プライバシーポリシーの作成方法と留意点について弁護士が解説

プライバシーポリシーの作成と公表は、個人情報を取り扱うすべての事業者で必須といえます。
では、プライバシーポリシーはどのように作成すればよいのでしょうか？
今回は、プライバシーポリシーの雛形を紹介するとともに、作成のポイントなどについて弁護士がくわしく解説します。

記事を監修した弁護士

Authense法律事務所記事監修チーム

Authense法律事務所の弁護士が監修、法律問題や事例についてわかりやすく解説しています。Authense法律事務所は、「すべての依頼者に最良のサービスを」をミッションとして、ご依頼者の期待を超える弁護士サービスを追求いたします。どうぞお気軽にご相談ください。
＜メディア関係者の方＞取材等に関するお問い合わせはこちら

プライバシーポリシーとは

プライバシーポリシーとは、事業者における個人情報取り扱いに関する指針です。

なぜウェブサイトなどにプライバシーポリシーを公表すべきなのかというと、その理由は個人情報保護法にあります。
個人情報保護法では、ある事項を「本人に通知するか、あらかじめ公表しなければならない」としている規定が多数存在します。
たとえば、次のような規定です。

第21条第1項
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

つまり、個人情報を取り扱うにあたっては、次の2択となるケースが多々発生するということです。

• 本人に対して直接通知する
• あらかじめ公表する

もちろん、その都度本人に対して通知をしても構いません。
しかし、特に取り扱う個人情報の数が多い場合には、その都度本人に通知することは容易ではないうえ、コストもかかってしまうでしょう。
そのため、多くの事業者が、プライバシーポリシーを作成して「あらかじめ公表」しておく選択をしています。
プライバシーポリシーをしっかりと作成して公表しておくことで、本人に対して個々で通知すべき場面を最小限に抑えることが可能となるのです。

また、プライバシーマーク取得のためには、プライバシーポリシーの作成が必要となっています。
プライバシーマークを取得し、表示することで、対外的にも個人情報保護をしっかりと行っている企業であるという安心感を与えることが可能となることから、プライバシーマーク取得を視野にいれている企業においては、そのような観点からもしっかりとしたプライバシーポリシーを作成しておくことが重要といえます。

プライバシーポリシーの作り方

プライバシーポリシーを整備するにあたっては、インターネット上に公開されているプライバシーポリシーの雛形を参考にするというのも一つの方法です。
しかし、運営するサービスやアプリケーションなどによって、どのような個人情報を取得するのか、どのような目的で個人情報を利用するのかは異なるため、事業内容に応じて規定する内容を精査する必要があります。
また、法改正に応じた修正が必要となるケースもあります。
適切なプライバシーポリシーを作成するにあたっては、一度弁護士にご相談いただくことをおすすめします。

プライバシーポリシーの一例と書き方

プライバシーポリシーの一例と作成時の留意点は次のとおりです。
なお、それぞれの条項は、あくまで必要となる条項の一部分を例示したものにすぎません。
特定の事業を想定して必要な条項を網羅したものではない点にご留意ください。

前文

はじめに、前文として策定した目的などを記載します。

定義

個人情報といっても様々ですので、事業者が取得する個人情報を定義しておくとよいでしょう。

個人情報の取得方法

プライバシーポリシーには、個人情報の取得方法を定めておきましょう。

なお、「ユーザーから直接取得する」や「外部サービスとの連携により取得する」など取得方法が複数想定される場合には、なるべく具体的な方法を明記しておくとよいでしょう。

個人情報の取得・利用目的

プライバシーポリシーでは、個人情報の取得・利用目的を明記しましょう。

たとえば、取得した個人情報をダイレクトメール送付のために利用する予定があるにもかかわらず「商品の配送及びアフターサービスを提供するため」とのみ記載していては、取得した個人情報を利用してダイレクトメールを送ることはできません。
ダイレクトメールを送付するのであれば、「ダイレクトメールを送付するため」などと取得・利用目的を具体的に特定して明記しておきましょう。
また、利用者が個人情報の提供を望まない場合には、サービスを提供できないことがある旨も記載しておくとよいでしょう。

安全管理措置

改正個人情報保護法23条および個人情報保護法施行令10条により、「本人の知り得る状態」に置くべき事項に、安全管理措置が追加されました。
ここには、個人情報の保護に関して実際に講じている安全管理措置を記載しましょう。
たとえば、不正アクセスを防止する仕組みの導入や、従業員向け研修の実施などです。
講じるべき安全管理措置についてはガイドラインを参照するか、弁護士へご相談いただくことをおすすめします。

個人データの第三者提供

個人データを第三者に対して提供する場合には、原則として、あらかじめ本人の同意を得なければなりません（個人情報保護法27条1項）。

ただし、法令に基づく場合や、緊急性が高く、本人の同意を得る時間がない場合等には、第三者に提供することができるとされています（同項各号）。
また、いわゆるオプトアウトとして、例外的に、以下の要件を満たした場合には、本人の同意を得ずに、第三者に提供することができます（同条2項）。

• （ア） 本人の求めに応じて第三者提供を停止する措置を講じる
• （イ） 一定事項を本人が容易に知り得る状態に置く（プライバシーポリシーに記載する）
• （ウ） 一定事項を個人情報保護委員会に届け出る

