プライバシーポリシーの作り方と注意点
企業などの個人情報取扱事業者が、ユーザーの個人情報の取り扱いやプライバシーに対して、どのように配慮しているかを示す指針を「プライバシーポリシー」といいます。
個人情報を収集するサイトを運営している企業の場合、プライバシーポリシーの策定と明記は必須です。
本記事では、プライバシーポリシーの重要性から明記する項目と内容、策定における注意点、個人情報保護法の内容までを総合的に解説していきます。
目次
プライバシーポリシーで知っておきたい4つのこと
企業のプライバシーポリシーとは?
「プライバシーポリシー」とは、企業(個人情報取扱事業者)が自社のウェブサイトなどで行なう個人情報の収集や活用目的、管理・保護方法などに関する取り扱いの方針を明文化して公表するもので、個人情報保護方針ともいわれます。
一般消費者にも個人情報についての権利意識が高まっていることもあり、プライバシーポリシーの内容に敏感な人が増えています。
そのため、プライバシーポリシーを守れない企業などは消費者から支持されない時代になっています。
「プライバシーポリシーを読む人など、ほとんどいないだろう」などと考えている経営者がいるとしたら、もはや時代遅れ。
企業にとってプライバシーポリシーは、適当に作っておけばいい、などというものではなく、十分に検討・配慮して作成する必要があるのです。
プライバシーポリシーの法的規定について
プライバシーポリシーは、すべてのウェブサイトに必要なものではありません。
しかし、個人情報を収集するサイトの場合、プライバシーポリシーの制定と明記が必須とされています。
第21条 (取得に際しての利用目的の通知等)
1.個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
法律上、個人情報の取り扱いについては、①あらかじめ公表すること、または、②本人に対して直接通知すること、が定められているわけですが、企業等が個別にこれらに対応するのは手間とコストがかかってしまいます。
そこで、プライバシーポリシーを作成して、ホームページなどに公表するのが一般的な選択だといえます。
なお、企業が個人データを保有している場合は、次のことが義務づけられています。
- ・請求があれば、その内容を本人に開示する。
- ・間違いが見つかったときに訂正に応じたりするための手続きを定めて、公表する。
プライバシーポリシーが必要なウェブサイトの具体例
たとえば、次の内容を有するウェブサイトにはプライバシーポリシーが必要になります。
- ① 商品や各種サービスの申込みや確認
- ② メルマガ等の配信登録
- ③ 会員制サイトへの登録や入会
- ④ 懸賞やクイズへの応募
- ⑤ カタログや資料の請求
- ⑥ メールによる問い合わせや照会、意見募集
- ⑦ イベントの参加申込み
- ⑧ 施設などの利用申込み
- ⑨ 電子会議室や掲示板
- ⑩ クッキーによるユーザー識別やアクセス情報の収集
- ⑪ その他(何らかの形で個人情報を収集するもの)
プライバシーポリシーと利用規約の違いについて
ウェブサイトに記載するものに「利用規約」があります。
利用規約の中にプライバシーポリシーを盛り込む場合もあるため混同されやすいのですが、この2つは目的や根拠が違うものであることを理解しておく必要があります。
利用規約というのは、事業者(サービス提供者)が提供するサービスについて、利用者(ユーザー)が利用する際のルールを記載したもので、民法上の「定型約款」に該当する場合が多いといえます。
サービス提供者には利用規約を作成する義務はありませんが、利用規約は契約の一部となるため、サービス利用の前に利用規約を表示して、利用者(ユーザー)に同意を求めるのが一般的です。
特に不特定多数の利用者を対象にサービスを提供する場合には、統一的なルールを利用規約に定めておくことで、契約締結の手続きを簡易に、素早くでき、管理しやすくできます。
一方、プライバシーポリシーは基本的に公表をすればいいものであるため、個人データの第三者提供等を除いて、個人情報の取得方法や利用目的についてユーザーの同意を得ることは求められていません。
・利用規約の作り方と注意点
企業が直面するプライバシーポリシーに関わる重大な問題とは?
