
はじめに
近時、個人情報を一切扱わない会社はいないと言っても過言ではありません。
そのため、プライバシーポリシーは、ほとんど全ての会社で定められ、公表されています。
もっとも、初めてプライバシーポリシーを作るとなると、何を定めていいのかわからないという方も多いのではないでしょうか。
何か参考になるひな形が欲しくなりますよね。
そこで今回は、プライバシーポリシーに定めるべき項目をひな形をもとに弁護士がわかりやすく解説していきます。
目次
1 プライバシーポリシーとは
「プライバシーポリシー」とは、個人情報などプライバシーに関する情報に対する、会社としての取扱方針(ポリシー)を定めた文書のことをいいます。
会社は、プライバシーポリシーに、
- どのような情報を収集するのか
- どのように利用するのか
などといった、情報の取扱方針を定めます。
たとえば、様々な会社のホームページ上のヘッダーやフッターに「個人情報取扱方針」や「個人情報保護方針」、「プライバシーポリシー」というリンクが設置されているのをよく見かけますよね。
このリンクの遷移先でプライバシーポリシーが公表されているのです。
このように、プライバシーポリシーは、1社につき1つ公表している例が大変多い状況です。
もっとも、プライバシーポリシーは、1社につき1つでなければいけないという決まりはありません。複数のプライバシーポリシーに分けるほうが都合がいい場合があるのです。
次の項目では、そんなプライバシーポリシーの構成について確認していきましょう。
※プライバシーポリシーとは何か?なぜ必要なのか?についてさらに詳しく知りたい方は、「プライバシーポリシーとは?作成時の6つのチェックポイントを解説!」をご覧ください。
2 プライバシーポリシーの構成
(1)プライバシーポリシーを複数に分けたほうがいい場合とは
会社が1つのサービス・アプリしか提供していないのであれば、プライバシーポリシーを複数用意する必要はありません。
一方で、プライバシーポリシーを複数に分けたほうがいいのは、
- 複数のサービス・アプリを提供しており
- サービス・アプリごとに取得する情報が異なっている
場合です。
このような場合に、1つのプライバシーポリシーに全てのサービス・アプリについて書くと
- プライバシーポリシーが長く読みにくくなる
- ユーザーにとって、利用するサービスに関係する部分がどこなのか分かりづらくなる
- ユーザーは自身が関係するプライバシーポリシー以外も読まなければいけなくなる
というデメリットがあります。
では、プライバシーポリシーを複数に分けたほうがいいとしても、どのように分ければいいのでしょうか。
(2)プライバシーポリシーの分け方
最もシンプルな分け方は、サービス単位・アプリ単位でプライバシーポリシーを分けるという方法です。
もっとも、サービス単位・アプリ単位でプライバシーポリシーを作成し、個別の管理を行っていると、一部のプライバシーポリシーのアップデートが漏れてしまう可能性があります。アップデートが漏れると、本来取るべき同意を取り忘れたり、法改正に対応していないといったおそれがあります。
そのため、全サービス・アプリに適用される共通のプライバシーポリシーと、各サービス・アプリの特性にあわせてカスタマイズした個別のプライバシーポリシーに分けるという方法があります。
共通のプライバシーポリシーと個別のプライバシーポリシーの関係を図にすると以下のとおりとなります。
たとえば、上の図の場合、サービスAには「共通のプライバシーポリシー」と「サービスA用のプライバシーポリシー」が適用されます。
また、同様に、アプリには、「共通のプライバシーポリシー」と「アプリ用のプライバシーポリシー」が適用されることになります。
このように、共通と個別のプライバシーポリシーに分けることで、
- 共通のプライバシーポリシーをアップデートすれば、全サービス・アプリにアップデート内容が適用されるため、漏れがなくなる
- 個別のプライバシーポリシーで取得する情報や利用目的の詳細な説明をしても、ユーザーにとって読みづらいということがなくなる
というメリットがあります。
今回は、共通のプライバシーポリシーに関して、ひな形を用意しました。次の項目からダウンロードしてください。
3 共通のプライバシーポリシーの「ひな形」のダウンロード
