個人情報保護法では、個人情報を取り扱う事業者に対し、個人情報を安全かつ適正に取り扱うためのさまざまなルールを定めています。
事業者が個人情報を利用する際には、原則として本人の同意が必要です。そのため、個人情報を取り扱う多くの企業ではプライバシーポリシーを制定し、個人情報の取り扱いについての方針を公表しています。
では、プライバシーポリシーを作成する際に記載しなければいけない事項にはどのようなものがあるのでしょうか。この記事では、プライバシーポリシーの記載事項についてご説明します。
プライバシーポリシーとは?
プライバシーポリシーとは、個人情報保護方針とも呼ばれるもので、企業による顧客や従業員等の個人情報の取り扱い方針を定めた文書です。
2005年4月に全面施行された「個人情報保護法(個人情報の保護に関する法律)」に基づいて作成されるものであり、プライバシーポリシーでは個人情報の収集や活用、管理、保護等に関する取り扱いの方針が明文化されています。
(参考:公益社団法人日本広報協会)
個人情報とは?
プライバシーポリシーは、個人情報の取り扱いに関する方針を示したものですが、プライバシーポリシーを作成する際には、個人情報とはどのような情報を指すものなのかを理解しておかなければなりません。
個人情報とは、名前や生年月日、住所、顔写真などによって特定の個人を識別できる情報のことです。生年月日だけでは個人を特定することはできませんが、名前と生年月日を合わせると個人を特定できる場合もあるため、そのような情報は個人情報に該当します。
(参考:「個人情報保護法」を分かりやすく解説。個人情報の取扱いルールとは?|厚生労働省)
プライバシーポリシーの策定は義務化されている?
個人情報保護法では、プライバシーポリシーという言葉を用いて個人情報保護方針を定めることを義務付けているわけではありません。しかし、個人情報保護法では個人情報を取り扱う事業者は、予め利用目的を公表していない場合、個人情報を取得する際に利用目的を本人に通知しなければならないとしています。
したがって、個人情報保護法の義務を履行するためにはプライバシーポリシーを策定し、個人情報の取得目的などを予め公表しておく必要があるのです。
ただし、個人情報を収集するウェブサイトでは、直接ユーザーに個人情報の取得目的などを説明することはできません。そのため、ウェブサイト上でプライバシーポリシーの掲示が必要になるでしょう。
具体的には、会員登録が必要なサイトやオンラインショッピングができるサイト、イベントの申し込みを受け付けるサイト、資料請求ができるサイトなどが対象になります。
(参考:公益社団法人日本広報協会)
プライバシーポリシーと利用規約の違い
利用規約は、事業者が提供するサービスの利用ルールを定めた文書です。
ウェブサービスを利用する際には、利用規約に同意をしないと次のステップに進めない仕様になっているウェブサイトがあります。それは、利用規約に記載された事項に対して利用者から同意を得ると、利用規約の内容について契約が成立したものとみなせるようになるからです。
利用規約は、不特定多数のユーザーを同じルールで管理するために必要なものであり、法的拘束力をもつものです。一方、プライバシーポリシーとは個人情報の取り扱いについて、事業者が守るべき方針を明文化したものであり、法的な拘束力を持つものではありません。
プライバシーポリシーの役割
プライバシーポリシーは、必ず策定しなければならないものではありません。しかし、策定することで次のような役割を果たします。
個人情報保護法に対応する
プライバシーポリシーは、個人情報保護法が求める個人情報の利用目的の公表義務などに対応するものです。個人情報の取得に備え、予め、プライバシーポリシーを公表し、個人情報の利用目的などを開示することで個人情報保護法を遵守することができます。
また、個人情報保護法では、本人が個人データの開示や訂正、利用停止を本人が請求した場合、事業者は対応する義務があるとしています。この開示義務に応じるため、事業者は開示の請求先や請求に必要な手続きなどを公表しなければなりません。
ユーザーに安心感を与える
プライバシーポリシーによって、取得する個人情報の利用目的をユーザーに伝えることができれば、なぜ個人情報を取得するのか、ユーザーはその理由を明確に理解できるようになります。
プライバシーポリシーを策定し、公表することで、個人情報を厳密に扱う企業であるというイメージを与えられるとユーザーがサイトを利用する際にも、安心感を与えられるでしょう。
プライバシーマークの取得を可能にする
プライバシーマークとは、日本情報経済社会推進協会が「個人情報を適切に管理している」と認めた事業者に対し使用を許可しているマークです。プライバシーマークが掲載されていれば、ユーザーに対し個人情報を安全に取り扱っている企業であることをアピールできます。
プライバシーマークを取得するためには、プライバシーポリシーの策定が必要です。ユーザーにより安心してサービスを利用してもらうためには、プライバシーポリシーの策定だけでなく、プライバシーマークの取得も検討した方がよいでしょう。
プライバシーポリシーの記載事項とは?