2015(平成27)年に、個人情報保護法が改正されており、さまざまなポイントが変更されています。
企業等が改正以前に作成したプライバシーポリシーをまだ使用、掲載していたり、正確に理解しきれていない場合は今後、大きなリスクとなる可能性があります。
企業等が改正以前に作成したプライバシーポリシーをまだ使用、掲載していたり、正確に理解しきれていない場合は今後、大きなリスクとなる可能性があります。
個人情報を扱う人数の制限が撤廃された
以前は、5,000人分を超える個人情報を取り扱っている企業が個人情報保護法の適用を受けていました。
しかし改正後は、この人数の限定が撤廃されたため、個人情報を取り扱う企業はほとんどすべて、個人情報保護法が適用されるようになっています。
個人情報の定義が変更された
個人情報保護法の改正により、「生存する個人に関する情報であって、個人識別符号が含まれるもの」が個人情報として定義されることになっています。
たとえば、運転免許証やパスポートの番号、マイナンバー、指紋認識データなどが該当します。
本人の同意がない個人データの第三者提供は禁止
以前は、本人の同意がなくても一定のルールのもとであれば、「個人データの第三者提供」が認められていましたが、改正後は個人情報保護委員会への届出をしない限り、原則として、本人の同意なく個人データを第三者に提供することができなくなっています。
【参考資料】:個人情報保護委員会について(個人情報保護委員会)
ただし、次の4つの例外があります(第23条1項) 。
- ① 法令に基づく場合
- ② 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- ③ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
- ④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
個人情報を第三者に提供する場合のルールが新設
自社が保有する個人情報(データ)を第三者に提供する場合のルールが新たに追加されています。
- ① 「第三者提供をした年月日」や「提供先の氏名、名称」などは記録を作成し、一定期間保存する。
- ② 「提供元の氏名・名称・代表者名」や「提供元が個人データを取得した経緯」などは、提供元に確認して記録し、一定期間保存する。
- ③ 個人データの提供先が、②に基づいて個人データを取得した経緯について提供元に確認した際に提供元が虚偽の説明をした場合、提供元に対する罰金刑が規定された。
このように、個人情報の定義が変更されているので、プライバシーポリシーを変更しておく必要があるのです。
【参考資料】:「個人情報の保護に関する法律についてのガイドライン」及び 「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(個人情報保護委員会)
プライバシーポリシーを作成する際に注意するべき4つのポイント
個人情報の利用目的をできるだけ特定する
個人情報保護法では、個人情報取扱事業者は、個人情報の利用目的をできる限り特定しなければならない、と規定しています(第15条1項) 。
「利用目的の特定」の趣旨は、次のようなことにあります。
・できるだけ具体的に明確にすることにより、個人情報が取り扱われる範囲を確定するとともに、本人の予測を可能とすること。
そのため、本人から得た情報から、本人に関する行動や関心などの情報を分析する場合は、個人情報取扱事業者はどのような取扱いが行なわれているか、本人が予測し想定できる程度に利用目的を特定しなければなりません。
たとえば、「お客様のサービスの向上」のような抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解されていることに注意が必要です。
【参考資料】:個人情報取扱事業者は、個人情報の利用目的を「できる限り特定しなければならない」とされていますが、どの程度まで特定する必要がありますか。(個人情報保護委員会)
プライバシーポリシーに記載するべき事項について
プライバシーポリシーには定型のものはありませんが、概ね次のような事項を記載します。
- ① 個人情報取り扱いに関する基本方針
- ② 個人情報の定義や範囲
- ③ 個人情報の取得方法
- ④ 個人情報の利用目的
- ⑤ 個人情報の管理方法・安全確保の措置
- ⑥ 個人データの共同利用について
- ⑦ 個人情報の提供の制限
- ⑧ 適用範囲
- ⑨ 個人データの第三者提供について
- ⑩ 個人データの開示や訂正等の手続きについて
- ⑪ プライバシーポリシーの変更
- ⑫ 個人情報の取扱いに関する相談や苦情の連絡先
- ⑬ SSLセキュリティについて
- ⑭ Cookie(クッキー)について など
【参考資料】:プライバシーポリシー(政府広報オンライン)
- ・通常は、プライバシーポリシーの策定の目的などを「前文」として記載します。
- ・個人情報の「定義」は、各企業が取得する個人情報について記します。
- ・個人情報の「取得・利用目的」は、できる限り具体的に特定しておく必要があります。
プライバシーポリシーはどこに設置するべきか?