共通のプライバシーポリシーのひな形は、以下からご自由にダウンロードしてください。
あくまでも、今回のプライバシーポリシーは共通のプライバシーポリシーです。個別の各サービスやアプリにおいて、共通のプライバシーポリシーと異なる情報を取得したり、異なる利用目的で情報を利用したりする場合には、別途個別のプライバシーポリシーを作成する必要があることに注意してください。
また、ひな形で赤字になっている部分については、そのまま使用せず、会社の実態にあわせて修正する必要がある点に注意してください。
以降の項目では、このひな形をもとに共通のプライバシーポリシーに定めるべき一般的な事項を説明していきます。
4 共通のプライバシーポリシーに定めるべき一般的な事項
共通のプライバシーポリシーに定めるべき一般的な事項は以下のとおりです。
- 取得する情報およびその取得方法
- 利用目的
- 個人情報の第三者提供
- 個人情報の共同利用
- 個人情報の開示
- 個人情報の訂正および利用の停止等
- お問い合わせ
- 改定
- 制定日・改定日
次の項目では、それぞれのポイントについて解説していきます。
5 共通のプライバシーポリシーのポイント
(1)タイトル
-
▲●株式会社プライバシーポリシー
法律上、「プライバシーポリシー」というタイトルにしなければいけないという決まりはありません。そのため、「個人情報取扱方針」や「個人情報保護方針」のように別のタイトルがつけられることもあります。
もっとも、近時、会社が取得するユーザーに関する情報全てが、個人情報保護法における個人情報にあたるわけではありません。
たとえば、ユーザーの行動履歴や購買履歴などは、個人を特定できない形での取得も可能であり、個人情報にあたらない場合や個人情報にあたるか曖昧な場合があります。
もっとも、このような場合でも、ユーザーの行動履歴や購買情報は、個人情報よりも広い概念であるパーソナルデータ(個人と関係性がある情報)にはあたります。
そして、プライバシーポリシーは、個人情報ではなく、パーソナルデータについて定められることが多くなっています。
そのため、タイトルにはプライバシーポリシーとつけたほうがよいといえます。
また、個別のプライバシーポリシーと区別するために、共通のプライバシーポリシーのタイトルは「社名+プライバシーポリシー」など、会社全体のサービスやアプリに適用されることをタイトルからも分かるようにしたほうがよいと考えられます。
ちなみに、個別のプライバシーポリシーのタイトルについては、「サービス名+プライバシーポリシー」や「アプリ名+プライバシーポリシー」として、区別することが考えられます。
(2)取得する情報およびその取得方法
-
1.取得する情報およびその取得方法
当社が取得するユーザー情報は、その取得方法に応じて、以下のとおりとなります。
(1)ユーザーから直接取得する情報
当社は、本サービスの利用にあたって、ユーザーから以下の情報を取得します。
(2)技術情報の取得
ユーザーが本サービスにアクセスする際に、当社は以下の技術情報を取得します。
(3)ユーザーの個別同意に基づいて取得する情報
当社はユーザーから個別の同意を得られた場合、以下の情報を取得します。
(4)外部サービスとの連携により取得する情報
当社は、本サービスの利用にあたって、ユーザーが外部サービスとの連携を許可した場合、以下の情報を当該外部サービスから取得します。
2.利用目的
当社は、取得したユーザー情報を以下に定める目的のために使用します。
これらの条項は、ユーザーから取得する情報とその収集方法、利用目的について定めた条項です。これらは、プライバシーポリシーの中で最も慎重に定めなければいけない条項だといえます。
この条項のポイントは
- 個人情報保護法上必須の記載事項であること
- 会社ごとに取得する情報を洗い出して整理すること
- ユーザー目線で理解できるように記載すること
です。
①個人情報保護法上必須の記載事項であること
個人情報保護法上、個人情報を取得するにあたって、会社には、取得した情報の利用目的を具体的に特定して、情報を提供する本人に公表または通知しなければいけないことになっています。
各ユーザーに個別に通知することは、会社にとって大変な労力となるため、一般的には、プライバシーポリシーにおいて利用目的を公表することを選択する会社が多いといえます。
