プライバシーポリシーを作成した方が良いと言われました。

 そもそもプライバシーポリシーとは、どのようなものでしょうか?
 なぜ、プライバシーポリシーを作成した方が良いのでしょうか?

 プライバシーポリシーとは、端的にいえば、事業者が個人情報の取扱いについて定めた指針のことをいいます。

 一般的には、「個人情報等の取得、利用、管理、提供、本人の権利行使等の取扱いの方針を明文化したもの」と説明されますが、明確に確立された定義はありません。

 個人情報保護法において、プライバシーポリシーを作成する義務自体は規定されていません。

 そのため、プライバシーポリシーを作成する意義は、法令上の義務というより、個人情報保護法、またはその関連法令の順守のための手段として理解するとよいと思います。

 プライバシーポリシーを活用するにあたっては、個人情報保護法上で公表等が義務付けられているものが盛り込まれているかどうか、また、プライバシーポリシーに同意してもらうことによって、公表等以外に個人情報保護法上の義務を履行するための手段として活用できるかどうか、という観点から内容をチェックするとよいでしょう。

【プライバシーポリシーが中小零細企業や個人事業主にとっても大切な理由】

 2015年の個人情報保護法改正により、従前は適用除外とされていた5,000人分以下の個人情報を取り扱う事業者も、個人情報取扱事業者となりました。

 つまり、法人だけでなく、個人事業主やNPO、自治会や町内会、PTA等も対象となり(営利・非営利の別なく対象となります)、ほとんどの事業者が個人情報取扱事業者となり、個人情報保護法の順守が求められるようになりました。
 この改正に伴い、より多くの民間企業、事業者にとって、個人情報保護法を順守するための手段としてプライバシーポリシーの策定、公表がなされるようになりました。

 ただ、具体的にどのような内容を定めて運用をしていくべきか、悩ましい問題と思います。
 そこで、中小零細企業や個人事業主でも最低限おさえておいて欲しいプライバシーポリシーのポイントを解説します。

第1 中小零細企業・個人事業主でもおさえたい、プライバシーポリシーの5つのポイント

 前述しましたように、プライバシーポリシーの作成・運用にあたっては、個人情報保護法を順守する手段として活用していく視点が大切です。
 インターネットでも沢山の雛形を検索できますが、各事業者によって事業内容や取引相手も異なりますので、各自に合わせた内容に修正を施すことはどうしても必要になります。

 その際に、注目して欲しい観点として、次の5つのポイントを挙げたいと思います。
 ただ漠然と条項を眺めるより、以下のように具体的な視点から分類していくと、把握しやすいと思います。

中小零細企業や個人事業主においても、最低限おさえたいプライバシーポリシーの5つのポイント。
中小零細企業や個人事業主でも最低限おさえたい5つのポイント

第2 プライバシーポリシーの作成・運用のポイント

1 個人情報を取得する

対象とする情報について

 個人情報保護法では、個人情報を「特定の個人を識別できる情報」(法2条)と捉えています。
 そのため、プライバシーポリシーにおいても、対象とする情報について、個人情報保護法の「個人情報」と同義に作成しても問題ありません。

 しかし、個人識別情報には該当しなくても、たとえばウェブサイトの閲覧履歴であったり、行動を把握できるGPSのログなど、プライバシーに深く関わり得る情報もあります。
 現在の個人情報等に対する社会の関心の高まりもあり、趨勢としては、個人情報保護法の個人情報にとどめず、パーソナルデータも対象としている事業者が多いように見受けられます。

 そのため、取得する個人情報を検討するにあたっては、その対象について、パーソナルデータをも含めて明示できないか検討をした方が良いです

取得する対象情報を検討する

パーソナルデータまでしっかり記載することで、取引相手に安心感を与えることができますね。

第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
 個人識別符号が含まれるもの

🔗「個人情報保護法」(e-Gov法令)

取得方法に留意すること

 個人情報を取得する際には、個人情報の取得時に、どのように本人から同意を取得すべきかを検討する必要があります。

 個人情報保護法のガイドラインにおいて、本人の同意が取得できている事例として、本人からの同意する旨の口頭による意思表示や本人からの同意する旨のメールの受信、本人による同意する旨のホームページ上のボタンのクリック等が挙げられています。

