日本の個人情報保護法(APPI / 個人情報保護法)は、同意・開示・データ取扱いについて、GDPRとは異なる固有の要件を持ちます——そして2022年の改正により、その要件は日本にユーザーを持つ外国企業にまで及ぶことになりました。GDPRポリシーを翻訳しただけでは、APPI対応にはなりません。本記事では、その差を生むローカライズ上の判断を解説します。
日本進出を準備する海外SaaSチームが最も犯しがちな誤りは、APPIをGDPRの軽量版——概念は同じで言語だけ違う——として扱うことです。そうではありません。APPIとGDPRは共通の関心(個人の個人情報の保護)を持ちますが、それを異なる法的枠組みで表現し、異なる同意モデルを用い、境界的なケースでは個人情報を異なって定義し、異なる開示義務を課します。SaaSのUIとプロダクトの文言に最も直接的に効いてくる5つの違いは、次のとおりです。
| 観点 | GDPR | APPI(日本) |
|---|---|---|
| 取扱いの法的根拠 | 複数の適法根拠(同意・正当な利益・契約・法的義務・重大な利益・公共の任務) | 同意または利用目的の通知;適法根拠の枠組みはより明示的でなく、目的の特定が中心的な仕組みとなる |
| Cookie同意の要件 | 非必須Cookieについて事前の明示同意が必要(eプライバシー指令+GDPR第7条) | Cookieそのものに対する同等の事前明示同意の義務はない;Cookieデータが識別された個人と紐づく場合に個人情報のルールが適用される |
| データ管理主体の特定 | 「管理者(Controller)」として名称・連絡先、該当する場合はDPOを明示 | 個人情報取扱事業者——事業者名・住所・代表者名の開示が必須 |
| 第三者へのデータ共有 | 処理者に対する処理者契約;受領者の区分の開示 | 第三者提供:区分に応じて事前同意またはオプトアウト;委託(処理)と共同利用は別個の名前付き例外 |
| データ主体の権利 | アクセス・訂正・消去・ポータビリティ・制限・異議——広範で、個人が行使できる | 開示等の請求——開示・訂正・削除・利用停止;より手続き的に形式的で、開示請求に対し手数料を課すことができる |
プロダクトチームにとっての実務上の帰結はこうです。プライバシーポリシーの構造、同意UIの発火地点、データ主体の権利のフロー、第三者共有の開示——これらはすべて、単に翻訳するのではなく、APPI向けに再設計する必要があります。GDPR向けに作られたプライバシーUIを持つプロダクトは、日本のユーザーへ展開したとき、この5つの領域それぞれに不備を抱えることになります。
日本のAPPIは2022年に大きく改正されました(2022年4月施行)。海外SaaS企業にとって最も関係が深い変更は、域外適用の規定です。改正法のもとでは、日本国内にいる個人の個人情報を、日本国内の人への商品・サービスの提供に関連して取り扱う外国事業者にも、APPIが適用されます。これにより、日本にユーザーを持つ海外SaaSプロダクトは、本社の所在地やサーバーの設置場所にかかわらず、APPIの適用範囲へ直接組み込まれます。
2022年の改正は、プロダクトのUIとプライバシーポリシーの内容に影響する複数の規定も強化しました。オプトアウト権が拡張され——日本国内の個人は、オプトアウトの手続きを通じて、自分のデータを第三者に提供されることを拒否できるようになり、そのオプトアウトの仕組みはプライバシーポリシーで開示しなければなりません。要配慮個人情報(人種・信条・社会的身分・病歴・犯罪歴その他一定の区分に関する情報)は、収集と利用に明示的な事前同意が必要となり、オプトアウトという選択肢はありません。さらに改正は、外国の第三者への個人情報の提供に関する新しいルールを導入し、提供先の国の開示と、同等の保護が整っているかの確認を求めることになりました。
日本のユーザーからデータを収集し、日本国外のサーバーで処理する海外SaaS企業にとって、この最後の点は直接的に重要です。プライバシーポリシーは今や、データが外国へ移転されていること、その国の名称、そしてその国のデータ保護制度に関する情報——あるいは移転の根拠(ユーザーの同意など)——を開示しなければなりません。これは、GDPR中心のプライバシーポリシーが日本向けに明示的に扱うことのほとんどない、開示上の不備です。
APPIに準拠した日本語プライバシーポリシー(プライバシーポリシーまたは個人情報保護方針)には、必須の開示セクションが決まった形で存在します。これらは文書を整理するための任意の見出しではありません——APPIのもとでの法的な開示義務そのものであり、欠落や誤ったラベル付けはコンプライアンス上の不備を生みます。次のセクションは、最低限必須となる開示事項です。
