06-6539-8587
こんにちは。咲くやこの花法律事務所弁護士の西川暢春です。
プライバシーポリシーの作り方がわからなくて困っていませんか?
インターネットで広告を出すためとか、取引先からプライバシーポリシーの提示を求められたからとか、作るきっかけは様々だと思います。
面倒くさくてひな形を使って適当に作ってしまおうという方もいるかもしれません。しかし、プライバシーポリシーを、安易にひな形を利用して作成することは危険です。
例えば、プライバシーポリシーには個人情報の利用目的を記載しますが、十分に検討せずに記載した結果、あとでプライバシーポリシーに記載した利用目的以外の目的で個人情報を利用する必要が出てきて、困ることがよくあります。
場合によっては、これまで取得した顧客情報を、自社で思うように利用できなくなり、事業に重大な支障を生じることもあります。
このようなことがないように、プライバシーポリシーは十分検討したうえで自社の実情にあったものを作成することが必要です。
今回は、プライバシーポリシーの正しい作り方について、弁護士がわかりやすく解説します。
※令和3年8月15日に、令和2年個人情報保護法改正の内容を踏まえて記事内容を追記、修正しました。令和2年個人情報保護法改正は令和4年4月に施行されます。改正の内容は以下をご参照ください。
▶参考情報:個人情報保護委員会「令和2年改正個人情報保護法(令和4年4月施行)について」
平成31年にはTカードの個人情報が捜査機関に任意に提供されていたことが大きなニュースになりました。また、令和元年には、就職情報サイト「リクナビ」が、就活生の内定辞退率の予測データを就職予定先に提供していたことがわかり大きな問題となりました。さらに、令和3年には、通信アプリ大手「LINE」の利用者情報が業務委託先の中国企業で閲覧可能となっていたことが報道されました。
これらのニュースを受けて、利用者や一般ユーザーのプライバシーポリシーへの関心は年々高まっています。プライバシーポリシーは、事業者が思う以上に見られていることを意識して作成していくことが必要です。
あわせて、令和2年個人情報保護法改正(令和4年4月施行)に伴い、多くの会社で、改正法に対応したプライバシーポリシーの変更が必要になります。この記事でも解説しきれない会社ごとのリスクがあるため、弁護士に作成をご依頼いただくことをおすすめします。
▶【動画で解説】西川弁護士が「プライバシーポリシーとは?必要な理由と作り方【令和4年4月改正を反映しています】」について詳しく解説中!
▼プライバシーポリシーの作り方に関して今スグ相談したい方は、以下よりお気軽にお問い合わせ下さい。
今回の記事で書かれている要点(目次)
1,プライバシーポリシーを作成する前に個人情報の洗い出しが必要
プライバシーポリシーとは、企業が自社における個人情報の利用目的や管理方法を文章にまとめて公表したものをいいます。
最初にプライバシーポリシーについての基礎知識を知りたい方は、以下の記事を参考にご覧ください。
プライバシーポリシーを作るためには、まず、自社がどのような個人情報を保有しているかを洗い出すことが必要です。
これは、プライバシーポリシーには、自社における個人情報の利用目的を記載することが必須になりますが、そもそもどのような種類の個人情報を保有しているかを把握しておかないと、その利用目的を記載することができないからです。
個人情報といっても、以下のようなさまざまなものがあります。
- 顧客や取引先担当者の情報
- 商談中あるいは営業中の見込み顧客の情報
- 従業員の情報
- 採用に応募してきた求職者の情報
これらの個人情報の種類によって、当然、その利用目的も違ってきます。
そのため、プライバシーポリシーを作成する前に、自社が保有している個人情報にどのようなものがあるのか、その種類を洗い出しておくことが必要になるのです。
2,雛形(ひな形)の利用は注意が必要!