 そのため、プライバシーポリシーの条項においては、本人の積極的な行為によって同意を取得する方法となっているかを確認しましょう。

2 個人情報を利用する

利用目的はできる限り特定すること

 個人情報保護法は、利用目的を具体的に特定することを求めています。
 特定の程度としては、本人が自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・推定できることが必要とされています。

 そのため、利用目的の記載にあたっては、できる限り具体的に特定しましょう。
 下に記載してあるダメな例は、いずれも抽象的・一般的な内容となっていますので、利用目的をできる限り特定したことにはならないとされています。

× 特定していないとされる例〇 特定されていると考えられる例
・事業活動に用いるため
・お客様のサービス向上に利用するため
・マーケティング活動に用いるため
・○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのため
・お問い合わせ対応及びお客様へのご連絡のため
・取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のため

(利用目的の特定)
第17条
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

🔗「個人情報保護法」(e-Gov法令)

目的外利用に注意すること

 当然ながら、利用目的に記載されていない用途に、取得した個人情報を利用することはできません。
 たとえば、商品の発送のために顧客の氏名、住所等を取得した場合に、(利用目的として記載のない)新商品の宣伝PRのためにDMを発送することは目的外利用に該当します。

 そのため、利用目的は、事業活動において必要となるであろう場面を想定して、網羅的に記載するようにしてください。

 なお、目的外の利用をするため、事前の同意を得るために個人情報を利用すること(メールの送信や電話をかけること等)は、当初特定した利用目的として記載されていない場合でも、目的外利用には該当しません

3 個人情報を保管する

 個人情報取扱事業者には、その取り扱う個人データに漏えいや紛失などの問題が生じないように、安全に管理するための措置を講じなくてはなりません(個人情報保護法第23条)。

 そして、令和2年の施行令において、個人情報取扱事業者が保有個人データの安全管理のために講じた措置について、本人に周知すべき事項に追加されました

 この安全管理措置の手法の例として、①基本方針の策定、②個人データの取扱いに係る規律の整備、③組織的安全管理措置、④人的安全管理措置、⑤物理的安全管理措置、⑥技術的安全管理措置、⑦外的環境の把握、が挙げられています。

 今回の改正により、従来は「取り扱う個人データの漏えい、滅失または棄損の防止、その他個人データの安全管理のため、十分なセキュリティ対策を講じます」といった記載も見られましたが、今後はこのような記載だけでは、本人に通知する内容として不十分と言えます。

弁護士

プライバシーポリシーには、従来通りの「取り扱う個人データの漏えい、滅失または棄損の防止、その他個人データの安全管理のため、十分なセキュリティ対策を講じます」と概要を記載します。
その上で、本人からの問い合わせに備えて、プライバシーポリシーとは別途に安全管理措置の手法を記載したものを準備しておく、というのが現実的な対応になると考えます。

個人情報保護法との兼ね合いでは、各事業者も対応が必要となりました。
ただ、プライバシーポリシーとの関係では、必ずしも変更を迫られるわけではないですね。

 詳細は、🔗「個人情報の保護に関する法律についてのガイドライン(通則編)」の「10 (別添)講ずべき安全管理措置の内容」をご覧ください。

(安全管理措置)
第23条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

🔗「個人情報保護法」(e-Gov法令)

4 個人情報を他人に渡す

 個人データを第三者に提供できる場合として、①同意に基づく場合、②委託に伴う提供の場合、③共同利用の場合、が主に想定できます。

①同意に基づく場合

 取得した個人情報を第三者に提供する際には、本人からの同意が必要になります。

 そのため、個人情報を第三者に提供する場合には、プライバシーポリシーに明記しておきましょう(プライバシーポリシーに同意してもらうことが前提です)。
 なお、トレーサビリティ確保のため、第三者提供については、提供に関する記録の作成・保存義務も負いますので、注意しましょう(法29条)。

 第三者提供は、あまり活用されないと思われるかもしれませんが、マッチングサービスやオークションなどのCtoCなどで、ある程度情報を開示することが必要になることもありますので、ご留意ください。

 なお、外国にある第三者への個人データの提供には、同意を得るに際して、あらかじめ本人に対して参考となる情報を提供する義務が課されるなど、同意取得のハードルが相当高くなっていますので、ご注意ください。

②委託に伴う提供の場合

 個人情報保護法においては、個人情報取扱事業者が利用目的の達成に必要な範囲において、個人データの取扱いの全部または一部を委託する場合は、本人の同意を得ることなく、委託先へ個人情報を提供することを認めています(法27条5項1号)。