APPIの同意モデルは、GDPRのオプトイン義務よりも繊細です。APPIのもとでは、原則として求められるのはユーザーへの利用目的の通知です——これは、ユーザーがアクセスできる形でプライバシーポリシーを公表することで満たすことができ、ほとんどのデータ区分については能動的な同意クリックを必要としません。能動的なオプトイン同意(同意)が特に求められるのは、要配慮個人情報の収集と利用、同等の保護が不確かな外国の第三者への個人情報の提供、そして利用目的が当初開示したものから変更される場合です。
標準的なSaaSプロダクトが収集する個人情報の大半——氏名・メールアドレス・利用データ・請求情報——について、APPIは利用目的の開示と、ユーザーがデータ主体の請求を行える仕組みを求めますが、GDPR第7条が同意ベースの取扱いに求めるような、収集時点での能動的な同意クリックは求めません。つまり、あらゆるデータ収集に一律で「クリックして同意」のフローを適用するのは、日本にとってはGDPR流の過剰設計です——有害ではないものの、法律が求めるものではなく、しかも、必須の同意ゲートを「法律が実際に求める以上のリスクの高さ」を示すものと読み取る日本のユーザーを、かえって混乱させかねません。
日本のプロダクトで同意UIを実際に出す必要があるのは、次の場面です。要配慮個人情報(医療データ、経済的困窮を示す情報、人種・信条の情報)を収集する前;以前に収集したデータについて記載済みの利用目的を変更するとき;そして、十分性認定もユーザーの移転への明示的な同意もないまま、外国の第三者へ個人データを送るとき。
GDPR+eプライバシー指令の枠組みは、非必須Cookie——分析Cookie、広告Cookie、サービスに厳密には不要な機能Cookie——について事前の明示同意を求めます。これが、EUのユーザーを持つほぼすべてのウェブサイトに今や表示される、あのCookie同意バナーを生んでいる要因です。APPIには、Cookieに対する同等の事前明示同意の義務はありません。
APPIのもとでは、Cookieは、識別された個人または識別可能な個人と紐づけられる場合を除き、それ自体は個人情報ではありません。匿名のセッションCookieはAPPIの適用範囲の外にあります。しかし、Cookieの値がデータベース上でユーザーの氏名・メールアドレスその他の個人情報と紐づけられる場合——ユーザーIDを用いるログイン中のトラッキング、CRM連携、広告リターゲティングのすべてがこれに当たります——その紐づいたデータはAPPIの対象となる個人情報になり、そのデータの利用目的をプライバシーポリシーで開示しなければなりません。
実務上の指針はこうです。分析Cookieと広告Cookieに事前オプトインの制御を設けるEU型のフルなCookie同意バナーは、APPIでは必須ではありませんが、禁止されてもおらず、EUのユーザーも持つ日本企業の間では一般的です。Cookie関連データについてのAPPIの最低限の義務は、どのCookieデータが収集され、どう使われ、個人情報と紐づけられうるかを、プライバシーポリシーで開示することです。明確なCookieポリシー、またはCookieを扱うプライバシーポリシーのセクションへのフッターリンクがあれば、これを満たせます。日本のB2B・エンタープライズユーザーはこの開示を期待するようになっており、コンプライアンスのリスクは——EU型バナーの有無ではなく——この開示が無いことにあります。
APPIは、個人情報を取り扱う主体を表す固有の用語を用います。個人情報取扱事業者(こじんじょうほうとりあつかいじぎょうしゃ——「個人情報を取り扱う事業者」)です。これはGDPRのデータ管理者に相当しますが、日本語の法務文書では互換的に使えるものではありません。個人情報取扱事業者の代わりに「データ管理者」("data controller" の直訳)を使う日本語プライバシーポリシーは、その文書がAPPI向けに作られたものではなく、GDPRから翻訳されたものであることを示してしまいます。
日本語プライバシーポリシーにおける個人情報取扱事業者の開示には、次を含めなければなりません。事業者の名称(法人名または個人事業主の氏名)、住所(日本式の住所表記)、そして代表者の氏名です。外国企業の場合、これは海外法人の名称とその海外住所か、あるいは日本の子会社や駐在員事務所が存在すればその名称、のいずれかを意味します。海外法人が個人情報取扱事業者である場合、海外住所でも差し支えありませんが、開示の改まり度合いに合わせて一貫した形式で記載すべきです。
このラベルは、プロダクトのUIの特定の地点にも現れます。登録フローでは、個人情報が最初に収集される文脈で個人情報取扱事業者に言及すべきです;アカウント設定やプライバシーのセクションでは、誰がユーザーのデータを保持しているかを示すべきです;そしてデータ主体の請求のフロー(開示等の請求)では、その請求がどの個人情報取扱事業者に向けられるのかを明確に述べるべきです。
