アプリ

42/60

154　第４章　アプリプライバシーポリシー51　SPIにおける利用者情報の定義については、前記Ⅱ３⑴を参照。52　特定分野ガイドラインやプライバシーマーク制度等（前記Ⅱ３）への準拠が求められる場合は、当然なが53　個情法上、本人からの開示請求に応じる義務があるのは保有個人データと第三者提供記録ですが（法33条）、「本人からの個人情報の開示請求に応じます」と記載していた場合、保有個人データに当たらない個人情報（例えばデータベース化されていない散在情報である顔画像）についても開示請求に応じる義務が生じ、事業者の負担は増すことになります。プライバシーポリシーが対象とする情報の範囲は、個情法上の個人情報とするか、個人情報に限らず、情報単体では特定個人を識別できない利用者情報51まで含めるかのいずれかの方針が考えられます。ユーザーにとってのわかりやすさを重視する観点からは利用者情報を対象とする方針が考えられ、実際に大手事業者を中心としてこの方針をとる企業は少なくありません。しかし、本書はスタートアップ事業者を含めた幅広い層のアプリ提供者を対象としていること、利用者情報までを対象とした場合、事業者は個情法上求められる以上の義務を負うこととなり、事業者の負担が大きいと考えられることから、本書では現行の法令上求められるミニマムな対応について定めることがベストプラクティスと考え、共通PPでは原則として個情法上の個人情報を対象としています52。他方、個別PPについては、SPIに準拠させる方針から、個人情報のみならず利用者情報までを対象としました。対象とする情報の範囲を個情法上の個人情報としている場合であっても、個情法上求められる以上の義務を定めているプライバシーポリシーも少なくありません。例えば「本人の同意なくして個人情報の第三者提供を行いません」「本人からの個人情報の開示請求に応じます」「（特定の企業名）へ委託する場合を除いて、第三者に個人データの取扱いを委託しません」と記載するプライバシーポリシーは、いずれも個情法上求められる以上の義務を定めていることになります53。もちろん、デベロッパー向け規約や特定分野ガイドライン等を遵守する目的や、ユーザーに向けたわかりやすさを確保する目的等から意図的にこのように記載するケースはありますが、特にそのような意図もなく、他社例を十分に検討せずにそのまま利用していると思われるケーら、これらへの準拠がミニマムな対応として求められることになります。２　共通PPと個別PPが対象とする情報の範囲⑴　個人情報か利用者情報か⑵　個人情報か（保有）個人データか