はじめに

他社がホームページ上で「プライバシーポリシー」を公開しているのを見て、自社でも用意しなくちゃいけないと思っていても、そもそもプライバシーポリシーって何?作成しなくちゃいけないの?作成が必要なら何を書かなくちゃいけないの?といった事項について悩んでいる事業者は意外と多いのではないでしょうか。

あいまいな理解で他社のひな形を流用したり、書くべき内容が漏れたプライバシーポリシーを作成したりすると、最悪の場合サービス廃止といったトラブルに巻き込まれてしまうおそれがあります。

そこで今回は、プライバシーポリシーとはそもそもどのようなものなのか、どのような内容を書いておくべきかなど、事業者がプライバシーポリシー作成時に注意すべきことを弁護士がわかりやすく解説していきます。

1 プライバシーポリシーとは

プライバシーポリシー

(1)プライバシーポリシーとは

プライバシーポリシー」とは、文字通り、プライバシーに関する情報(個人情報など)について事業者としての取扱方針(ポリシー)を定めた文書のことをいいます。事業者が提供するサービスに応じて個人情報などの取扱方法は変化するため、サービスごとに取扱方針の内容を変えることが一般的です。

事業者は、法律上必ずプライバシーポリシーを作成し、それを公表しなければいけないという決まりはありません。では、どうして、多くの事業者は、プライバシーポリシーを作成しているのでしょうか。その理由としては、以下が挙げられます。

  1. 個人情報保護法の決まりを守るため
  2. プライバシーマーク(Pマーク)制度に対応するため

①個人情報保護法の決まりを守るため

個人情報保護法」とは、個人情報をデータベース化している個人情報取扱事業者に対して、個人情報の取扱いについてルールを定めている法律です。

たとえば、従業員や顧客名簿をエクセルで管理しているだけでも、個人情報をデータベース化しています。そのため、日本のほとんどの事業者が個人情報取扱事業者にあたります。なお、データベースに保管されている個人情報は、個人データと法律上呼ばれています。

そして、具体的な内容はプライバシーポリシーの作成の項目の中で説明しますが、この個人情報保護法が定めているルールの中には、ホームページなどで公表が必要な事項があったりします。

このような項目の公表先としてプライバシーポリシーが使われているのです。

②プライバシーマーク(Pマーク)制度に対応するため

Pマーク制度」とは、個人情報やプライバシーについて適切な取扱いをしている事業者を日本情報経済社会推進協会(JIPDEC)が認定する制度です。個人情報を保護する体制がしっかりと構築されていると評価された事業者は、その証として、「Pマーク」というマークを使用することが許されます。

つまり、Pマークを使用している事業者は個人情報などの管理をしっかりやっていることを対外的にアピールすることができるわけです。

Pマークの認定をパスするには、プライバシーポリシーの作成は欠かせません。そのため、Pマークの取得の条件をクリアする目的でプライバシーポリシーを作成し公表している事業者もいます。

このように、個人情報保護法やPマーク制度に対応するために、プライバシーポリシーは作成され、公表されているのです。

では、同じように、公表されている「利用規約」との関係はどうなっているのでしょうか。

(2)利用規約との関係

利用規約」とは、事業者が定めた、ユーザーがサービスを利用するにあたって守らなければいけないルールのことをいいます。

一方、「プライバシーポリシー」も事業者が提供するサービスにおける個人情報などの取扱方針を定めたものです。

つまり、利用規約とプライバシーポリシーはともに事業者のサービスについて定められたものといえます。そのため、利用規約とプライバシーポリシーはひとまとめにすることも可能です。

もっとも、実際には、多くの事業者が利用規約とプライバシーポリシーを別々の文書として公表しています。

なぜ、このように別々にしているかというと、ただでさえ長くなりがちな利用規約にプライバシーポリシーまでひとまとめにしてしまっては、ユーザーにとって、どこに何が書いてあるかわかりずらくなってしまうからです。

