{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
オンラインにおけるプライバシーに関する通知及び同意―ISO/IEC 29184をもとにJIS X 9252:2023が発行
「JIS X 9252:2023 情報技術―オンラインにおけるプライバシーに関する通知及び同意」とは
企業などがオンラインで個人情報を収集するにあたって必要な事項をまとめた「JIS X 9252:2023 情報技術―オンラインにおけるプライバシーに関する通知及び同意」が2023年1月に発行されました。
これは、国際標準化機構(International Organization for Standardization:ISO)が「ISO/IEC 29184」として既に発行しているものを、技術的な内容および構成はそのままに日本工業規格化したものです。
目次は、以下のようになっています。
| 序文 1 適用範囲 2 引用規格 3 用語及び定義 4 記号及び略語 5 一般要求事項及び推奨事項 5.1 全体的な目的 5.2 通知 5.3 通知内容 5.4 同意 5.5 条件の変更 附属書A(参考)PC 及びスマートフォンから PII 主体の同意を得る場合のユーザーインターフェースの例 附属書B(参考)同意領収書又は同意記録書の例 参考文献 解 説 PC 及びスマートフォンから PII 主体の同意を得る場合のユーザーインターフェースの例 |
パーソナルデータを収集・分析し、それぞれの消費者に最適な形でサービスを提供していくことは、今後のビジネスにおいて極めて重要であることは言うまでもありません。
一方で、消費者側の視点に立てば、自らのプライバシーに関わる情報を他者に分析されることには大きな不安を伴います。どのように自分の情報が扱われるのか理解できないサービスは利用が進まず、企業は競争力を失っていくことでしょう。
JIS X 9252:2023は、このような状況を防ぐためにも、サービス提供者がオンラインでパーソナルデータを収集する際に、消費者にどのような説明をしていくことが必要なのかを定めたものとなります。
JIS X 9252:2023発刊までの経緯
同意および通知に関するガイドラインとしては、経済産業省が2014 年 10 ⽉に公表した「消費者向けオンラインサービスにおける通知と同意・選択のためのガイドライン」があります。
JIS X 9252:2023は、このガイドラインをベースとして情報規格調査会がISOに国際標準化案として提案し、「ISO/IEC 29100:2011 Information technology — Security techniques — Privacy framework」「欧州データ保護会議(EDPB)」などの考え方も取り込んだうえで、2020 年 6 ⽉に「ISO 29184 ISO/IEC 29184:2020 Information technology -- Online privacy notices and consent」として発行したものを日本語化したものです。
図2: JIS X 9252:2023 作成までの流れ
現在は日本語化された文書のほか、日本規格協会が作成した解説文も同時に入手可能であり、理解しやすいものとなっています。
パーソナルデータデータ収集について消費者に理解を得るための重要ポイント
JIS X 9252:2023には、パーソナルデータの収集にあたって、サービス提供者が伝えるべき「通知」と「同意」の方法について書かれています。
ここで言う「通知」とは、パーソナルデータをサービス提供者がどのように取り扱うのかについて説明すること、「同意」とは通知された内容に対して消費者が承諾または撤回できることを意味しています。
サービス提供者は、これらの「通知」および「同意」のために記載すべき内容を提示し、消費者の理解を得なければ、パーソナルデータデータを取り扱うことができません。
そしてJIS X 9252:2023には、これらの内容以外にも、ユーザビリティやセキュリティへ配慮することが重要であるとも記されています。
従前より、サービス提供者は収集したパーソナルデータどのように取り扱うのかについて、サービス利用規約を提示するなどして消費者に説明する必要があることは広く認知されています。
しかし、実際にウェブサイトやスマートフォンのアプリケーションに実装されているこれら文言には難解な表現が散見され、情報リテラシーや法的リテラシーの高い消費者でなければ理解が困難であるとなどの問題がありました。
多くの消費者から自社の取り組みについて正確な理解を得るには、平易で理解しやすい表現とすることが必要です。
JIS X 9252:2023には、このように多面的な観点から同意や通知を行うことが必要であるとも記されています。
パーソナルデータを利活用する際に標準規格に準拠することの意義
消費者向けサービスを開発、発展させていくためにパーソナルデータは欠かせません。
そのためにはデータ収集に対する考慮不足は避けなければいけないものですが、標準規格はその点で大きな助けとなります。
さらに、本規格をデータベース構造にも反映させれば、自社サービスのみで完結しない多様な企業との連携による発展や、グローバル化に必要な相互運用性の確保にも役立つと考えられます。
パーソナルデータを取り扱うサービス事業者にとって、JIS X 9252:2023は重要な役割を果たすでしょう。
執筆者
柴田 健久
ディレクター, PwCコンサルティング合同会社
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