プライバシーポリシーに記載しなければならない事項は、法律で定められているわけではありません。
しかしながら、個人情報保護法の義務を果たすために必要な項目は、プライバシーポリシーに含む必要があるでしょう。プライバシーポリシーには、一般的に次のような条項を記載することが多くなっています。
個人情報・個人データの定義
プライバシーポリシーでは個人情報や個人データといった言葉を用います。そのため、個人情報や個人データがどのようなものを指すのか、言葉の定義を示すとよいでしょう。
個人情報とは氏名、生年月日等個人を特定できる情報のことですが、個人データとは個人情報データベースなどを構成する個人情報のことです。簡単に検索ができる状態で保管されている個人情報を個人データといいます。
(参考:「個人情報」「個人データ」「保有個人データ」とは|個人情報保護委員会)
事業者の名称、所在地、法人代表者名
個人情報を取り扱う事業者の名称や住所、代表者の氏名も本人に公表しなければならない情報です。
個人情報の取得方法
個人情報をどのような方法で取得するのか、具体的な取得方法を明記します。また、個人情報保護法では、不正な手段で個人情報を取得してはならないとされており、法令に則り、適切な手段で個人情報を取得する旨も記載することが大切です。
個人情報の利用目的
個人情報保護法では、個人情報の利用目的を予め公表していない場合、本人に速やかに個人情報の利用目的について通知しなければならないと定めています。したがって、プライバシーポリシーを策定する際には、必ず個人情報の利用目的を記載するようにしましょう。
また、個人情報保護委員会が作成したガイドラインでは、どのような事業で、どのような目的で個人情報を利用されるのか、ユーザー本人が具体的に特定できるようにすることが望ましいと示しています。
そのため、利用目的を記載する際には、どの事業において、何のために利用するか具体的に記載するようにしましょう。
(参考:個人情報の保護に関する法律|法令リード)
個人情報を安全に管理するための措置
事業者は、個人データを漏洩・紛失しないよう、安全に管理する措置を取らなければなりません。また、保有個人データの安全管理のために講じた措置については、本人に公表しなければならない事項にも該当するため、プライバシーポリシーに記載する必要があります。
前述のガイドラインでは、講ずべき安全管理措置として組織体制の整備、従業員の教育、物理的な安全管理措置などを挙げています。自社の状況にあわせ、個人情報を安全に管理するために実施している、または実施した措置について、具体的に記載するようにしましょう。
個人データの共同利用について
企業によっては、取得した個人データをグループ会社などと共同で利用する場合もあるでしょう。そのような場合は、個人データの共同利用をすること、共同で利用する個人データの項目、共同利用する事業者の範囲、責任者の氏名または名称などを本人に通知または公表しなければなりません。
共同利用の予定がない場合には、プライバシーポリシーにこの項目を記載する必要はありません。
(参考:個人情報の保護に関する法律についてのガイドライン(通則編)|個人情報保護委員会)
個人データの第三者提供について
個人情報保護法では、法令に基づく場合や人の生命や身体、財産の保護のために必要があるときなど、本人の同意を得ずに個人情報を第三者に提供できるケースを定めています。しかし、法律で定められている事由以外では、本人の同意を得ることなく、第三者への個人データの提供は認められていません。
そのため、第三者に個人データを提供する可能性がある場合は、プライバシーポリシーにその旨を記載しなければなりません。
