するという体裁をとっています。
■取得情報の項目、利用目的の明示、取得方法
| 当社は、本アプリにおいて、次に定める方法を用いて、次に定める情報を取得し、次に定める目的にて利用します。
(1)ご利用者様が入力することで取得する方法 【情報の項目 / 利用目的】 ・メールアドレス / 本アプリを運営するうえで必要な事項を通知するため ・生年月日 / ご利用者様の本人確認のため ・×× / ××
(2)本アプリを通じて自動的に取得する方法 【情報の項目 / 利用目的】 ・端末識別子 / 閲覧履歴や行動履歴等の分析に基づいた広告配信を実施するため ・本アプリ内での購入情報 / ご利用者様へのアフターサービスを実施するため ・×× / ×× |
ここではスマートフォン プライバシー イニシアチブが求めている事項のうち、
・②アプリケーション提供者が取得する利用者情報の項目等
・③アプリケーション提供者による取得方法
・④利用目的の特定・明示
をまとめて記載しています。
なお、スマートフォン プライバシー イニシアチブでは、取得方法について、利用者による直接入力によるものか、自動取得によるものかを明示するよう求めており、上記サンプルでもその点を区別して記載しています。
また、スマートフォン プライバシー イニシアチブでは、利用目的について、アプリを通じて提供するサービスを実施する目的なのか、マーケティング目的なのか、それら以外の目的なのかを区別するよう求めており、上記サンプルでも一例として記載しています。
■第三者提供、外部送信、情報取集モジュールの有無
| 1.当社は、原則として、ご利用者様より取得した情報を、事前にご本人様の同意を得ることなく第三者に提供することはありません。ただし、××個人情報保護方針に定める事由が生じた場合、第三者に提供することがあります。
2.当社は、××と称する情報収集モジュールを利用する場合があります。なお、詳細は次の通りです。 【情報収集モジュール提供者】×× 【取得項目】×× 【利用目的】×× 【第三者提供の有無】×× 【情報収集モジュールのプライバシーポリシー】×× |
ここではスマートフォン プライバシー イニシアチブが求めている事項のうち、
・⑤第三者提供、外国の第三者に対する提供、共同利用及び情報収集モジュールに関する記載事項
を記載しています。
スマートフォン プライバシー イニシアチブでは、第三者提供に関し、個人情報保護法では必ずしも求められていない第三者に提供される情報の項目、利用目的につき明示するよう求めている点に留意する必要があります。
また、情報収集モジュールをアプリに組み込む場合は、サービス名称、情報収集モジュール提供者の名称、取得される情報の項目、利用目的、第三者提供・共同利用の有無等につき、情報収集モジュールごとに明記することが求められていることも押さえておく必要があります。
なお、共同利用する場合や外国の第三者に提供する場合も、スマートフォン プライバシー イニシアチブでは、固有の記載事項を求めていますので、ご注意ください。
■同意取得、利用者関与の方法
| 1.本ポリシーに対する同意は、本アプリの初回起動時の画面上に表示される同意ボタンへご利用者様がクリックする方法にて取得します。なお、同意取得の対象となる事項は次の通りです。
・××
2.本アプリを通じたご利用者様の情報取得を停止したい場合、本アプリをアンインストールしてください。 |
ここではスマートフォン プライバシー イニシアチブが求めている事項のうち、
・⑥同意取得の方法及び利用者関与の方法
を記載しています。
まず、同意取得の方法については、サンプルでは一例を記載しましたが、アプリの構成に応じて定める必要があります。なお、同意取得の対象となる事項については、上記1.(1)をご参照ください。
次に、利用者関与の方法の趣旨ですが、具体的には情報取得の中止・停止手段を明記することを意味します。サンプルではアプリ自体のアンインストールを例示しましたが、他に方法がある場合はその手段を明記することになります。
■問い合わせ窓口
| ご利用者様の情報の取扱いに関するご意見、ご質問、その他お問い合わせは、次の窓口にお願いします。
【事業者名】 【担当部署】 【電話番号】 【メールアドレス】 |
ここではスマートフォン プライバシー イニシアチブが求めている事項のうち、
・①アプリケーション提供者の氏名、名称、連絡先等
・⑦問合せ窓口
を合わせて記載しています。
共通のプライバシーポリシーと重複する内容になるかもしれませんが、スマートフォン プライバシー イニシアチブが個別のアプリプライバシーポリシーへの記載を求めていることを踏まえ、上記のようなサンプル記載を行っています。
■変更手続き
| 当社は、本ポリシーを随時見直し、必要に応じて変更する場合があります。変更後の本ポリシーは本アプリ上に公開しますので、ご利用者様は必ず最新の本ポリシーの内容をご確認ください。 |
ここではスマートフォン プライバシー イニシアチブが求めている事項のうち、
・⑧プライバシーポリシーの変更を行う場合の手続
を記載しています。
上記サンプルでは本アプリ上への公開としましたが、ユーザー宛に個別にメールで事前連絡する方法など様々なものが考えられますので、その方法に応じて明記すれば足ります。
ところで、アプリプライバシーポリシーは、事業者による単なる宣言という性質に留まらず、アプリ配信者とユーザーとの情報の取扱いに関する契約ルールを定めている場合が多いと考えられます。
そうすると、定型約款(民法第548条の2)に該当する場合が想定されるところ、民法の規定に従い、一定の事由を満たせばユーザーの承諾を得ることなくアプリプライバシーポリシーの内容変更を実施することが可能ではないかと考える方もいるかもしれません(民法第548条の4参照)。
しかし、例えば、個人情報保護法で同意取得を要求している事項については、一種の特別法というべき個人情報保護法が優先適用され、別途同意が必要と考えられます。
■共通のプライバシーポリシーとの関係
| 1.本ポリシーに定めのない事項は、××個人情報保護方針が適用されます。
2.本ポリシーと××個人情報保護方針との間で相違又は矛盾がある場合、本ポリシーが優先して適用されます。 |
スマートフォン プライバシー イニシアチブに従い、共通のプライバシーポリシーとアプリサービスごとの個別のプライバシーポリシーの2種類を作成した場合、その適用関係を明記する必要があります。
ここでは、個別のアプリプライバシーポリシーに明記されていない事項は共通のプライバシーポリシーが適用されること、両プライバシーポリシーで矛盾抵触がある場合は個別のアプリプライバシーポリシーが優先されることを明記することで、適用関係を明らかにしています。
3.当事務所でサポートできること
当事務所では、アプリケーションで展開するサービス利用規約の作成及び支援業務を行うことが多いのですが、利用規約の作成と同時にプライバシーポリシーの作成依頼を受けることも多く、豊富な作成実績を有しているものと自負しています。
特に、「スマートフォン プライバシー イニシアチブ」を意識して、アプリプライバシーポリシーの作成及び支援業務を行っている弁護士は一定数に限られていると思われるところ、当事務所では複数の事例を取り扱っています。
個人情報を含む利用者情報(パーソナルデータ)の取扱いにつき、適切な対処を行いたいと考えている事業者様は、豊富な実績と経験に基づくノウハウ及び知見を有する当事務所を是非ご利用ください。
なお、アプリケーションの利用規約を作成することをご検討されている場合は、次の記事もご参照ください。
アプリリリース時に必要となる利用規約の条項例について、弁護士が解説!
<2023年3月執筆>
※上記記載事項は弁護士湯原伸一の個人的見解をまとめたものです。今後の社会事情の変動や裁判所の判断などにより適宜見解を変更する場合がありますのでご注意下さい。