そして、会社は、取得した個人情報を、特定した利用目的の範囲内でしか基本的に利用することができなくなります。
このように、利用の範囲を制限しているのは、情報を提供した本人が認識していない使い方で個人情報が会社に利用されるのを防ぐためです。
そのため、プライバシーポリシーに記載する
- 取得する情報
- 利用目的
は、漏れがないように、慎重に定めなけばいけない重要な条項なのです。
②会社ごとに取得する情報を洗い出して整理すること
もっとも、上で示した取得する情報と利用目的はあくまでも例示です。
- 会社がサービス・アプリを提供するために取得が必要な情報は何か
- どのような方法で情報を取得するのか
- 取得した情報をどのように利用するのか
を会社ごとに洗い出し、整理した上で、取得する情報と利用目的を書き換えなければいけません。
もし、この作業を怠って、ひな形をそのまま利用してしまうと、提供するサービス・アプリに合致していないプライバシーポリシーを公表してしまうことになりかねません。
このように実態に合致していないプライバシーポリシーは、ユーザーからクレームを受けるだけでなく、最悪の場合、国から是正勧告を受けて、会社の信用を失うことになりかねません。
そのため、絶対にひな形をそのまま利用しないよう注意してください。
③ユーザー目線で理解できるように記載すること
取得する情報・その取得方法・利用目的に関して、会社は、ユーザー目線で、理解できるように記載するよう意識することが重要です。
抽象的な記載や包括的な記載では、ユーザーとしても、何が取得され、どのような利用目的で使われるのか分からなくなってしまうため、極力避ける必要があります。
また、取得方法については、情報を入力するなど、ユーザーのアクションに基づいている場合には、ユーザーにとっても情報が取得されていることが認識しやすいといえます。
一方で、何のアクションにもよらないで、自動で裏で取得されている情報をユーザーが認識することは難しいといえます。
そのため、特に、自動的に会社が取得する情報については、「自動取得」であることをユーザーに対して明確にする必要があるといえます。
(3)個人情報の第三者提供
3.個人情報の第三者提供
当社は、ユーザー情報のうち個人情報に関して、あらかじめユーザーの同意を得ることなく、第三者に提供しません。但し、次に定める場合にはこの限りではなく、ユーザー情報を第三者に提供することがあります。
(1)外部サービスとの連携または、外部サービスを利用した認証にあたり、当該外部サービス運営会社にユーザー情報を提供する場合
(2)国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して、当社が協力する必要があり、かつユーザーからの同意取得が当該事務の遂行に支障を及ぼすおそれがある場合
(3)その他法令で認められる場合
この条項は、個人情報の第三者提供についての条項です。
「個人情報の第三者提供」とは、会社が取得した個人データ(個人情報を検索可能な状態でデータベース化したもの)を自社以外に開示することをいいます。
この個人情報の第三者提供は、個人情報を提供する本人から同意を得られなければ、原則できません。
そのため、条項においても、本人から同意を得られなければ、第三者提供は行わないこととしつつ、例外的に、会社が第三者提供をする場合を定めています。
たとえば、近時、外部サービスにユーザーのアカウント情報を紐づけられるものが増えています。
Facebookのアカウントで別サービスにログインしたことのある方も少なくないのではないでしょうか。このように、外部サービスとの連携を行う場合には、個人情報の第三者提供についても、外部連携について触れておく必要があります。
(4)個人情報の共同利用
この条項は、個人データを一定の範囲で共同で利用する「個人情報の共同利用」を行うための条項です。
たとえば、個人情報の共同利用は、グループ会社内や、業務提携をしている会社同士が個人情報を共同で利用する場合に使われます。
個人情報保護法では、共同利用を行うために、
- 共同利用をすること
- 共同して利用される情報の項目
- 共同で利用する者の範囲
- 利用目的
- 管理責任者
といった情報について、個人情報を提供する本人が簡単に知ることができる状態にしておく必要があります。
