プライバシーポリシーの意味や作り方などについて弁護士がわかりやすく解説します。
プライバシーポリシーとは、事業者による個人情報などの取り扱いの方針を定めたものです。
<メディア関係者の方>取材等に関するお問い合わせはこちら
プライバシーポリシーとは
プライバシーポリシーとは、個人情報などの取り扱い方針を定めたものをいいます。
個人情報保護法上、プライバシーポリシーの定義を定めた規定や、「プライバシーポリシーを定めなければならない」と定めた規定はありません。
しかし、個人情報保護法では、「利用目的の特定等」「第三者提供の制限」「保有個人データに関する事項の公表等」などに関する規制が定められています。
そして、個人情報取扱事業者は、個人情報の取得・利用などに際して、一定の事項について公表することが義務づけられていたり、公表をすることが有益な場合があります。
このことから、事業者は、これらに対応するためにプライバシーポリシーを定める必要があります。
また、事業者によっては、取得した個人情報を含む様々な個人に関する情報、つまりプライバシー情報を、ある程度積極的に活用していきたいと考える場合があります。
一方で、情報を利用される者(情報帰属主体)にとっては、事業者にプライバシー情報を取得・利用などされることについて、一定の心理的な抵抗がありえるでしょう。
プライバシーポリシーは、事業者がプライバシー情報の取り扱いを明示することによって、このような本人の反発を和らげ、情報帰属主体の信頼を確保する役割を担っています。
個人情報とは
個人情報保護法に定められる「個人情報」とは、生存する個人に関する情報であり、かつ、①当該情報に含まれる氏名、生年月日その他の記述などにより特定の個人を識別できる情報(他の情報と容易に照合することができ、それにより特定の個人を識別することができる情報を含む)、または②DNA、指紋、運転免許証、マイナンバーなどの個人識別符号が含まれる情報のことをいいます(個人情報保護法第2条第1項、同条第2項、同施行令第1条)。
プライバシーポリシーの有用性
プライバシーポリシーの有用性を示す場面として、以下のような場合が挙げられます。
個人情報の利用目的の通知または公表
個人情報取扱事業者は、個人情報を取得した場合、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を本人に通知または公表しなければなりません(法21条1項)。
このため、プライバシーポリシー内に利用目的を定め、ウェブサイト上などで公表することが考えられます。
また、書面やウェブサイトの入力画面などから直接個人情報を取得する場合には、あらかじめ利用目的を明示しなければなりません(同2項)。
この場合も、プライバシーポリシーを具体的に明示することによる対応が有用です。
第三者提供への同意
取得した個人情報を第三者へ提供する場合には、原則として、あらかじめ本人の同意を得なければなりません(法27条1項)。
この第三者提供への同意の際、プライバシーポリシーを明示し、本人の同意を明確に得ておくことが考えられます。
保有個人データに関する事項の公表
個人情報取扱事業者は、保有個人データについて、法32条1項、施行令10条に定める事項を本人の知り得る状態に置かなければならない、または本人の求めに応じて遅滞なく回答しなければならないとされています。
このため、保有個人データについてプライバシーポリシーで定めておき、本人の知り得る状態としておくことが有用です。
ユーザーの安心感
自己の個人情報などが事業者にどのように取り扱われるのかは、情報帰属主体であるユーザーにとって、重大な関心事です。
そのため、プライバシーポリシーをきちんと定め、取得する情報や利用目的、取り扱い方法をあらかじめ公表しておくことは、ユーザーにとっての安心感につながります。
プライバシーポリシーで記載する項目
プライバシーポリシーを作成する際に記載を検討する項目として、以下のような事項が挙げられます。
①取得する個人情報の項目
法律上、取得する個人情報を個々に通知公表することまでは求められていません。
もっとも、スマートフォンにおけるアプリケーションソフトなど、個別に適用されるガイドラインや実務指針で項目の記載が求められている場合もあります。
②利用目的の通知または公表
個人情報保護法では、個人情報取扱事業者は、取り扱う個人情報の利用目的をできるかぎり特定しなければならないとされています(法17条1項)。
また、「利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」とされています(個人情報の保護に関する法律についてのガイドライン(通則編)3-1)。
たとえば、同ガイドラインによれば、利用目的の特定とは「マーケティング活動に用いるため」では足りず、「取得した閲覧履歴や購買履歴などの情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」まで特定する必要があるとされています。
③第三者提供
前述したとおり、個人情報を第三者に提供する場合は、原則として本人の同意を得る必要があるため、プライバシーポリシーに第三者提供について記載し、本人の同意を取得します。
④外国にある第三者への提供
個人データを外国にある第三者へ提供する場合は、個人情報取扱事業者は、法で掲げる場合を除き、第三者への提供を認める旨の本人の同意を得なければならず、その際、法28条2項、施行規則17条2項で定める事項について本人に提供しなければなりません。
⑤共同利用
個人データを共同利用する場合、法27条5項3号に定める事項をあらかじめ、本人に通知する、または本人が容易に知り得る状態に置く必要があります。