このうち、「一定事項」とは、次の事項です。

1. 個人情報取扱事業者の氏名（名称）、住所（所在地）、法人の代表者名
2. 第三者への提供を利用目的とすること
3. 第三者に提供される個人データの項目
4. 第三者に提供される個人データの取得の方法
5. 第三者への提供の方法
6. 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
7. 本人の求めを受け付ける方法
8. その他個人情報保護委員会規則で定める事項（提供開始日と、第三者に提供される個人データの更新方法）

そのため、あらかじめ本人の同意を得たり本人に通知したりせずに個人データを第三者に提供する場合（オプトアウト）には、これらの事項をプライバシーポリシーに盛り込むとともに、個人情報保護委員会に届け出なければなりません。

もっとも、①要配慮個人情報、②偽りその他不正の手段によって取得した個人情報、③他の個人情報取扱事業者から第三者提供により取得した個人情報及び④これらの全部または一部を複製し、又は加工したものについては、オプトアウトによって提供することはできません（個人情報保護法27条2項但し書き）。

したがって、オプトアウトの方法を利用しようとする場合には、要件を遵守することはもちろんのこと、オプトアウトで取得が禁止されている個人データを取得しないように気を付けなければなりません。
また、第三者から個人情報の提供を受けることがある場合には、その個人情報がオプトアウトの方法による提供を禁止されている情報か否かを確認し、禁止されている情報である場合には、本人の同意を得ているのかを確認することが重要となります。

保有個人データの開示や訂正

従来は書面での開示が原則とされていたところ、令和4年4月施行された改正個人情報保護法（33条、施行規則30条）により、「電磁的記録の提供による方法」、「書面の交付による方法」、「その他の事業者が独自に定める方法」のうち本人が指定した方法で開示することとされました。
また、プライバシーポリシーにあらかじめ定めておくことで、事業者が指定した方法で開示請求をすべきこととなります（同法37条1項）。
そのため、さまざまな方法で開示請求などがされて事務が煩雑となることを防ぐため、プライバシーポリシーには請求を受け付ける方法を明記しておきましょう。
また、本人以外からの開示請求に応じてしまうことのないように、開示請求などに応じる際には本人確認を必須とする旨やその方法などについても定めておくことをおすすめします。

また、ユーザーから個人データの利用停止や消去などを求められた際の手続きや、請求に応じる場面などについても定めておきましょう。
法令上（同法35条1項）、利用の停止や消去を求めることができるのは、次の場面です。

• 保有個人データが利用目的を超えて利用されている場合（同法18条）や、不適正に利用されている場合（同法19条）
• 保有個人データが偽りその他不適正な手段により取得された場合（同法20条）

苦情や問い合わせの連絡先

プライバシーポリシーには、苦情や問い合わせの連絡先を明記しなければなりません。
これは、これらの事項を本人の知り得る状態におくことが、法令で求められているためです（同法40条）。

そのため、住所や担当部署名、Eメールアドレスなどを記載しておきましょう。

プライバシーポリシーの変更

法改正の可能性や、個人情報を巡る状況の変化は大いに予測されることから、プライバシーポリシーの変更方法などについても定めておくとよいでしょう。
もっとも、変更後の内容が直ちに有効かどうかは従前の記載内容によって左右されることから注意は必要です。
ここに記載する内容としては、事業者の裁量でプライバシーポリシーを変更できる旨や、変更後のプライバシーポリシーを周知する方法などが考えられます。

作成したプライバシーポリシーの設置場所について

プライバシーポリシーは、ユーザーがサービスの利用を開始する前に内容を確認できるよう、サービスの初回登録時やアプリケーションの初回起動時にユーザーに掲示するのがよいでしょう。
また、ユーザーがいつでも確認できるよう、ウェブサイトの分かりやすい場所にも設置しておきましょう。

プライバシーポリシーと利用規約との違い

プライバシーポリシーと混同されやすいものに、利用規約があります。
実際に、利用規約の中にプライバシーポリシーが盛り込まれている場合もあるでしょう。
しかし、両者はその目的も根拠も、大きく異なるものです。

利用規約は民法上の「定型約款」に該当することが多く、ウェブサイトを運営する事業者とユーザーとの契約にあたるものです。
そのため、ユーザーがそのウェブサイトを利用するにあたって、あらかじめ利用規約に同意を得ておかなければなりません。
一方的に作成して公表しているだけでは、契約としての体をなさないためです。
実際には、ウェブサイトを利用する会員申込みなどの際に利用規約を表示するとともに「利用規約に同意します」などとしたチェックボックスを用意して、ユーザーに同意を促すケースが多いでしょう。

一方、プライバシーポリシーは基本的に公表をすれば足り、個人データの第三者提供等を除いて、個人情報の取得方法や利用目的についてユーザーの同意を得ることまでは求められていません。

まとめ

プライバシーポリシーの雛形は、インターネット検索などで簡単に見つけられますが、その雛形が自社の個人情報の取り扱い内容に即しているとは限りません。
仮に自社の個人情報の取り扱い実態とは異なるプライバシーポリシーを公表していれば、トラブル発生時にリスクがあるでしょう。
法的に問題のないプライバシーポリシーを運用していくためには、関係法規やガイドライン、実務動向を理解した上で、改正内容に応じてプライバシーポリシーをアップデートしていく必要性があります。
自社でのプライバシーポリシー作成に少しでも不安がある場合には、弁護士にご相談いただくことをおすすめします。

Authense法律事務所にはプライバシーポリシーやウェブサイトの利用規約などにくわしい弁護士が多数在籍しております。
プライバシーポリシーなどウェブサイトなどにまつわる規程整備をご検討の際には、ぜひAuthense法律事務所までご相談ください。