そのため、会社が個人情報の共同利用をする場合には、一般的に、プライバシーポリシーにおいてこれらの項目を公表しています。
なお、「共同して利用する者の範囲」には、ユーザーが、自身の個人情報がどの事業者に利用されるのか判断できる程度に明確になっていれば問題ありません。
そのため、必ず共同利用する会社の社名を一覧化して列挙しなければいけないわけではなく、例のように「▲●グループ会社」という定め方でも問題ないことになります。
(5)個人情報の開示
5.個人情報の開示
当社は、ユーザーから、個人情報保護法の定めに基づき個人情報の開示を求められたときは、ユーザーご本人からのご請求であることを確認のうえで、ユーザーに対し、遅滞なく開示を行います。但し、個人情報保護法その他の法令により、当社が開示の義務を負わない場合は、この限りではありません。なお、具体的な個人情報の開示の申出先、手続、手数料につきましては、「個人情報の開示、訂正、追加、削除について」をご覧ください。
この条項は、ユーザーから個人情報の開示を求められた際の、手続きについて定めた条項です。
会社には、個人情報を検索可能な形で6ヵ月以上保有する場合(このような個人情報を「保有個人データ」といいます)、個人情報を提供した本人から個人情報の開示を求められた際に、その開示に応じる義務があります。
そして、会社は本人からの開示を受け付ける方法として
- 開示の申出先
- 開示の求めに必要な手続
- 本人確認の方法
- 開示のための手数料
を定めることができます。
上の例文では、手続の詳細まで記載すると、プライバシーポリシーが長くなってしまうことから、別途「個人情報の開示、訂正、追加、削除について」というページを用意し、そちらに手続の詳細を記載する形式にしています。
なお、手続として本人確認は、必須としてください。
開示すべきでない人に個人情報を開示してしまった場合、個人情報の漏えいとして、会社の個人情報の管理体制が問題となってしまいます。
(6)個人情報の訂正および利用の停止等
6.個人情報の訂正および利用の停止等
(1)当社は、ユーザーから、個人情報の内容が事実ではなく、訂正・追加・削除(以下「訂正等」という)を求められたときは、ユーザーご本認からのご請求であることを確認のうえ遅滞なく調査を行い、その結果に基づき、個人情報の内容の訂正等を行い、その旨をユーザーに通知します。
(2)当社は、ユーザーから、以下の各号の理由に基づき個人情報の利用の停止または消去(以下「利用の停止等」という)を求められたときは、ユーザーご本認からのご請求であることを確認のうえ遅滞なく調査を行い、その結果に基づき、必要に応じて個人情報の利用の停止等を行い、その旨をユーザーに通知します。
①あらかじめ公表された利用目的の範囲を超えて個人情報が取扱われているという理由
②偽りその他の手段により個人情報が取得されたものであるという理由
(3)個人情報保護法その他の法令により、当社が訂正等または利用の停止等の義務を負わない場合、本条1項、2項の定めは適用されません。
この条項は、ユーザーから個人情報の訂正・追加・削除、利用停止などを求められた際の、手続きについて定めた条項です。
保有個人データに関して、前の項目で説明した「個人情報の開示」の場合に加えて、本人から個人情報の訂正・追加・削除、利用停止などを求められた場合、一定の条件を満たしたせば、会社は原則として本人からの要求に対応しなければいけない義務があります。
なお、この場合についても、「個人情報の開示」と同様に本人確認を必須としてください。
たとえば、本人確認をきちんと行わずにアカウント情報の変更を行えば、アカウントの乗っ取りや不正ログインなどのおそれがあるからです。
(7)お問い合わせ
-
7.お問い合わせ
当社のプライバシーポリシーに関する、ご意見、ご質問、苦情の申出その他ユーザー情報の取扱いに関するお問い合わせは、以下の窓口にご連絡ください。
「問い合わせ窓口」はこちら
この条項は、ユーザーに対して、個人情報の取扱いに関してどこに問い合わせをすればよいかを示すための条項です。
個人情報保護法上、会社はユーザーからの個人情報の取扱いに関する苦情に対し、適切に対応しなければいけません。適切に対応していない場合、最悪の場合、国から是正勧告を受ける可能性もあります。