また、後の項目でも説明しますが、プライバシーポリシーは、「個人情報の第三者提供」において本人からの同意の取得に利用されることもあります。この場合、プライバシーポリシーは、利用規約とは別の目的で同意を取得していることになります。

そのため、ユーザーから何に対して同意を得たのか明確にするためにも、利用規約とプライバシーポリシーを分けることが望ましいといえます。

このように、プライバシーポリシーは、利用規約とは別の目的をもった文書であり、別々の文書として作成するべきものだといえます。

では、適切なプライバシーポリシーを作成しなかった場合、どのようなトラブルが起こる可能性があるのでしょうか。

2 プライバシーポリシーに関するトラブル事例

トラブル

プライバシーポリシーを作成するには、土台となる文書を用意している「ひな形」を使う方法が多いといえます。ひな形は、ネット上にもたくさんあり、中にはこのまま使ってもいいんじゃないかと思わせるような出来のいいものも存在します。もっとも、ネットにあるひな形をそのまま使うことは絶対にしてはいけません

なぜなら、自社のサービスと合致していない部分があるなど、そのまま流用するとトラブルが生じるおそれが非常に高いからです。

プライバシーポリシーに関するトラブル事例を2つ見ていきましょう。

(1)CCCの事例

    Tカードを運営するカルチュア・コンビニエンス・クラブ(CCC)が警察などの捜査当局からの要請に応じて会員情報を提供していた事例

この事例では、捜査機関に会員情報を提供することに関してプライバシーポリシーに記載がありませんでした。それにもかかわらず、CCCが会員情報を提供していたことに対して、Tカード利用者から批判がなされたのです。

たしかに、個人情報保護法上、プライバシーポリシーに記載がなくても、捜査協力のための会員情報の提供は違法とはいえません。

もっとも、この問題の本質は違法か否かという点ではなく、Tカード利用者が会員情報の提供に対して、どう感じたかという点でした。Tカードは、TSUTAYAやコンビニ・ドラッグストアなど、幅広い店舗で利用可能で、その会員情報には利用者の趣味嗜好など、多くのプライバシーに関する情報が含まれており、本人の知らないところで会員情報が提供されていたことに対してサービス利用者が不信感を持ったのです。

結果としてCCCはプライバシーポリシーを以下のとおり変更しました。

(4)個人情報の提供

当社は「法令で認められる場合」を除いて、個人情報について、あらかじめご本人から同意をいただいた提供先以外の第三者に必要な範囲を超えて提供はいたしません。

プライバシーに対する関心が高まっている中、法令違反ではないから問題ないとするのではなく、サービス利用者がどう感じるかについても配慮しながら、プライバシーポリシーは作成する必要があった事例だといえます。

(2)リクナビの事例

    リクルートキャリアが提供する「リクナビDMPフォロー」という内定辞退率を予測するサービスにおいて、学生からのプライバシーポリシーの同意取得に不備があった事例

この事例では、プライバシーポリシー変更時に、複数あるプライバシーポリシーの一部で、同サービスに関する表記が漏れており、学生から適切に同意が取得できていない点が問題となりました。

本来プライバシーポリシーに記載すべき内容が漏れていたために、結果として、リクルートキャリアは、リクナビDMPフォローサービスを2019年8月5日付で廃止しています。

リクルートキャリアは、サービスの廃止による経済的な損失を受けるだけでなく、適切な同意取得ができてないにもかかわらず情報を提供されてしまった約8000名の学生へのフォローが必要となりその社会的な影響は大変大きいといえます。

そのため、プライバシーポリシーに必要な事項を漏れなく書くということは、非常に重要なのです。

このように、適切でないプライバシーポリシーは大きなトラブルを起こしてしまうおそれがあります。

では、自社でプライバシーポリシーを作成する場合に、このようなトラブルを防止するためにも、どのようなことに気を付けたらいいのでしょうか。以降の項目では、プライバシーポリシーのチェックポイントを解説していきます。

