プライバシーポリシーとは
法令上、個人情報保護法やその他関連法規を見ても、プライバシーポリシーの定義はありません。一般的には「個人情報等の取得、利用、管理、提供、権利行使等の取り扱い方針を明文化したもの」といった説明がなされます。
本記事でも「プライバシーポリシー」という言葉を上記の意味で使うこととします。
プライバシーポリシーの意義
個人情報保護法において、プライバシーポリシーを策定する義務を規定しているわけではありませんが、実務上、同法を始めとする個人情報保護関連法規を遵守するための手段として、プライバシーポリシーは、策定・運用されています。また、プライバシーポリシーの主たる目的(機能)としては、以下のように、
①情報提供
②同意取得
にあると考えられています。
①利用目的等個人情報等の取扱いに関する情報提供
個人情報保護法上、個人情報取扱事業者は、個人情報等に関して、一定の情報を本人に通知・公表することが義務付けられています。また、業種によっては、業界のガイドライン、或いは個別の契約において、プライバシーポリシーの策定及び個人情報の記載・公表が求められることがあります。
個人情報保護法に基づいて本人に対する情報提供が必要な場合をまとめると以下の通りです。
【利用目的を通知又は公表する必要がある場合】
・個人情報を取得した場合
・本人から直接書面に記載された個人情報を取得する場合
・利用目的を変更した場合
【保有個人データに関して以下の情報を本人の知りうる状態に置く必要がある場合】
・個人情報取扱事業者の氏名・名称。住所及び(法人の場合)代表者の氏名
・保有個人データの利用目的
・保有個人データの開示等の請求に応じる手続
・保有個人データの安全管理の為に講じた措置
・保有個人データの取扱いに関する苦情の申出先
・認定個人情報保護団体の名称及び苦情解決の申出先
【個人データ等の第三者提供に関して、以下の場合には、一定の事項を本人に通知公表または本人が容易に知り得る状態に置く必要がある】
・オプトアウトを利用する場合
・共同利用を利用する場合
【匿名加工情報に関して、以下の場合には一定の事項を公表する必要がある場合】
・匿名加工情報を作成した場合
・匿名加工情報を第三者に提供する場合
・匿名加工情報の安全管理措置等(努力義務)
※商事法務「利用規約・プライバシーポリシーの作成・解釈」141頁より
②本人の同意取得
個人情報保護法に基づいて、本人の同意が必要な場合は以下の通りです。
・要配慮個人情報の登録
・利用目的の達成に必要な範囲を超えた個人情報の利用
・個人データの第三者提供
・個人関連情報の提供を受けて個人データの提供
※商事法務「利用規約・プライバシーポリシーの作成・解釈」143頁より
プライバシーポリシー作成時のポイント
個人情報の定義づけ
個人情報とは、個人情報保護法上、「生存する個人の情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)、または個人符号が含まれるもの」と定められています(法2条1項)。
細かい法令上の定義はさておき、プライバシーポリシーにおいては、上記個人情報保護法の理解を前提に、どのような情報を個人情報として扱うのかを具体的に明記する必要があります。
具体的には、以下に掲げる情報が含まれるデータは個人情報として扱わなければいけません。(通則ガイドライン2-1)
1.氏名
2.生年月日、連絡先(住所、電話番号、メールアドレス)、会社における職位または所属に関する情報について、それらと本人の氏名を組み合わせた情報
3.防犯カメラに記録された情報等本人が判別できる映像情報
4.本人の氏名が含まれる等の理由により、特定の個人を識別できる音声録音情報
5.特定の個人を識別できるメールアドレス(kojin_ichiro@example.com等のようにメールアドレスだけの情報の場合であっても、example社に所属するコジンイチロウのメールアドレスであることがわかるような場合等)
6.個人情報を取得後に当該情報に付加された個人に関する情報(取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、または照合された結果、生存する特定の個人を識別できる場合は、その時点で個人情報に該当します)