この場合も、プライバシーポリシーに定めておくことで対応が可能です。
⑥安全管理措置
個人情報取扱事業者は、取り扱う個人データの漏えい、滅失または毀損の防止その他の個人データの安全管理のために、必要かつ適切な措置を講じなければなりません(法23条)。
また、保有個人データについては、講じた安全管理措置を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならないとされています(法32条1項4号、個人情報の保護に関する法律施行令第10条第1項)。
⑦匿名加工情報
「匿名加工情報」とは、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のことをいいます。
匿名加工情報は個人を識別できる情報ではないため、個人情報ではないことになります。
もっとも、個人情報取扱事業者は、匿名加工情報を作成したとき、匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめその旨を公表しなければならないとされています(法43条4項・44条、規則36条1項、37条、38条)。
そのため、個人情報を匿名加工する場合には、あらかじめプライバシーポリシー内に定めておくのがよいでしょう。
⑧保有個人データの開示等請求
個人情報取扱事業者は、保有個人データに関し、開示、訂正、追加、削除、利用停止・第三者提供の停止などの手続きおよびこれらにかかる手数料につき、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならないとされています(法32条、施行令10条)。
⑨Cookieの利用について
第三者から提供されたクッキーなどのオンライン識別子を個人情報と突合しない場合、クッキーは、それ単体では特定の個人を識別することはできないものなので、個人情報には該当しません。
しかし、クッキーは「個人関連情報」に該当し、提供先において個人データとして取得することが想定される場合は、提供元は、提供先において本人の同意が取得されたことを確認しなければならないとされています(法31条1項、個人情報の保護に関する法律についてのガイドライン(通則編)3-7)。
そのため、提供先や、提供元が同意取得を代行する場合は提供元において、プライバシーポリシーに記載することが考えられます。
⑩個人情報取り扱いに関する相談・苦情の申出先
個人情報取扱事業者は、保有個人データの取り扱いに関する苦情の申出先を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければなりません(法32条1項、施行令10条)。
そのため、苦情の申出先をプライバシーポリシーに記載します。
⑪その他
一部広告媒体では、利用している広告媒体に関しての記載を求めています。
たとえばGoogle広告、Yahoo!広告は、利用企業のプライバシーポリシーへ記載をするよう明記していますので、利用している広告媒体を確認の上、プライバシーポリシーへの記載を行う必要があります。
ひな形・テンプレート利用時の注意点
プライバシーポリシーの作成にあたり、「プライバシーポリシー ひな形」などとウェブ検索をすると、多くのウェブサイトが見つかることでしょう。
こういったひな形やテンプレートを参照してプライバシーポリシーを作成する最大のメリットは、費用がかからず、手軽に作成ができる点です。
しかし、本来プライバシーポリシーは、事業者が営むサービス内容や個人情報の取り扱い方法ごとに内容が異なるはずのものです。
ひな形やテンプレートを用いて作成したプライバシーポリシーでは、事業者ごとの個別の事情が反映されず、必要な事項の抜けや漏れが生じたり、提供するサービスの実態に即していなかったりする可能性があります。
また、個人情報保護法の改正が反映されておらず、最新の法令に適合していない可能性にも注意が必要です。
プライバシーポリシーを最も確実に作成する方法は、弁護士などの専門家へ依頼することです。
弁護士へ依頼することで、自社で提供するサービス内容や個人情報の取り扱い方法に沿ったプライバシーポリシーを、最新法令に即した内容で作成してもらうことが可能となります。
また、プライバシーポリシー作成の枠を超え、ウェブサービス提供に関する法律相談や法令を踏まえたアドバイスを受けることなどもできるでしょう。
弁護士は、ウェブサイト運営の心強い味方となります。
費用はかかるものの、長期的な視点で見れば、プライバシーポリシーの作成は弁護士へご相談いただくことをおすすめします。
まとめ
プライバシーポリシーは、個人情報を取り扱う事業者にとって必須となるものです。
また、当然ながら、適当な内容で作成してウェブサイトに載せてさえおけばよいというものではなく、最新の法令を踏まえた内容で、かつ自社での個人情報取り扱い状況に即した内容で作成し公表しなければなりません。
プライバシーポリシーをきちんと作成しておくことは、いざユーザーとトラブルになった際、自社の身を守ることへとつながります。
現在、プライバシーポリシーを作成しないままウェブサイトの運営をしてしまっている場合や、どこかのウェブサイトからコピペをしたまま、よく内容を理解せずにプライバシーポリシーを掲載してしまっているという事業者の方は、ぜひAuthense法律事務所までご相談ください。
Authense法律事務所には、個人情報保護法などウェブサイト運営上必要となる法令に詳しい弁護士が多数在籍しており、プライバシーポリシーの作成のみならず、ウェブサイト運営の法令順守を総合的にサポートしております。
(作成日2022年8月9日)
