プライバシーポリシーとは、その事業者による個人情報の取り扱い方針のことです。
プライバシーポリシーを定めて公表したり、個人情報の取得時にプライバシーポリシーへの同意を得たりすることで、個人情報保護法上の多くの義務を果たすことができます。
では、プライバシーポリシーはどのような点に注意して作成すればよいのでしょうか?
今回は、プライバシーポリシーの作り方や作成時の注意点などについて、弁護士がくわしく解説します。
<メディア関係者の方>取材等に関するお問い合わせはこちら
プライバシーポリシーとは
プライバシーポリシーとは、個人情報を取り扱う事業者が、個人情報の取り扱いルールなどを定めた規定です。
ただ定めるのみならず、ホームページ上に掲載をするなど取り扱う個人情報の対象者が容易に確認できる場所に設置したうえで、プライバシーポリシーの内容に同意を得るなどしなければなりません。
はじめに、利用規約との違いや作成義務について解説しましょう。
利用規約との違い
プライバシーポリシーと同じく、ウェブサイト上に掲載することの多い規定に「利用規約」があります。
利用規約の中に、個人情報の取り扱いを織り込む場合もあるでしょう。
しかし、プライバシーポリシーと利用規約とは、その目的が大きく異なります。
利用規約は民法上の「定型約款」に該当するケースが多く、サービスの利用にあたってユーザーから適切な同意を得ておくことで、ユーザーと事業者との間の契約となるものです。
一方、プライバシーポリシーはあくまでも事業者側が遵守すべきルールを定めたものであり、ユーザーとの契約となるわけではありません。
作成は義務化されている?
プライバシーポリシーの策定や公表自体は、個人情報保護法で義務付けられているわけではありません。
ただし、事業者側にとっては、プライバシーポリシーを定めておいた方がスムーズでしょう。
この理由については、次で解説します。
プライバシーポリシーが必要な理由
プライバシーポリシーは、なぜ必要なのでしょうか?
主な理由は次のとおりです。
個人情報保護法上の義務を果たすため
個人情報保護法には、事業者が本人に対して通知すべき場面や、個別に同意を得るべき場面が数多く存在しています。
しかし、逐一本人から同意などを得ていては、事務が非常に煩雑となってしまうでしょう。
この事務の煩雑さを軽減する役割を持つものが、プライバシーポリシーです。
なぜなら、個人情報保護法上の義務の多くは、事業者がその旨をあらかじめ公表したり、公表した内容に同意を得ておいたりすることで足りるとされているためです。
つまり、プライバシーポリシーに所定の事項を定めて適切に公表しておくことにより、個々に通知をしたり同意を得たりすべき場面を大きく減らせたりするということです。
Pマークの取得に必要であるため
Pマークとは、個人情報について適切な保護措置を講ずる体制を整備している事業者などを評価する制度です。※1
日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に準拠した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」を適切に運用していると認定されれば、Pマークの使用が認められます。
Pマークを取得していることで、個人情報の取り扱いを適切に行っているとのアピールポイントとなるため、取得を目指す企業が少なくありません。
そして、このPマークを取得するためには、プライバシーポリシーの策定が必須です。
そのため、Pマークの取得を目的としてプライバシーポリシーを策定するケースもあるでしょう。
プライバシーポリシーの雛形
プライバシーポリシーを作成するにあたっては、インターネット上に公開されているプライバシーポリシーの雛形を参考にするというのも一つの方法です。
しかし、そういった雛形が自社の個人情報の取り扱い内容に即しているとは限りません。
運営するサービスやアプリケーションなどによって、どのような個人情報を取得するのか、どのような目的で個人情報を利用するのかは異なるため、事業内容に応じて規定する内容をカスタマイズする必要があります。
仮に自社の個人情報の取り扱い実態とは異なるプライバシーポリシーを公表してしまえば、トラブル発生時のリスクとなりかねません。
自社でのプライバシーポリシー作成に少しでも不安がある場合には、一度弁護士にご相談いただくことをおすすめします。
なお、プライバシーポリシー作成時の具体的な留意点や各条項の書き方の例については、こちらの記事をご覧ください。
プライバシーポリシー作成のポイント
では、プライバシーポリシーを作成する際には、どのようなポイントを踏まえて作成すればよいのでしょうか?