7.官報、電話帳、職員録、法定開示書類(有価証券報告書等)、新聞、ホームページ、SNS(ソーシャル・ネットワーク・サービス)等で公にされている特定の個人を識別できる情報
サービスにおける個人情報の利用目的の明確化
1.個人情報保護法において、「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない」とされています(17条1項)。
2.さらに、ガイドラインでは、抽象的一般的な特定では足りず、どのような目的で利用されるのか、本人が想定できる程度に具体的に特定して記載しなければならないとされています。
ガイドラインでは、以下のような例が示されています。
【具体的に利用目的を特定している事例】
事例) 事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するに当たり、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」等の利用目的を明示している場合
【具体的に利用目的を特定していない事例】
事例1)「事業活動に用いるため」
事例2)「マーケティング活動に用いるため」
プライバシーポリシーに記載すべき項目
一般的な項目としては以下の通りです。
- 事業者に関する基本情報
- 対象の情報の特定
- 取得する情報の項目及び取得方法
- 利用目的
- 第三者提供について(要否等)
- 個人関連情報の第三者からの取得
- 安全管理措置に関する公表
- 開示等請求を受け付ける方法
- 問合せ窓口
- 仮名加工情報・匿名加工情報について
- ポリシー変更
- 情報収集モジュール等に関する事項
- 情報解析ツール等に関する事項
例えば、Googleアナリティクスをウェブサイトに設定している場合、その旨をプライバシーポリシーに記載し、Googleアナリティクスの利用規約及びGoogleのプライバシーポリシーのリンクを設置するよう、Googleアナリティクスの利用規約に記載がされています。
プライバシーポリシーの修正をする場合
プライバシーポリシーの変更を想定して、「・・随時、変更する場合があり、その場合、本ウェブサイト上に掲載します」といった内容を記載しておくことが通例です。
ただし、個人情報保護法17条2項で、利用目的の変更は、「変更前の利用目的と関連性を有すると合理的に認められる範囲」に限られるとされています。無制限に変更できるわけではないのでご注意ください。
プライバシーポリシーの掲載場所の注意点
HP等オンラインでの掲載を前提にお話しますと、以下のような方法が考えられます。
1.プライバシーポリシーの全文またはリンクを表示し、ポリシーの内容に同意する場合にはチェックボックスにチェックをしてもらえると、次のページに進むボタンを押せるように設定する
2.プライバシーポリシーの全文を表示して、下まで全文を表示しないとチェックボックスにチェックできない設定にする
3.チェックボックスは設けず、次のページに進むボタンの付近に目立つようにプライバシーポリシーのリンクボタンを設置する
掲載場所は、トップページから1回程度の操作で到達できる場所に継続的に掲載しておくことが望ましいとされています。
また、法的に問題がなくとも、昨今の個人情報保護の重要性が高まっている風潮を考えると、可能な限りで目立つ且つわかりやすいようにプライバシーポリシーの全文が確認できるようにしておくことが望ましいでしょう。
事業分野別の個人情報ガイドラインについて
事業分野によっては、各所管官庁が、別個にガイドラインを定めている場合があります。当該事業を行う個人情報取扱事業者は、当該ガイドラインも遵守する必要があります。
金融ガイドライン、信用ガイドライン、医療介護ガイドライン、電気通信ガイドライン、放送ガイドライン、債権管理ガイドライン、郵便ガイドラインなどです。
ご自身の事業がこれらに該当すると思われる場合は、当該ガイドラインの適用の有無を確認しておく必要があります。
プライバシーポリシーに関するお悩みは弁護士法人なかま法律事務所へ
当事務所では利用規約・プライバシーポリシーの作成・リーガルチェックに関するご相談への対応を行っております。規約をしっかりと整備をしていただくことで、リスク回避のみではなく事業を有利に進めていくための対策ができます。まずはお気軽にお問合せください。