お問い合わせ

プライバシーポリシーの書き方における3つのポイントを弁護士が解説

2021.04.27

はじめに

個人情報を取り扱うサービスでは、「プライバシーポリシー」を作成することが必要になってきます。

とはいえ、どのようなことを定める必要があるのか、決まった書き方はあるのかなど、多くの疑問が障害となって後回しになっている事業者もいらっしゃるのではないでしょうか。

ネット上に転がっている雛形をそのまま利用するといったケースも見受けられますが、内容に不足があったり、内容が不正確になっていたりする雛形も数多く存在します。

そのため、場合によっては、ユーザーとのトラブルやサービスの炎上を招くおそれすらあるのです。

今回は、プライバシーポリシーの適切な書き方について、弁護士が解説します。

この記事を執筆したのは

弁護士 勝部 泰之
弁護士・中小企業診断士 勝部 泰之
東京弁護士会 所属
注力:知的財産権・著作権/ライセンス、ブロックチェーン、データ・AI法務
GWU Law LL.M.(知的財産法)
事業の成長とリスクを両立する実務寄りの助言に注力しています。
詳しいプロフィールはこちら

1 プライバシーポリシーとは

プライバシーポリシー」とは、プライバシーに関する情報(個人情報など)の取扱方針を定めた文書のことをいいます。
具体的には、どのような情報を収集して、その収集した情報をどのように利用するかをプライバシーポリシーで定めます。

何らかのサービスを利用する場合に、「プライバシーポリシー」という表記を見たことがあるという方は多いと思います。

現在では、一つの事業者が複数のサービスを提供するケースも少なくありませんが、個人情報の取扱いはサービスの内容によって異なります。
そのため、プライバシーポリシーは、サービスごとに設けることが一般的です。

※プライバシーポリシーがなぜ必要となるかについては、「プライバシーポリシーの必要性と定めるべき5つの事項を弁護士が解説」をご覧ください。

2 プライバシーポリシーの書き方

プライバシーポリシーに決まった書き方はありませんが、以下の事項は必ず記載しておくことが必要です。
これらの事項は、個人情報保護法により事業者が公表することを義務付けられているためです。

  1. 利用目的
  2. 第三者提供
  3. 個人情報の開示・訂正等の手続き

3 利用目的

個人情報の利用目的について、個人情報保護法は以下のように定めています。

    • 【個人情報保護法18条1項】
    個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない

このように、個人情報を取得する場合、事業者は事前に利用目的を公表している場合を除いては、その利用目的を本人に通知又は公表する必要があります。
本人にとって、自己の個人情報がどのようなことに利用されるのかがハッキリしていないと、それだけで不安になってしまいます。

利用目的は、本人に通知する方法でも構いませんが、ユーザーが多くなればなるほど、その方法は現実的ではありません。
そのため、プライバシーポリシーによって、利用目的を公表することが一般的になっているのです。

また、ここでいう「利用目的」は、できるかぎり特定されていなければならないとされています。あまりに抽象的な定め方にすると、利用目的を特定しているとはいえず、ユーザーとのトラブルを招く要因になります。

事業者は利用目的として定めた範囲内でしか、個人情報を利用することはできないため、想定される利用範囲を検討したうえで、できるだけ具体的に利用目的を特定する必要があるのです。

4 第三者提供

第三者提供」とは、検索可能な状態でデータベース化された個人情報(個人データ)を第三者に開示することをいいます。

個人データは、原則として、本人の同意がなければ第三者に提供することはできません。

もっとも、本人の要求に応じて第三者提供を停止する場合は、例外的に、本人の同意を得ることなく第三者提供することが可能です(オプトアウト)。

オプトアウトによる第三者提供を行う場合について、個人情報保護法は以下のように定めています。

    • 【個人情報保護法23条2項】
    個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる

ここでいう「次に掲げる事項」とは、以下の5つの事項を指します。

  • 第三者提供を利用目的とする旨
  • 第三者提供に供される個人データの項目
  • 第三者提供の方法
  • 本人の要求に応じて個人データの第三者提供を停止する旨
  • 本人の要求を受け付ける方法

第三者提供の場合、利用目的の場合とは異なり、上記事項を本人に通知するか、又は「本人が容易に知り得る状態に置く」ことが必要です。
後者を満たす方法として、プライバシーポリシーが用いられているということになります。

※個人情報の第三者提供について詳しく知りたい方は、「個人情報の第三者提供とは?事業者が知るべき4つのポイントを解説!」をご覧ください。

5 個人情報の開示・訂正等の手続き

自己の個人情報に関し、本人から以下の請求があった場合、事業者は原則として、その求めに応じなければなりません。

  • 保有個人データの開示
  • 保有個人データの訂正
  • 保有個人データの利用停止

ここでいう「保有個人データ」とは、事業者が、開示や内容の訂正、利用の停止などを行うことのできる権限を有する個人データのことをいいます。

プライバシーポリシーには、本人から上記請求を受けた場合、その求めに応じる旨を定めておくことが必要です。

6 まとめ

現代社会において、個人情報は重要度の高い情報のうちの一つです。
しっかりとしたプライバシーポリシーを設けることにより、サービスへの信頼確保にも繋がります。

今回は、3点に絞って見てきましたが、プライバシーポリシーには、このほかにも定めておくべき事項があります。
サービスの内容などに応じて、適切なプライバシーポリシーを作成するようにしましょう。

弊所は、ビジネスモデルのブラッシュアップから法規制に関するリーガルチェック、プライバシーポリシーや利用規約等の作成等にも対応しております。
弊所サービスの詳細や見積もり等についてご不明点がありましたら、ぜひお気軽にお問い合わせください。

この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。

IT・EC・金融(暗号資産・資金決済・投資業)分野を中心に、スタートアップから中小企業、上場企業までの「社長の懐刀」として、契約・規約整備、事業スキーム設計、当局対応まで一気通貫でサポートしています。 法律とビジネス、データサイエンスの視点を掛け合わせ、現場の意思決定を実務的に支えることを重視しています。 【経歴】 2006年 弁護士登録。複数の法律事務所で、訴訟・紛争案件を中心に企業法務を担当。 2015年~2016年 知的財産権法を専門とする米国ジョージ・ワシントン大学ロースクールに留学し、Intellectual Property Law LL.M. を取得。コンピューター・ソフトウェア産業における知的財産保護・契約法を研究。 2016年~2017年 証券会社の社内弁護士として、当時法制化が始まった仮想通貨交換業(現・暗号資産交換業)の法令遵守等責任者として登録申請業務に従事。 その後、独立し、海外大手企業を含む複数の暗号資産交換業者、金融商品取引業(投資顧問業)、資金決済関連事業者の顧問業務を担当。 2020年8月 トップコート国際法律事務所に参画し、スタートアップから上場企業まで幅広い事業の法律顧問として、IT・EC・フィンテック分野の契約・スキーム設計を手掛ける。 2023年5月 コネクテッドコマース株式会社 取締役CLO就任。EC・小売の現場とマーケティングに関わりながら、生成AIの活用も含めたコンサルティング業務に取り組む。 2025年2月 中小企業診断士試験合格。同年5月、中小企業診断士登録。 2025年9月 一橋大学大学院ソーシャル・データサイエンス研究科(博士前期課程)合格。

関連記事

目次
お問い合わせはこちら
お問い合わせはこちら