注意したい主なポイントは次のとおりです。
個人情報を定義する
プライバシーポリシーは、その事業者における個人情報の取り扱いについて定めるものです。
そのため、はじめに自社で取り扱う個人情報を定義しておくとよいでしょう。
個人情報は、個人情報保護法でも次のように定義されています。
第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
1 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
2 個人識別符号が含まれるもの
こちらを参照する形で、たとえば「「個人情報」とは、個人情報の保護に関する法律(以下「個人情報保護法」といいます)に定義される「個人情報」を指します」などと記載します。
併せて、自社で実際に取り扱う個人情報についても記載しておくと親切です。
自社で取り扱う個人情報は、個人情報保護法上、公表や本人への通知が求められているものではありません。
しかし、実際に取り扱う具体的な情報は各事業者で異なるため、プライバシーポリシーの冒頭できちんと説明しておくと、ユーザーにとってわかりやすくなるうえ、ユーザーとの間に齟齬が生じにくくなるでしょう。
利用目的を具体的に明示する
プライバシーポリシーでは、利用目的をできるだけ具体的に定め、明記しましょう。
なぜなら、個人情報保護法において、「個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない」とされているためです(同21条1項)。
つまり、あらかじめ利用目的を定めて公表していなければ、個人情報の取得にあたって、個々に対して利用目的を通知しなければなりません。
そして、プライバシーポリシーに記載する利用目的は、できる限り特定することが求められています(同17条1項)。
そのため、たとえば次のように、具体的に記載することが必要です。
- ご購入いただいた商品をお届けするため
- 商品の対価のご請求のため
- アフターサービスを提供するため
- 当社キャンペーンやアンケートを実施するため
- マーケティングデータの調査及び分析をするため
一方、「事業活動のため」などの記載では、具体的な記載とはいえないでしょう。
第三者提供する場合にはその旨を明示する
個人情報を他社などの第三者に提供する場合には、原則として、あらかじめ本人の同意を得なければなりません(同27条1項)。
そのため、第三者提供をする場合にはあらかじめプライバシーポリシーに記載をしたうえで、プライバシーポリシー全体について同意を得る形をとることが一般的でしょう。
また、本人の求めに応じて第三者提供を停止することを条件に、あらかじめ同意を得ないで第三者提供ができる「オプトアウト」という方法もあります(同27条2項)。
ただし、この場合にはあらかじめ本人への通知または本人の知り得る状態に置くことが必要となるほか、個人情報保護委員会に届け出ることなどの要件を満たさなければなりません。
オプトアウト方式をとる場合には、プライバシーポリシーに記載することで、「本人の知り得る状態に置く」こととなります。
外国にある第三者への提供に注意する
外国にある第三者へ個人情報を提供する場合には、原則として、あらかじめその旨の同意を取得しなければなりません(同28条)。
また、その際にはその外国における個人情報の保護に関する制度や、提供先の第三者が講ずる個人情報の保護のための措置など、判断の参考となる情報を提供しなければならないとされています(同28条2項)。
これは、単に国名のみを記されてもその国における具体的な制度などがわからなければ、第三者提供について同意するかどうか判断が難しいためです。
共同利用する場合にはその旨を明示する
個人情報を他社と共同で利用する場合には、プライバシーポリシーにその旨を明記しておきましょう。
共同利用の場合には、次の項目を本人に通知するか、プライバシーポリシーに定めるなどして本人が容易に知り得る状態に置くことで、第三者提供に該当しないとされるためです(同27条5項)。
- 特定の者と共同利用をする旨
- 共同利用する個人データの項目
- 共同して利用する者の範囲
- 共同利用する者の利用目的
- 個人データの管理について責任を有する者の「氏名(名称)」、「住所」、法人の場合は「代表者氏名」
講じた安全管理措置の内容と苦情の申し出先を明示する
個人情報保護法23条では、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と定められています。