そのため、適切な苦情対応を行うためにも、この「お問い合わせ」に関する表示が必要になるのです。
なお、問い合わせ先として電話番号を記載しなければいけないというルールはありません。
そのため、問い合わせフォームを別途用意し、そのフォームへ遷移するハイパーリンクを表示させたり、連絡先としてアドレスを載せたりしても問題ありません。
(8)改定
8.改定
当社は、当社の裁量に基づいて、本ポリシーを変更します。但し、個人情報保護法その他の法令により、改定に必要な手続が定められている場合には、当該法令に基づき改定を行うものとします。
なお、当社は、ユーザーに対して本ポリシーを変更する場合には、変更後の本ポリシーの施行時期および内容を以下の方法で周知します。
・当社のウェブサイトへの掲示
・ユーザーへの通知
・その他適切な方法
この条項は、プライバシーポリシーの改定について定めた条項です。
会社は、ここで定めたとおりにプライバシーポリシーの改定を行わなければいけません。
たとえば、個人情報保護法では、利用目的を変更する際には、変更された利用目的の公表・通知が必要とされたり、個人情報の第三者提供など、本人から同意を取得しなければいけない場合があります。
このように、法律でルールが決まっている場合には、それに従って改定を行うことをプライバシーポリシーで示すことで、ユーザーに会社の透明性をアピールできます。
※プライバシーポリシーの変更のやり方について詳しく知りたい方は、「利用規約・プライバシーポリシーを有効に変更するには?弁護士が解説」をご覧ください。
(9)制定日・改定日
9.制定日・改定日
制定:●年●月●日
改定:●年●月●日
改定:●年●月●日
この条項は、プライバシーポリシーがいつ制定され、改定されたかを記載した条項です。これまでの改定履歴を振り返ることができるように、改定日は漏れなく記載する必要があります。
また、改定日にハイパーリンクを設けて、過去のプライバシーポリシーを閲覧できるようにし、会社の透明性をアピールすることもできます。
6 小括
今回は、全てのサービス・アプリに適用される共通のプライバシーポリシーについてひな形をもとに解説してきました。
ほとんど全ての会社で定められ、公表されているプライバシーポリシーですが、同業他社が公開しているものやひな形をそのままの状態で使用すると、実態に合致していないプライバシーポリシーとなってしまうことがあります。実態に合致していないプライバシーポリシーはトラブルのもとです。
必ず、会社がサービス・アプリを提供するために取得が必要な情報は何か、どのような方法で情報を取得するのか、取得した情報をどのように利用するのかといった事項に関して社内で棚卸し、整理したうえで、実態に合致するようひな形を修正するようにしてください。
7 まとめ
これまでの解説をまとめると、以下のとおりです。
- 「プライバシーポリシー」とは、個人情報などプライバシーに関する情報に対する、会社としての取扱方針(ポリシー)を定めた文書のことをいう
- プライバシーポリシーは、会社が①複数のサービス・アプリを提供しており、②サービス・アプリごとに取得する情報が異なっている場合には複数に分けたほうがいい
- プライバシーポリシーの分け方としては、全サービス・アプリに適用される共通のプライバシーポリシーと、各サービス・アプリの特性にあわせてカスタマイズした個別のプライバシーポリシーに分けるという方法がある
-
※【ひな形の注意事項】
- 本記事にてダウンロード可能な各種ひな形の著作権その他の一切の権利については、弁護士伊澤文平に専属的に帰属しております。したがいまして、ひな形の利用許諾は、これら権利の移転を意味するものではありません。
- 各種ひな形をご利用いただけるのは、法人様又は法律家以外の個人の方のみに限り、弁護士・司法書士・行政書士などのいわゆる士業の方のご利用は一切禁止しておりますので予めご了承ください。
- 本ひな形は、自己又は自社内でのビジネスのためにのみ(以下、「本件利用目的」)ご利用いただけます。したがいまして、本件利用目的以外での利用並びに販売、転載、転送及びネット上にアップロード・投稿する行為その他一切の行為を禁止します。
- 各種ひな形の内容に関して、弁護士伊澤文平はいかなる保証も行わず、ひな形の利用等に関して一切の責任を負いませんので、予めご承知おきください。