APPIは、日本国内の個人に、個人情報取扱事業者が保有する自分の個人情報について、開示・訂正・追加・削除・利用停止・第三者提供の停止・利用目的の通知を請求する権利を認めています。これらの権利はまとめて開示等の請求と呼ばれ、法律は事業者に、それらを受け付け対応する手続きを整備することを求めています。
SaaSプロダクトにとっての実務上の要件はこうです。これらの請求を行うための、見つけられる窓口や手続きがなければなりません(ウェブフォーム、メールアドレス、郵送先住所のいずれでも要件を満たします);その手続きはプライバシーポリシーで開示しなければなりません;事業者は合理的な期間内に対応しなければなりません;そして開示請求に手数料を課す場合は、その手数料を事前に開示しなければなりません。法律は特定のUIパターンを義務づけませんが、日本のエンタープライズユーザー——とりわけ調達の役割にある人——は、プライバシーポリシー内の開示等の請求のセクションと、それを行使するための到達可能な窓口を探します。
APPIは、GDPR流のプライバシーポリシーでしばしば一括りにされる2種類のデータ共有を区別します。委託(いたく——委ねること、委託処理)と共同利用(きょうどうりよう——共同での利用)です。自社プロダクトの実際のデータフローにどちらが当てはまるかを理解することが、何をどう開示する必要があるかを決めます。
委託は、個人情報取扱事業者と、その指示に基づいて動く処理者との関係を表します——クラウドホスティング事業者、第三者の分析プラットフォーム、チケットデータを扱うカスタマーサポートツールなどです。APPIのもとで、委託は第三者提供のルールに対する名前付きの例外です。データ管理主体(個人情報取扱事業者)は、委託先(委託を受けた処理者)とデータを共有するためにユーザーの同意を得る必要はありませんが、その処理者を適切に監督しなければならず、処理者がデータを誤って取り扱った場合には責任を負います。プライバシーポリシーには、サービス提供のためにデータを第三者へ委託することがある旨を開示すべきですが、必ずしもすべての処理者を名指しする必要はありません(処理者の区分の開示を求めるGDPRとは異なります)。
共同利用は、2者以上の特定された事業者が共通の目的のために個人情報を共有する状況を表します——たとえば、関連会社のグループが顧客データベースを共有する、あるいはプラットフォームとその認定リセラーが共同のサービス提供のためにユーザー情報を共有する、といった場合です。共同利用もAPPIのもとで第三者提供のルールに対する名前付きの例外ですが、より明示的な開示要件を伴います。プライバシーポリシーには、共同利用する者の名称、共有するデータの区分、目的を記し、どの共同利用者が個人情報の管理に責任を負うかを特定しなければなりません。
プライバシーマーク(Pマーク)は、JIPDEC(一般財団法人日本情報経済社会推進協会)が運用する日本のプライバシーマネジメント認証です。JIS Q 15001(日本の個人情報保護の規格)への準拠を認証するもので、日本のエンタープライズ購買担当者・官公庁・規制業種の調達チームから、意味のある信頼シグナルとして広く認知されています。多くの日本の大企業が、プライバシーマークまたは同等の認証を、ベンダー評価基準に含めています。
海外SaaS企業にとっての制約は構造的なものです。プライバシーマークには日本法人が必要です。米国や欧州に本社を置く企業は、認証を直接保有できません。保有できるのはその日本子会社だけです。つまり、日本法人を持たない海外SaaS企業は、代替の信頼シグナルに頼らざるを得ません。日本のエンタープライズ調達において最も有効な代替策は、次のとおりです。
これらの代替策は、日本語のプロダクトサイトのセキュリティページや信頼性のページで、各認証が何をカバーするのかを十分に説明した明確な日本語で提示すべきです——ロゴだけを並べたバッジの列としてではなく。日本の調達担当者は、認証の証拠を社内の委員会に提示しなければならないことが多く、ISO 27001が何を意味するかを一文で日本語で説明したほうが、その手続きにとってはロゴだけより有用です。
プライバシーUIのローカライズ診断では、APPIで必須の開示用語、同意の発火地点、データ管理主体の特定、第三者共有のラベル(委託 vs 共同利用)、データ主体の請求のUI、信頼シグナルの伝え方をカバーします——あなたのプロダクトの現状に即した具体的な改善前後の提案つきで。
ミニ診断を依頼する個人情報保護法(APPI)は、日本にユーザーを持つ海外SaaS企業にも適用されますか?