プライバシーポリシーは自社の個人情報の利用方法を約束するものです。
安易にひな形を利用して作成すると、自社の個人情報の利用目的を網羅して記載することができていないという事態になる恐れがあります。
よく発生しがちなトラブルの例をあげると以下の通りです。
(1)プライバシーポリシーのひな形を利用することで発生する「よくあるトラブル事例」
事例1:
自社の顧客に対して、提携業者の商品、サービスを案内したところ、プライバシーポリシーでそのような利用目的が記載されていないとして顧客からクレームを受けてしまう。
事例2:
自社における顧客の購入履歴等を税務署や警察からの要請を受けて情報提供したところ、プライバシーポリシーでそのようなことが許容されていないとして顧客からクレームを受けてしまう。
事例3:
自社の防犯カメラの映像から得られる個人情報についてプライバシーポリシーで利用目的が記載されていないと指摘されクレームを受けてしまう。
事例4:
自社で電話をすべて録音しているが、録音データから得られる個人情報についてプライバシーポリシーで利用目的が記載されていないと指摘されクレームを受けてしまう。
事例5:
自社の顧客の個人情報をグループ会社間で共有し、グループ内他社からダイレクトメールを送ったところ、プライバシーポリシーでそのような利用目的が記載されていないとして顧客からクレームを受けてしまう。
これらの例からもわかるように、安易にひな形を利用してプライバシーポリシーを作成すると、自社における個人情報の利用目的や利用方法とプライバシーポリシーで約束した利用方法が一致しなくなってしまいます。
その結果、自社がプライバシーポリシーに違反してしまい、顧客やユーザーからクレームを受けてしまう結果になります。
ひな形は参考程度にして、自社における個人情報の利用目的、利用方法をきっちり確認し、洗い出したうえで、自社オリジナルのプライバシーポリシーを作ることが必要です。
3,プライバシーポリシーの記載事項13項目
プライバシーポリシーに書くべき一般的な記載事項は以下の通りです。
- (1)個人情報取り扱いに関する基本方針
- (2)定義
- (3)事業者の名称、住所、法人代表者氏名
- (4)個人情報の取得方法
- (5)個人情報の利用目的
- (6)個人データを安全に管理するためにとった措置の内容
- (7)個人データの共同利用について
- (8)個人データの第三者提供について
- (9)個人データの開示、訂正等の手続きについて
- (10)個人データの利用停止等について
- (11)個人情報の取扱いに関する相談や苦情の連絡先
- (12)SSLセキュリティについて
- (13)Cookie(クッキー)について
以下で順番に見ていきましょう。
3−1,個人情報取り扱いに関する基本方針
個人情報の重要性を会社として認識し、法令を遵守することなど、個人情報の取扱いをするうえでの自社の基本方針を記載します。
3−2,定義
プライバシーポリシーで使用する言葉の定義を記載します。
例えば、「個人情報」の定義を記載ししたり、「個人データ」の定義を記載します。
なお、「個人データ」とは、個人情報のうち、検索可能な方法で管理しているもの(例えばエクセルで一覧にしていたり、50音順の名簿で管理しているもの)をいいます(個人情報保護法第16条3項)。
「個人データ」は、個人情報の中でも保護の必要性が高いものとして、法律上、例えば本人の同意なく第三者に提供することが原則として禁止されるなど、「個人情報」より1ランク上の規制が適用されます。
3−3,事業者の名称、住所、法人代表者氏名
令和2年個人情報保護法改正(令和4年4月施行)により、個人情報取扱事業者が、本人の知りうる状態におかなければならない事項として、以下の項目が追加されました(個人情報保護法第32条1項1号)。
- 個人情報取扱事業者が個人の場合はその氏名と住所
- 個人情報取扱事業者が法人の場合は、法人名、住所、代表者氏名
これらの項目がプライバシーポリシーに入っていないときは追記しておきましょう。
3−4,個人情報の取得方法
個人情報保護法上、企業は「偽りその他不正の手段により個人情報を取得してはならない。」とされています(個人情報保護法第20条1項)。
これを踏まえて、自社においても個人情報を法令を遵守して適法に取得することを記載します。
3−5,利用目的
企業が個人情報を取得するときは、個人情報の利用目的を公表するか、または、本人に伝えることが義務付けられています(個人情報保護法第21条1項)。
そのため、プライバシーポリシーには、必ず個人情報の利用目的を記載してください。
前述した通り、個人情報の種類ごとに利用目的が違いますので、種類ごとに記載することが適切です。また、プライバシーポリシーに記載のある利用目的以外の利用はできないことが原則になります。
