
はじめに
「プライバシーポリシー」の意義は、何となく理解しているものの、なぜ必要となるかを正確に理解している事業者は意外にも少ないかもしれません。
情報化社会において、個人情報といった情報は極めて重要な価値を有するものであるため、個人情報を取り扱う事業者は、きちんと情報を管理する必要があります。
そのため、個人情報を取り扱う事業者は、個人情報を適切に管理・利用などするために、一定の事項を本人などに公表することが義務付けられています。
実務においては、「プライバシーポリシー」という形で、公表されていることが多いといえます。
今回は、この「プライバシーポリシー」について、定めるべき事項や掲載方法などを弁護士がわかりやすく解説します。
目次
1 「プライバシーポリシー」とは
「プライバシーポリシー」とは、氏名・連絡先といった個人情報の取り扱いに関する方針を定めたものをいいます。「個人情報保護方針」と呼ばれることもあります。
※「プライバシーポリシー」について詳しく知りたい方は、「プライバシーポリシーとは?作成時の6つのチェックポイントを解説!」をご覧ください。
2 プライバシーポリシーは必要なのか?
結論、あなたはプライバシーポリシーを作成する必要があります。
これは個人情報保護法という法律に基づいて、サービスを運営するすべての事業者に課される公表義務を履行するために、多くの事業者が採っている方法です。
具体的には、取り扱う予定の個人情報の種類や、それをどのように取り扱う予定なのか?といった事項をプライバシーポリシーという形でまとめて、webサイトやアプリ上に掲載して公表することになります。
なお、古い記事などを見ると「事業者の取り扱う個人情報が5000人以下の場合はプライバシーポリシーは必須ではない」と書かれているものもあります。
平成29年5月以前は、取り扱う個人情報が5000人以下の場合には、個人情報保護法が適用されなかったため、プライバシーポリシーは必須ではありませんでした。ただ現在ではプラポリの作成は必須であるといえます。
個人情報に対する意識が高まる一方で、事業者から顧客情報が漏洩するなどのトラブルが後を絶たず、個人情報の取り扱いについてより広く監督する必要があるということで、5000人といった条件に関係なく、プラポリの作成が必要となったのです。
3 「個人情報取扱事業者」とは
実務上、個人情報を取り扱う事業者(「個人情報取扱事業者」といいます)の多くは、プライバシーポリシーという形で一定の事項を公表しています。
(1)個人情報の定義
「個人情報」とは、次のいずれかにあたる情報のことをいいます。
- 生存する個人に関する情報であって、特定の個人を識別できるもの
- 個人識別符号が含まれるもの
ここでいう「個人に関する情報」には、氏名、住所、性別、生年月日、顔画像などのように、特定の個人を識別できる情報だけでなく、その身体・財産・職種・肩書等の属性について、判断や評価を表すすべての情報も含まれます。
また、「個人識別符号」とは、情報単体から特定の個人が識別できる符号などをいいます。たとえば、運転免許証番号や基礎年金番号などが個人識別符号にあたります。
この個人情報を、検索できるように体系的に構成した情報の集合体のことを「個人情報データベース等」といいます。
たとえば、Excelなどで管理している名簿や、紙で作られた50音順名簿なども、個人情報データベースに該当します。
(2)どのような事業者が「個人情報取扱事業者」にあたるか
「個人情報取扱事業者」とは、国の機関や地方公共団体を除き、個人情報データベース等を事業のために使っている事業者のことをいいます。
個人情報取扱事業者にあたる事業者は、取り扱う個人データの数にかかわらず、プライバシーポリシーなどで一定事項を公表することが義務付けられています。
4 プライバシーポリシーで公表すべき事項とは
プライバシーポリシーにおいて、個人情報取扱事業者が定めなければならない主な事項は次のとおりです。
- 利用目的
- オプトアウトによる第三者提供
- 共同利用
- 開示、訂正、利用停止などの手続
- 苦情の窓口
(1)利用目的
個人情報保護法上、個人情報取扱事業者が個人情報を取得するときには、その利用目的をできる限り特定して、本人に通知・公表しなければならないとされています。
もっとも、プライバシーポリシーに利用目的を定めることにより、本人に通知する必要はなくなります。
それでは、利用目的はどの程度特定されていなければならないのでしょうか。
以下の2つの例をご覧ください。
-
【OK例】
- 「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関するお知らせのために利用します」
- 【NG例】
- 「事業活動に用いるため」
- 「マーケティング活動に用いるため」
このように、【OK例】では、利用目的に係る事業分野やその内容が具体的に定められているため、利用目的が特定されているといえます。
ですが、【NG例】では、「事業活動」や「マーケティング活動」といった抽象的な定め方になっており、具体性に欠けるため、利用目的が特定されているとはいえません。
仮に、利用目的の達成に必要な範囲を超えて個人情報を取り扱うためには、原則として、あらかじめ本人の同意を得ることが必要になってきます。
そのため、事業者は、想定される利用範囲などを検討したうえで、利用目的を特定することが大切です。
(2)オプトアウトによる第三者提供
個人情報取扱事業者が、個人データを第三者に提供するときには、原則として、あらかじめ本人から同意を得なければなりません。