はい。2022年の個人情報保護法(APPI)改正以降、日本国内にいる個人の個人情報を取り扱い、かつ日本国内の人に商品・サービスを提供する外国の事業者にも、この法律が適用されます。これは域外適用の規定と呼ばれることがあります。日本にユーザーを持つ海外SaaS企業は、日本国内にいる個人の個人情報を取り扱い、日本国内の人にサービスを提供しているため、適用範囲に含まれます。実務上の義務には、APPIの開示要件(利用目的の通知)への対応、特定のデータ区分についてのオプトアウト権、第三者提供のルールが含まれます。個人情報保護委員会(PPC)は外国事業者向けのガイダンスを公表しており、それを——法的助言と併せて——確認することが適切な出発点です。
APPIのもとで、日本語プライバシーポリシーに必須となる開示事項は何ですか?
APPIは、プライバシーポリシー(個人情報保護方針またはプライバシーポリシー)に、少なくとも次の事項の開示を求めます。収集する個人情報の各区分についての利用目的;データ管理主体の特定(個人情報取扱事業者の名称——事業者名・住所・代表者);データ主体からの請求の手続きと窓口(開示等の請求);個人情報を提供しうる第三者の区分(第三者提供);そして共同利用の取り決めの有無です。これらの開示義務は、根底にある趣旨が似ていても、構造や用語の面でGDPRと異なります。GDPR準拠のプライバシーポリシーを日本語に翻訳しただけでは、必須の開示区分・見出し・法的根拠の枠組みが異なるため、自動的にAPPIを満たすことにはなりません。
APPIはCookie同意をGDPRと比べてどう扱いますか?
APPIは、EUでGDPR第7条とeプライバシー指令が非必須Cookieに求めるような、明示的な事前同意を一律には義務づけていません。APPIのもとでは、Cookie自体は、特定の個人を識別できる場合を除き個人情報には分類されません——たとえば匿名のセッションCookieは、一般にAPPIの個人情報の定義の外にあります。ただし、Cookieのデータが(たとえばログイン中のユーザーIDを介して)個人情報と紐づけられる場合、その紐づいたデータはAPPIの対象となる個人情報になります。つまり、あらゆるCookie区分について事前オプトインを求めるEU型のフル同意バナーはAPPIのもとで法的に必須ではありませんが、どのCookieが設定され何に使われるかを説明するプライバシー通知を——フッターから到達できる形で——示すことは、日本のB2B・エンタープライズユーザーに対して期待される実務慣行です。
プライバシーマークとは何ですか。日本でのSaaSエンタープライズ営業に影響しますか?
プライバシーマーク(しばしばPMまたはPマークと略されます)は、JIPDEC(一般財団法人日本情報経済社会推進協会)が運用する日本のプライバシーマネジメント認証です。これは、組織がJIS Q 15001(日本の個人情報保護の規格)を満たす個人情報マネジメントシステムを構築していることを認証します。日本でのエンタープライズSaaS営業において、プライバシーマークの取得状況は意味のある信頼シグナルです——とりわけ、日本の大企業・官公庁・規制業種による調達において重要です。多くの大規模な日本の組織が、プライバシーマークまたは同等の認証を、ベンダー評価基準に含めています。プライバシーマークの取得には日本法人が必要なため、海外本社のSaaS企業は通常、認証を直接保有できません。代替策としては、ISO 27001認証(日本のエンタープライズ市場で広く認知されています)の取得、認証を持つ日本のパートナーを通じて進めること、あるいはGDPR準拠やSOC 2の取得状況を、それらの認証がカバーする範囲についての適切な日本語の説明とともに、同等のデータガバナンスの証拠として明確に伝えることが挙げられます。
日本語プライバシーポリシーにおける「委託」と「共同利用」の違いは何ですか?
どちらの用語も、最初に収集した者以外の相手と個人情報を共有する状況を表しますが、APPIのもとでの法的な取り扱いは異なります。委託(いたく)は、データ管理主体が処理を第三者の処理者(たとえばクラウドインフラ事業者や分析サービス)に委ねることを意味しますが、管理主体は引き続き責任を負い、処理者は管理主体の指示に拘束されます。これは、GDPRの管理者・処理者の関係に大まかには相当します。共同利用(きょうどうりよう)は、2者以上の特定された当事者が共通の目的のために個人情報を共有することを意味し、その取り決めは、共同利用する当事者の名称・共有するデータ区分・目的とともにプライバシーポリシーで開示しなければなりません。GDPRと異なり、APPIは共同利用を第三者提供のルールに対する特定の名前付き例外(第三者提供の例外)として扱い、各当事者の名称の明示的な開示を求めます。いずれの取り決めも日本語プライバシーポリシーで開示しなければならず、実際の取り決めに対して誤った用語を使うと、コンプライアンス上の不備が生じます。