本記事では、プライバシーポリシーの作成について解説します。
Contents
プライバシーポリシーとは
プライバシーポリシーは、「個人情報保護方針」や「プライバシーステートメント」と呼ばれる企業が取得した個人情報の利用目的、管理方法をまとめたものをいいます。
作成は義務?
義務です。
プライバシーポリシーを作成しないまま、個人情報に関わる業務を行う事はできません。
個人情報の取扱いについて、法律では次の方法が定められています。
- 本人に直接通知する
- あらかじめ公表する
公表場所は?
「公表」は、ユーザーがサービスを利用する際、内容を確認できる箇所への設置が望ましいです。
具体的には、会員登録時、アプリ等の起動時のポップアップ、公式サイトへの設置が考えられます。
利用規約と違うの?
結論から言うと、プライバシーポリシーと利用規約とは別のものです。
両者の大きな違いは「目的」と「根拠」です。
利用規約は、民法上の定型約款に該当することが多く、運営側とユーザーとの契約内容にあたります。
そのため、自分の提供するサービスを利用する前に、ユーザーに利用規約に同意をもらう必要があります。
いっぽう、プライバシーポリシーは公表することが最低条件なので、ユーザーからの「同意」は不要です。
プライバシーポリシーの作成方法
次の通りです。
- 保有する個人情報の洗い出し
- 利用目的の具体化
- テキストに落とし込む
- 精査
- 公表
保有する情報の洗い出し
プライバシーポリシーの対象となる個人情報は、できる限り具体的に把握しなければなりません。
なぜなら、対象となる個人情報の種類、取り扱う部署により、適切と考えられる取扱い方法が異なるからです。
各部署から取得・利用する個人情報をピックアップし、分類しておくと、作成時の注意点を認知しやすくなります。
利用目的を具体化
個人情報保護法では、事業派が個人情報を取得して取り扱う場合、その利用目的をできる限り具体的に特定し、本人に通知または公表しなければならないと定められています。
重ねて、あらかじめ本人の「同意」を得ない限り、事業者は利用目的の達成に必要な範囲を超え、取得した個人情報を取り扱うことはできないとされています。
つまり、プライバシーポリシーにおいて、利用目的を具体的に特定し、その達成に必要な範囲内での取扱いを定めておくことが求められます。
プライバシーポリシー記載事項
一般的な記載事項は次の通りです。
- 個人情報取扱いに関する基本方針
- 個人情報の定義
- 個人情報の取得方法
- 個人情報の利用目的
- 個人情報の管理方法
- 個人データの共同利用について
- 個人情報の第三者提供について
- 個人データの開示、訂正等の手続について
- 個人情報の取扱いに関する相談、苦情等の窓口
ざっと見て分かりづらいかと思うので、1つずつ解説します。
個人情報を定義する
個人情報保護法では、次の通り定められています。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
引用元:個人情報の保護に関する法律|e-Gov法令検索
何だか小難しい定義が並んでいますが、法令遵守の観点から、プライバシーポリシーには次のような記載が考えられます。
個人情報に該当するもの
公表義務を果たすには、上記の通りで足りるでしょう。
しかし、実際に取り扱う際に何が個人情報に当たるのかを知らなければなりません。
具体的には、下記のものが個人情報に該当すると考えられます。
個人情報保護法では、「特定の個人を識別できる情報」を「個人情報」としています。
1つの情報だけでは特定できなくても、複数の情報が合わさると特定できるものも該当することに注意が必要です。
取得方法
個人情報の取得方法について、明記しましょう。
一般的な方法は次の通りです。
- ユーザーから直接取得する
- 外部サービス連携による取得
2の「外部サービス連携による取得」の場合、該当するサービス名、複数サービスとの連携が予想されるのであればそちらも記載しておきましょう。
利用目的
利用目的には、次の内容を記載しましょう。
- 利用する事業者
- 業種
- 利用態様によって特定する方法
これらを具体化したものとして、下記に例を挙げておきます。
管理方法
個人情報保護法の改正および施行令により、安全管理措置を本人の知り得る状態に置かなくてはなりません。
参照:個人情報の保護に関する法律 第23条、個人情報保護法施行令 第10条|e-Gov法令検索
具体的には、不正アクセス防止の取り組み、個人情報の取扱いに関する従業員向けの研修実施などが挙げられます。
共同利用
例えば、グループ会社等で個人情報を共有する場合、一定事項をプライバシーポリシーに記載し、本人の知り得る状態にしておくことで、本人の同意を得ずに利用することができます。
この際に記載すべき事項は、次の通りです。
ECサイト等で宅配業者へ委託する場合、宅配事業者にユーザーの氏名、住所等を開示する必要があります。
この場合、個人情報保護法において、プライバシーポリシーへの明記は義務ではありません。
しかし、適切な管理・措置を講じていることを示すことで、ユーザーに安心してもらえる点から明記するのが一般的だといえます。
個人情報の第三者提供
個人情報保護法には、次のように定められています。
(第三者提供の制限)
第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
引用:個人情報の保護に関する法律|e-Gov法令検索
ただし、法令に基づく場合や、本人の同意を得る時間がないほど緊急性の高い場合には、同意を得ず提供できます。
また、オプトアウトと呼ばれる制度により、次の要件を満たすことで本人から同意を得ないで個人データを第三者に提供できる手続も定められています。
ここでいう「一定事項」は、次の通りです。
ちなみに、オプトアウトは全ての個人データに対応しているわけではありません。
下記の情報は提供できませんので、注意してください。
本人からの開示請求への対応方法
令和4年4月の改正前は「書面での開示」が原則でした。
しかし、改正個人情報保護法では、「電磁的記録」「書面」「その他の事業者が独自で定める方法」のうち、本人が指定した方法での開示ができることとなりました。
したがって、プライバシーポリシー上で請求の受付方法や指定できる開示請求の方法を公表しておきましょう。
法律上では、次の場面でユーザーが利用停止、消去等を求めることができるとされています。
受付方法として、次の事項が考えられます。
これらと併せて、苦情や問い合わせ先も明記しておきましょう。
苦情、問い合わせ先を本人の知り得る状態にしておくことは、個人情報保護法上の義務です。(第40条)
プライバシーポリシーの変更
個人情報関連の法令は、頻繁に改正が行われます。
そのため、プライバシーポリシーの内容を変更する方法等も定めておきましょう。
内容の有効性が不安な場合、弁護士または行政書士までご相談ください。
まとめ
本記事では、プライバシーポリシーについて解説しました。
インターネット上で沢山の雛形を目にしますが、これらが必ずしも自社の実態と適合するとは言えません。
作成時には関係法規、ガイドライン、実情を適格に把握したうえで、常にアップデートしていくことが求められます。
この記事を書いたのは
ヲタク行政書士®榊原沙奈です。