もっとも、第三者に提供される個人データについて、本人の求めがあれば、その提供を停止することとしている場合には、以下の事項をプライバシーポリシーで定めておく必要があります。これらの事項をプライバシーポリシーに定めておくことにより、本人の同意を得ることなく、個人データを第三者に提供することができるようになります(「オプトアウト」といいます)。
- 第三者への提供を利用目的とすること
- 第三者に提供される個人データの項目
- 第三者への提供方法
- 本人の求めに応じて個人データの第三者への提供を停止すること
- 本人の求めを受け付ける方法
なお、オプトアウトによる第三者提供を行う場合には、併せて上記事項を個人情報保護委員会に届け出る必要があります。
(3)共同利用
「共同利用」とは、個人情報取扱事業者が特定の者との間で個人データを共同して利用することをいいます。
例えば、次のようなケースが考えられます。
- グループ企業で総合的なサービスを提供するために取得時の利用目的の範囲内で情報を共同利用するとき
- 親子兄弟会社の間で取得時の利用目的の範囲内で情報を共同利用するとき
特定の者と個人データを共同利用する場合、以下の情報をプライバシーポリシーに定めることにより、本人に通知することなく、個人データを共同利用できます。
- 共同利用をする旨
- 共同利用する個人データの項目
- 共同利用する者の範囲
- 利用目的
- 個人データの管理について責任を有する者の名称
特に注意しなければならないのが「③共同利用する者の範囲」です。
共同利用は、共同利用者が個人データの提供者と一体のものとして取り扱われることに合理性のある範囲で、個人データを共同利用させることを趣旨としています。
そのため、本人から見て、将来的にどの範囲まで個人データが利用されるかが判断できる程度に明確にしなければなりません。
(4)開示、訂正、利用停止などの手続
個人データを提供した本人から、自身にかかる個人データの開示や内容の訂正、利用の停止などを求められた場合には、その求めに応じるという旨をプライバシーポリシーにおいて定めておかなければなりません。
正確には、以下の手続きが対象となります。
- 保有個人データの開示
- 保有個人データの内容の訂正・追加・削除
- 保有個人データの利用の停止・消去
- 保有個人データの第三者への提供の停止
(5)苦情の窓口
個人情報取扱事業者は、本人からの苦情などに適切に対応する体制を整えておく必要があります。
具体的には、苦情窓口の情報をプライバシーポリシーに定めておく必要があります。
たとえば、
- 苦情受付担当窓口名・係名
- 郵送用住所
- 受付電話番号
などの情報を定めておくことが考えられます。
以上に挙げた事項は、個人情報保護法により義務付けられている事項であるため、個人情報取扱事業者は、プライバシーポリシーにおいて必ず定めなければなりません。
※プライバシーポリシーに定めるべき項目について詳しく知りたい方は、「【雛形付】プライバシーポリシーに定めるべき9項目を弁護士が解説!」をご覧ください。
※アプリのプライバシーポリシーについては、「【雛形付き】アプリのプライバシーポリシーに必要な10項目を解説!」をご覧ください。
5 プライバシーポリシーはどこに掲載しなければいけないのか
個人情報取扱事業者は、作成したプライバシーポリシーを公表しなければなりませんが、具体的にどのような形で公表することが求められるのでしょうか。
ここでいう「公表」とは、広く一般に知らせることを意味し、その方法は、事業の性質や個人情報の取扱状況などに応じて、適切な方法でなければなりません。
たとえば、見つけにくい場所に掲示されていたり、表現方法などから内容がわかりにくくなっているもの、誤解を招く表現が多く使われているものなどは、適切な方法であるとはいえない可能性があります。
この点、掲載場所や掲載方法について、法律上の定めはありませんが、「個人情報の保護に関する法律についてのガイドライン(通則編)」では、次のように示されています。
- 自社Webサイトのトップページから1回程度の操作で表示される場所に掲載する
- 自社の店舗や事務所など、顧客が訪れることが想定される場所において、ポスターを掲示したりパンフレットなどを配布する
- 通信販売の場合には、パンフレットやカタログなどに掲載する
このように、プライバシーポリシーを掲載する際には、比較的簡単に見つけることができる場所に掲載することが必要です。
6 小括
「プライバシーポリシー」は、個人情報を取り扱う事業者の多くが、個人情報保護法により課される公表義務などを履行するために、実務上採っている方法です。
プライバシーポリシーがきちんと置かれていることにより、一般消費者にも一定の安心感を与えることができます。
自社のWebサイトなど、一般消費者にとって見やすい場所に掲載したり、ポスター、パンフレットなどに掲載するなどして、適切な方法で公表することが求められます。
7 まとめ
これまでの解説をまとめると、以下の通りです。
- 「プライバシーポリシー」とは、個人情報の取り扱いに関する方針を定めたものをいう
- 個人情報を取り扱うすべての事業者は、個人情報保護法で定められている事項をプライバシーポリシーなどで公表しなければならない
- 個人情報とは、①生存する個人に関する情報で特定の個人を識別できるもの、②個人識別符号が含まれるもの、の2つに分類される
- 個人情報取扱事業者とは、個人情報データベース等を事業のために使っている者をいう
- 個人情報取扱事業者が公表すべき主な事項は、①利用目的、②オプトアウトによる第三者提供、③共同利用、④開示、訂正、利用停止などの手続、⑤苦情の窓口の5つである
- プライバシーポリシーは、Webサイトであれば、トップページから1回程度の操作で表示されるように掲載する