また、個人データを提供する第三者の具体名や個人データの提供方法、提供する個人データの項目、本人の求めがあれば第三者への個人データの提供は停止すること、本人の求めを受け付ける方法などについても記載しましょう。
個人データの開示、訂正、利用停止、削除等の手続きについて
事業者は、本人から請求があったときは、保有している個人データの内容の開示や訂正、利用停止、削除などの要望に応じなければなりません。プライバシーポリシーには窓口となる個人情報取扱責任者の氏名や連絡先、手続きの方法などを記載します。
また、開示に当たって手数料が必要になる場合は手数料についても明記しておきましょう。個人データの開示手続きは、原則として電磁的記録の提供による方法、書面の交付による方法、その他の事業者が独自に定める方法の中から本人が選択した方法で開示しなければなりません。
個人情報の取り扱いに関する相談や苦情の連絡先
個人情報保護法では、個人データの取り扱いに対する苦情の申し出先を明確に示しておかなければなりません。
そのため、プライバシーポリシーには個人情報の取り扱いに関する相談や苦情の窓口として、担当者名や連絡先などを記載するようにしましょう。
セキュリティとCookieについて
ウェブサイトで個人情報を取得する場合、ウェブサイトがSSLに対応しているようであれば、個人情報を自動的に暗号化し、安全に通信している旨も記載します。ただし、個人情報をウェブサイト上で取得しない場合は記載する必要はありません。
個人情報を同意なく第三者に提供できるオプトアウトとは?
個人情報保護法では、本人から請求があれば個人情報の第三者への提供を停止することを前提に、第三者に提供する個人情報の項目を公表しておくことで、本人の同意がない場合でも第三者に個人データを提供できるという規定が設けられています。
この規定をオプトアウト方式と言います。オプトアウト方式により、第三者に個人データを提供する場合には、必要な情報の公表に加え、個人情報保護委員会に事前に届出を行う必要があります。
(参考:オプトアウト規定による第三者提供の届出|個人情報保護委員会)
届出・公表が必要な事項
オプトアウト方式で個人データを第三者に提供する場合に、個人情報保護委員会への届出と公表が必要な事項は次のとおりです。
- 個人データを第三者に提供しようとする者の氏名又は名称、住所、法人等の代表者の氏名
- 第三者への提供を利用目的とすること
- 第三者に提供される個人データの項目
- 第三者に提供される個人データの取得方法
- 第三者への提供方法
- 本人の求めに応じて第三者への提供を停止すること
- 本人の求めを受け付ける方法
- その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
・第三者に提供される個人データの更新方法
・個人データの第三者への提供を開始する予定日
(参考:オプトアウト規定による個人データの第三者提供の届出(オプトアウト届出)について|個人情報保護委員会)
プライバシーポリシーを理解し、正しく記載しよう
プライバシーポリシーは、個人情報の取り扱い方針をまとめた文書です。個人情報を取得、また、利用する際には、個人情報を取得する目的を本人に通知しなければなりません。
そのため多くの企業では、プライバシーポリシーを制定し、個人情報を取得する目的について公表しているのです。
また、個人情報は本人の同意を得ず、第三者に提供したり、グループ会社等と共同利用することも禁じられています。
そのため、グループ会社や第三者に個人データを提供する可能性がある場合は、プライバシーポリシーの記載事項に第三者提供と共同利用についての項目も含まなければならない点に注意しましょう。