 委託の典型例は、データ分析を依頼する際、分析業者に対して個人データを提供する場合や、商品発送を委託する際に、配送業者に対して顧客の個人データを提供する場合が挙げられます。

 このような委託を利用する場合には、法律上の要請としては明示する必要はありません。

 しかし、取引先からの信頼を獲得することを考慮すると、利用目的の達成に必要な範囲で、個人情報の取扱いの全部または一部を委託する場合には、第三者に個人情報を提供する旨を、プライバシーポリシーに記載しておいた方がよいでしょう。

③共同利用の場合

 グループ会社や事業提携先、パートナー企業等、一定の関係性がある事業者同士であれば、法27条5項3号に記載されている事項をあらかじめ本人に通知、もしくは容易に知り得る状態に置いておけば、本人からの同意を得ずに、個人情報を提供することが許容されています。

 中小零細企業や個人事業主では、あまり検討することは多くないと思います。
 想定される場合として、ポイントカード制度において、加盟店を共同利用者として、ポイントカード運用主体との共同利用した事例があります。

 このような場合には、委託の場合と同様に、プライバシーポリシーに記載しておきましょう。

④(参考)オプトアウト方式

 個人情報保護法において、一定の要件を充たす代わりに本人からの明示的な同意を得ずに個人データを第三者提供できる手続が定められています。

 ただ、オプトアウト方式を採用するには、個人情報保護委員会に届け出る必要があり、通常の個人情報取扱事業者以上に、一層の法令順守が必要となります。

 主な対象者は、名簿業者とされていますので、それ以外の事業者にはほとんど関係のない制度と理解して差し支えないでしょう。

5 本人に個人情報の開示する

 個人情報保護法は、保有個人データについて、法に定める事項の公表等を行う義務、保有個人データの利用目的を通知する義務、保有個人データの開示、訂正、利用停止等の請求に対応する義務を個人情報取扱事業者に課しています(法32条~40条)。

 そのため、プライバシーポリシーにおいては、本人による申出であることを確認できる規定と共に、本人からの申出に対して対応するのに必要な事項を定めておきましょう。
 具体的には、以下の事項を記載しておくとよいと思います。

  • 開示等の請求等の申出先
  • 開示等の請求等に際して提出すべき書面の様式、その他開示等の請求等の方式
  • 開示等の請求等をする者が本人またはその代理人であることの確認の方法
  • 開示等をする際に徴収する手数料の徴収方法

6 まとめ

 以上の5つの観点からプライバシーポリシーを眺め、自社の事業に必要な形で適宜修正していけばよいと思います。
 ただ漠然と雛形を利用するより、見る角度を違えるだけでも、ポイントとなる点に気づくこともあるのではないでしょうか。

 できれば弁護士などの専門家の相談をお勧めしますが、まずはここに記載されている点を押さえるだけでも、不測の事態は避けられると思います。

第3 (参考)類似の規程

1 利用規約

 利用規約もプライバシーポリシーも、いずれもサービス提供に関する条件などを記載した文章です。

 そのため、利用規約の中にプライバシーポリシーを規定することも問題ありません

 ただ、個人情報の取扱いへの慎重さや、利用規約が事業者とユーザーの間に生じる問題を規定する性質の違いなどから、それぞれ別に定めて用意している事業者が多いです。

2 サイトポリシー

 サイトポリシーは、事業者のウェブサイトのユーザーに対して、ウェブサイトの利用にあたっての注意事項を定めたものです。

 主には、著作権や商標権、情報の正確性や最新性についてのお断りなどが記載されます。

3 個人情報取扱規程

 個人情報取扱規程は、事業者内において、役員や従業員が個人情報を取扱う社内ルールを定めるものになります。

 いわば、個人情報保護法の安全管理措置の一環になります。

4 セキュリティポリシー

 セキュリティポリシーは、社内において実施する情報セキュリティ対策の方針や行動指針をいいます。

5 個人情報保護方針、個人情報の取扱いについて、プライバシーノーティス

 これらはいずれも、ほぼプライバシーポリシーと同義に使われています(使い分けている事業者もいらっしゃいます)。

 プライバシーポリシーという言葉を使わずとも、これらの言葉を利用することも可能です。