そして、講じた安全管理措置の内容は本人の知り得る状態に置くか、本人の求めに応じて遅滞なく回答しなければなりません(同32条1項4号、個人情報保護法施行令10条)。
ただし、本人の知り得る状態に置くことなどにより安全管理に支障を及ぼすおそれがあるものについては、対象外です。
このような規定が存在するため、プライバシーポリシーには、講じた安全管理措置の内容を記載しておきましょう。
また、個人情報保護法施行令10条では、ほかに本人の知り得る状態に置くなどすべきものとして、「保有個人データの取扱いに関する苦情の申出先」が挙げられています。
そのため、これもプライバシーポリシーに記載しておくことが必要です。
開示請求などの方法を明示する
個人情報保護法では、本人は、事業者が保有している自身の個人データの開示や訂正などを求めることができるとされています(個人情報保護法33条、34条、35条)。
そして、本人が個人データの開示を求める方法については、個人情報を取り扱う事業者側が定めることが可能であり、開示請求などを行う側はこの定めに従わなければなりません(同37条)。
そのため、プライバシーポリシーには開示請求などを行う方法を定め、明示しておきましょう。
これを定めていなければ、個々のユーザーがそれぞれ異なる方法で開示請求をする可能性があり、対応が煩雑となりやすいためです。
ウェブページ上の見やすい場所に掲載する
プライバシーポリシーの設置場所は、法令で具体的に規定されているわけではありません。
しかし、プライバシーポリシーに定めるべき事項の多くは、「本人が容易に知り得る状態」に置くことが必要とされています。
そのため、ホームページ内を探してようやく見つけられるような状態では、「本人が容易に知り得る状態」とはいえず不適切でしょう。
なお、「個人情報の保護に関する法律についてのガイドライン(通則編)」のp75によれば、「ホームページのトップページから 1 回程度の操作で到達できる場所等」が設置場所として適切であるとされています。※2
これを参考に、プライバシーポリシーはウェブページ上の見やすい場所に設置しましょう。
プライバシーポリシー作り方・書き方の注意点
プライバシーポリシーを作成する際には、次の点に注意しましょう。
実情に即した内容にする
プライバシーポリシー作成の基本は、事業者の実情に合わせて作成することです。
初めてECサイトを運営する事業者などの中には、他社のプライバシーポリシーを「コピペ」して掲載している場合もあるようです。
しかし、他社のものを流用したプライバシーポリシーでは、実際には自社とは関係のない事項が盛り込まれていたり、自社の運用とは異なる記載になっていたりすることが多いでしょう。
実情に即していないプライバシーポリシーを公表していると、いざトラブルになった際に不利となりかねません。
そのため、プライバシーポリシーは自社における個人情報の取り扱い内容に即した内容で作成することが必要です。
弁護士に相談する
公表しているプライバシーポリシーの内容に問題があれば、個人情報の取り扱いに関してトラブルになった際に不利となる可能性があるほか、SNS上で「炎上」してしまうリスクもあります。
また、個人情報保護法は頻繁に改正されていますが、最新の改正内容に合わせて適宜改訂していかなければなりません。
これを自社のみで行うことは容易ではないでしょう。
そのため、プライバシーポリシーを作成する際には、無理に自社のみで行わず、弁護士へご相談ください。
弁護士のサポートを受けることで、自社の実情に即したプライバシーポリシーの作成が可能となり、万が一の際に自社の身を守るツールともなり得るでしょう。
まとめ
プライバシーポリシーの策定や公表自体は、個人情報保護法上の義務ではありません。
しかし、仮にプライバシーポリシーを適切に定めて運用していなければ、本人に対して逐一通知をしたり同意を得たりする必要が生じ、非常に煩雑です。
事実上、個人情報保護法上の義務を適切に履行するためには、プライバシーポリシーの策定が不可欠であるといえるでしょう。
しかし、実情に即したプライバシーポリシーを自社のみで作成することは容易ではありません。
そのため、プライバシーポリシーを作成する際には、弁護士へご相談ください。
Authense法律事務所では、プライバシーポリシーの作成などウェブサイト運営にまつわるリーガルサポートに力を入れています。
プライバシーポリシーの作成や運用でお困りの際には、Authense法律事務所までお気軽にお問い合わせください。