お問い合わせ

プライバシーポリシーの書き方における3つのポイントを弁護士が解説

はじめに

個人情報を取り扱うサービスでは、「プライバシーポリシー」を作成することが必要になってきます。

とはいえ、どのようなことを定める必要があるのか、決まった書き方はあるのかなど、多くの疑問が障害となって後回しになっている事業者もいらっしゃるのではないでしょうか。

ネット上に転がっている雛形をそのまま利用するといったケースも見受けられますが、内容に不足があったり、内容が不正確になっていたりする雛形も数多く存在します。

そのため、場合によっては、ユーザーとのトラブルやサービスの炎上を招くおそれすらあるのです。

今回は、プライバシーポリシーの適切な書き方について、弁護士が解説します。

1 プライバシーポリシーとは

プライバシーポリシー」とは、プライバシーに関する情報(個人情報など)の取扱方針を定めた文書のことをいいます。
具体的には、どのような情報を収集して、その収集した情報をどのように利用するかをプライバシーポリシーで定めます。

何らかのサービスを利用する場合に、「プライバシーポリシー」という表記を見たことがあるという方は多いと思います。

現在では、一つの事業者が複数のサービスを提供するケースも少なくありませんが、個人情報の取扱いはサービスの内容によって異なります。
そのため、プライバシーポリシーは、サービスごとに設けることが一般的です。


※プライバシーポリシーがなぜ必要となるかについては、「プライバシーポリシーの必要性と定めるべき5つの事項を弁護士が解説」をご覧ください。

2 プライバシーポリシーの書き方

プライバシーポリシーに決まった書き方はありませんが、以下の事項は必ず記載しておくことが必要です。
これらの事項は、個人情報保護法により事業者が公表することを義務付けられているためです。

  1. 利用目的
  2. 第三者提供
  3. 個人情報の開示・訂正等の手続き

3 利用目的

個人情報の利用目的について、個人情報保護法は以下のように定めています。

    【個人情報保護法18条1項】

    個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない


このように、個人情報を取得する場合、事業者は事前に利用目的を公表している場合を除いては、その利用目的を本人に通知又は公表する必要があります。
本人にとって、自己の個人情報がどのようなことに利用されるのかがハッキリしていないと、それだけで不安になってしまいます。

利用目的は、本人に通知する方法でも構いませんが、ユーザーが多くなればなるほど、その方法は現実的ではありません。
そのため、プライバシーポリシーによって、利用目的を公表することが一般的になっているのです。

また、ここでいう「利用目的」は、できるかぎり特定されていなければならないとされています。あまりに抽象的な定め方にすると、利用目的を特定しているとはいえず、ユーザーとのトラブルを招く要因になります。

事業者は利用目的として定めた範囲内でしか、個人情報を利用することはできないため、想定される利用範囲を検討したうえで、できるだけ具体的に利用目的を特定する必要があるのです。

4 第三者提供

第三者提供」とは、検索可能な状態でデータベース化された個人情報(個人データ)を第三者に開示することをいいます。

個人データは、原則として、本人の同意がなければ第三者に提供することはできません。

もっとも、本人の要求に応じて第三者提供を停止する場合は、例外的に、本人の同意を得ることなく第三者提供することが可能です(オプトアウト)。

オプトアウトによる第三者提供を行う場合について、個人情報保護法は以下のように定めています。

    【個人情報保護法23条2項】

    個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる


ここでいう「次に掲げる事項」とは、以下の5つの事項を指します。

  • 第三者提供を利用目的とする旨
  • 第三者提供に供される個人データの項目
  • 第三者提供の方法
  • 本人の要求に応じて個人データの第三者提供を停止する旨
  • 本人の要求を受け付ける方法


第三者提供の場合、利用目的の場合とは異なり、上記事項を本人に通知するか、又は「本人が容易に知り得る状態に置く」ことが必要です。
後者を満たす方法として、プライバシーポリシーが用いられているということになります。


※個人情報の第三者提供について詳しく知りたい方は、「個人情報の第三者提供とは?事業者が知るべき4つのポイントを解説!」をご覧ください。

5 個人情報の開示・訂正等の手続き

自己の個人情報に関し、本人から以下の請求があった場合、事業者は原則として、その求めに応じなければなりません。

  • 保有個人データの開示
  • 保有個人データの訂正
  • 保有個人データの利用停止


ここでいう「保有個人データ」とは、事業者が、開示や内容の訂正、利用の停止などを行うことのできる権限を有する個人データのことをいいます。

プライバシーポリシーには、本人から上記請求を受けた場合、その求めに応じる旨を定めておくことが必要です。

6 まとめ

現代社会において、個人情報は重要度の高い情報のうちの一つです。
しっかりとしたプライバシーポリシーを設けることにより、サービスへの信頼確保にも繋がります。

今回は、3点に絞って見てきましたが、プライバシーポリシーには、このほかにも定めておくべき事項があります。
サービスの内容などに応じて、適切なプライバシーポリシーを作成するようにしましょう。

弊所は、ビジネスモデルのブラッシュアップから法規制に関するリーガルチェック、プライバシーポリシーや利用規約等の作成等にも対応しております。
弊所サービスの詳細や見積もり等についてご不明点がありましたら、ぜひお気軽にお問い合わせください。

この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。

弁護士(東京弁護士会)・中小企業診断士 GWU Law LL.M.〔IP〕/一橋大学ソーシャル・データサイエンス研究科(博士前期・2026年~) 金融規制、事業立上げ、KPI×リスク可視化を専門とする実務家×研究者のハイブリッド。

関連記事

目次