プライバシーポリシーは、ユーザーがサービスの利用を開始する前にその内容を確認できるようにするべきです。
そのためには、アプリケーションの初回起動時やサービスの初回登録時にユーザーが確認できる場所に設置し、提示しておくようにしておくのがいいでしょう。
また、ウェブサイトのわかりやすい場所にも設置しておき、ユーザーがいつでも確認できるようにしておくことも大切です。
プライバシーポリシーには定期的な変更が必要
プライバシーポリシーは、一度作成すればOKとはせずに、定期的に見直しをすることも大切です。
たとえば、会社の事業内容が変化していくことはあることで、それにともない個人情報の種類や利用目的も変化していく可能性があるからです。
また、法律の改正が行われる可能性もあり、その場合はプライバシーポリシーも変更する必要があります。
変化に合わせて、柔軟にプライバシーポリシーを変更していくことも大切なのです。
プライバシーポリシーを作成する際は弁護士に相談してください!
プライバシーポリシーを作成していない、守れていない企業等は、消費者からクレームを受けたり、ネット上で炎上が起きてしまう可能性があります。
その結果、企業の信頼度が低下して業績悪化、存続の危機という事態に直面してしまうリスクを抱えてしまうことになりかねません。
しかし、ここまで見てきたように、個人情報保護法の内容は複雑で、単純に判断できない部分があります。
そのため、プライバシーポリシーの作成や変更を確実に行なうためには、個人情報保護法に詳しい弁護士に相談・依頼されることをおすすめしています。
なお、契約書などの法的な書類・書面作成や、会社が直面するさまざまなトラブルに迅速に対応するためには、顧問弁護士をもっておくと安心です。
顧問弁護士をもつと得られる12のメリット
いつでも気軽に相談できる!
- ・会社や経営者自身が抱える法的な問題について気軽に(電話やメールでも)、いつでも相談できる。
- ・法的な問題について、必要な時に継続的・優先的に相談できる。
- ・法的トラブルが実際に起きた場合は緊急性を的確に判断し、素早く解決してくれる。
トラブルの予防・リスクの軽減
- ・法的トラブルを未然に防ぐことができ、リスクを抑えることができる。
- ・経営者が気づきにくい会社の問題点の指摘・改善ができる
経費・労力の削減
- ・弁護士を探して依頼する手間やコストを削減できる。
- ・社内に法務部を設置するコストをカットできる。
- ・通常の法律相談や簡単な書類(契約書)作成は無料になる場合がある。
- ・訴訟に発展した場合などの弁護士報酬は割引になる場合も多い。
社長のニーズに合ったサービスを提供
- ・自社が必要とする法務サービスを受けることができる。
- ・法改正など最新の情報・知識を提供してもらえる。
- ・相手方にプレッシャーをかけることもできる。 など
・顧問弁護士とは?|費用や相場・メリットについて
弁護士法人みらい総合法律事務所では随時、無料相談を行なっています。(※事案によるので、まずはお問い合わせください)
顧問弁護士についてのご相談も、いつでもお受けしていますので、まずは一度、気軽にご連絡いただければと思います。
関連記事
-
労務関連書式集を無料ダウンロードできます
弁護士監修 全60種類 休業・労働時間・就業規則・懲戒・休職・採用・雇用
派遣・給与・交通費・保険・育児介護・解雇・退職・出向無料ダウンロードはこちら
無料進呈
(114ページ小冊子)
労働関連書式
無料ダウンロード
ご挨拶
出版物のご紹介