例えば、「商品の配送やアフターサービスのため」という利用目的で顧客から個人情報を取得した場合に、自社の商品についてのダイレクトメールを送付するためにその個人情報を利用することはできません。
そのため、利用目的は社内における個人情報の全ての利用を想定して、網羅的に記載するようにしてください。
3−6,個人データを安全に管理するためにとった措置の内容
企業には、その取り扱う個人データに漏えいや紛失などの問題が生じないように安全に管理するための措置をとることが義務付けられています(個人情報保護法第23条)。
令和2年個人情報保護法改正(令和4年4月施行)により、この「保有個人データの安全管理のために講じた措置」の内容が、「本人の知りうる状態におかなければならない事項」に追加されましたので、この点をプライバシーポリシーに追記する必要があります(個人情報保護法施行令第10条1項)。
例えば、保有個人データの安全管理のための従業員向け研修の実施や定期的な管理状況の点検、取扱規程の策定、不正アクセスから保護する仕組みの導入などといった、各企業の取り組みの内容を記載することになります。
この点については、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」を参考に、各企業の実情を踏まえて記載を検討することが必要です。
※個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」は以下をご参照ください。
3−7,個人データの共同利用について
グループ会社や提携先と個人データを共有して利用する場合は、個人データの共同利用について以下の項目を本人に通知するか、公表することが法律上義務付けられています(個人情報保護法第27条5項3号)。
- 個人データを共同利用すること
- 共同して利用される個人データの項目
- 共同して利用する事業者の範囲
- 責任者の氏名又は名称
そのため、グループ会社や提携先と個人データを共有して利用する場合は、これらの項目をプライバシーポリシーに記載します。
なお、個人情報の共同利用の予定がない場合は、この項目の記載の必要はありません。
3−8,個人データの第三者提供について
個人データを本人の同意なく第三者に提供することを予定している場合は、以下の項目を本人に通知するか、公表することが法律上義務付けられています(個人情報保護法第27条2項。または、個人情報保護委員会への届出も義務付けられています。)。
- 個人データを第三者に提供すること
- 第三者に提供する個人データの項目
- 第三者への提供の方法
- 本人の求めがあれば第三者への提供を停止すること
- 第三者への提供の停止についての本人の求めを受け付ける方法
ただし、平成27年9月の個人情報保護法の改正により、個人データを本人の同意なく第三者に提供する際には、個人情報保護委員会への届出が必要になっていますので注意してください。
平成27年9月の個人情報保護法改正に伴うプライバシーポリシーへの影響については、以下の記事で詳しく解説していますので、ご参照ください。
さらに、令和2年個人情報保護法改正(令和4年4月施行)により、自社が個人関連情報を第三者に提供する場合で、提供先が個人関連情報を個人データとして取得することが想定される場合には、提供先が個人データの本人の同意を得ているかをあらかじめ確認することが義務付けられました(個人情報保護法第29条1項)。
この点の対応についても必要に応じてプライバシーポリシーに追記することが適切です。
3−9,個人データの開示、訂正等の手続きについて
企業が個人データを保有しているときは、本人から請求があったときに保有している個人データの内容を本人に開示したり、個人データに間違いが見つかったときに訂正に応じたりするための手続きを定めて、公表することが義務付けられています(個人情報保護法第32条1項3号)。
さらに、令和2年個人情報保護法改正(令和4年4月施行)では、「個人データを自社が第三者に提供した際の記録」や「第三者から自社が提供を受けた際の記録」(第三者提供記録)についても開示手続きを定めることが義務付けられました(個人情報保護法第33条5項)。
そのため、これらの個人データの開示や訂正の手続き、第三者提供記録の開示手続きについて、プライバシーポリシーに記載します。
これらの開示手続きについては、令和2年個人情報保護法改正(令和4年4月施行)により、原則として「電磁的記録の提供による方法」と「書面の交付による方法」、「その他の事業者が独自に定める方法」の中から、本人が選択した方法で開示することが義務付けられました(個人情報保護法第33条1項、個人情報保護法規則第18条2号)。
そのため、例えば、これまで書面の交付による開示手続きのみを定めていた企業は、この法改正の対応として、他の方法による開示手続きもプライバシーポリシーに盛り込むことが必要です。
3−10,個人データの利用停止等について
本人が個人データの利用停止または消去を求める手続き等についてもプライバシーポリシーで定めることが必要です(個人情報保護法第32条1項3号)。
令和2年個人情報保護法改正(令和4年4月施行)により、本人が個人データの利用停止等を求めることができる場面が拡大されています(個人情報保護法第35条)。
プライバシーポリシーで利用停止等を求める手続きを定める場合も、この拡大に対応した記載にしておくことが必要です。
3−11,個人情報の取扱いに関する相談や苦情の連絡先
企業は個人データの取扱いに関する苦情の申し出先を「本人の知り得る状態におく」ことが法律上求められています(個人情報保護法第32条1項4号、個人情報保護法施行令第10条2号)。
そのため、苦情の申し出先として企業の連絡先をプライバシーポリシーに記載します。
3−12,SSLセキュリティについて
ウェブサイト経由で個人情報を取得することがあり、SSLを導入している場合は、プライバシーポリシーに記載することが一般的です。
これを記載することにより、Webサイト利用者の信頼を得ることにつながるためです。
なお、この項目はECサイト運営者などウェブサイト経由で個人情報を取得する企業が記載すべき項目であり、ウェブサイト経由で個人情報を取得しない場合は必要ありません。
3−13,Cookie(クッキー)について
ウェブサイトでCookie(クッキー)を利用する場合は、Cookie(クッキー)が利用者個人の身元を特定するものではないことをプライバシーポリシーに記載することが一般的です。
これを記載することにより、Webサイト利用者の不安を取り除くことにつながるためです。この項目もウェブサイトでCookieを利用するECサイト運営者などが記載すべき項目です。
以上が、プライバシーポリシーに書くべき一般的な記載事項になります。
プライバシーポリシーは正しい方法で作成しなければ、大きなトラブルの元にもなります。
作成時に不明点や不安点がございましたら、早めにプライバシーポリシーに精通した弁護士に相談するようにしましょう。
4,咲くやこの花法律事務所の弁護士なら「こんなサポートができます」
最後に、咲くやこの花法律事務所におけるプライバシーポリシーの整備についての企業向けサポート内容もご紹介しておきたいと思います。
咲くやこの花法律事務所では、プライバシーポリシーの作成や整備に関するご相談や令和2年個人情報保護法改正を踏まえたプライバシーポリシー改訂のご相談を企業の経営者、担当者の方から承っています。
企業ごとに個人情報の利用目的や利用方法が違いますので、プライバシーポリシーは、自社の実情に応じてオリジナルのものを作成することが必要です。
プライバシーポリシーを安易に作成して公表してしまうと、あとで自社が思うような個人情報の利用ができなくなり、事業に重大な支障が生じることがありますので十分注意してください。
咲くやこの花法律事務所では、プライバシーポリシーの作成に精通した弁護士が、企業内で保有している個人情報の種類の洗い出し、個人情報の利用目的の設定を行うことで、会社の実情にマッチしたプライバシーポリシーを作成することが可能です。
プライバシーポリシーの作成でお困りの場合はぜひご相談ください。
咲くやこの花法律事務所の個人情報に強い弁護士による弁護士費用例
●初回相談料:30分5000円+税(顧問契約の場合は無料)
●プライバシーポリシーの作成費用 5万円程度~
5,「咲くやこの花法律事務所」の弁護士へ問い合わせる方法
プライバシーポリシーの作成に関する相談は、下記から気軽にお問い合わせください。咲くやこの花法律事務所のIT関連に強い弁護士によるサポート内容については「IT(インターネット)に強い弁護士のサポート内容 」のページをご覧下さい。
また、今すぐの問い合わせは以下の「電話番号(受付時間 9:00〜23:00)」にお電話いただくか、メールフォームによるお問い合わせも受付していますので、お気軽にお問い合わせ下さい。
6,プライバシーポリシーに関連するお役立ち情報も配信中(メルマガ&YouTube)
プライバシーポリシーに関するお役立ち情報について、「咲くや企業法務.NET通信」のメルマガ配信や「咲くや企業法務.TV」のYouTubeチャンネルの方でも配信しております。
(1)無料メルマガ登録について
上記のバナーをクリックすると、メルマガ登録ページをご覧いただけます。
(2)YouTubeチャンネル登録について
上記のバナーをクリックすると、YouTubeチャンネルをご覧いただけます。
記事更新日:2021年09月03日
記事作成弁護士:咲くやこの花法律事務所 西川 暢春