3 プライバシーポリシーのチェックポイント

チェックポイント

プライバシーポリシー作成にあたって、特に注意しなければならないチェックポイントは、以下の6点です。

  1. プライバシーポリシーが対象とする情報
  2. 利用目的
  3. 個人情報の第三者提供
  4. 委託先への開示
  5. 個人情報の共同利用
  6. 開示請求など

4 プライバシーポリシーが対象とする情報

プライバシー情報

まずは、プライバシーポリシーが対象とする情報を明確にする必要があります。

繰り返しとなりますが、プライバシーポリシーの対象となる情報は、プライバシーに関する情報です。もっとも、どのような情報が対象となるか、このままでは不明確でわかりませんよね。

そのため、プライバシーに関する情報の定義を明確にする必要があるのです。

一般的に、プライバシーに関する情報とは、「個人情報」と「パーソナルデータ」のことをいいます。

個人情報」とは、名前や誕生日など「あの人のことだ!」と特定できるような情報のことをいい、個人情報保護法で保護されています

一方で、「パーソナルデータ」とは、個人が特定できるかどうかによらない、個人に関する情報全般のことをいいます。

パーソナルデータは、以下の図のように個人情報保護法上の個人情報よりも広い概念となっています。

個人情報とパ^疎なるデータの関係

たとえば、「〇×のコンビニで午前10時に紅茶を買った人」という情報を持っていても、買った人を特定できるような情報が他になければ、それが誰なのかを特定することはできません。そのため、他に特定できる情報がなければ、個人情報保護法上の個人情報には当たらないことになります。

もっとも、この情報自体は、「〇×のコンビニで午前10時に紅茶を買った人」の個人に関する情報には当たります。そのため、個人を特定することはできなくとも、個人に関する情報としてパーソナルデータとなるのです。

このように、個人情報保護法の個人情報の定義に当てはまらないパーソナルデータについては、個人情報保護法で保護されることはありません。個人情報の定義に当てはまらないパーソナルデータについては、明確なルールがない状況だといえます。

従来のプライバシーポリシーにおいては、個人情報保護法のルールに対応するため「個人情報」のみを対象とするのが一般的でしたが、近年では、「パーソナルデータ」も対象とすることが多くなっています。

なぜなら、プライバシーに関する情報に対するユーザーの意識が高まり、事業者としても、その意識の高まりにあわせて、パーソナルデータの取扱いを定めなければ、ユーザーから信頼を得ることが難しい時代になってしまったからです。

たとえば、近年、事業者が取得する情報は、位置情報、ネット上での購買履歴、サイトの閲覧履歴などに代表されるように、必ずしも個人情報保護法上の個人情報といえないものが増え、ユーザーも自身の情報がどのように利用されるのか敏感になっているのです。

そのため、事業者は、プライバシーポリシーにおいて、個人情報保護法上の個人情報の取扱いについて定めるのが最低ラインであることを踏まえて、近年の風潮にあわせて、パーソナルデータの取扱いまで含めてプライバシーポリシーで取扱方針を定めるか否かを検討しなければいけなくなったといえます。

検討にあたっては、自社が取得し、取り扱う情報にはどのような情報があるかを整理したうえで、その情報の取得の方法・取り扱い方に対して、ユーザーがどう感じるかを考えなければいけません。

最低ラインである「個人情報」の定義に限定した結果、ユーザー視点で、サービスを利用するのが不安になるような場合には、対象とする範囲を間違えているといえます。

5 特定した利用目的の公表

通知公表

個人情報を取得する際には、取得する個人情報利用目的を、できる限り特定して、ユーザーに対して、通知するか、公表しなければいけません。もっとも、取得する人数が多くなればなるほど、個別の通知は手間となるため、利用目的はプライバシーポリシーなどに記載する形で公表されることが一般的です。

このように利用目的の特定が求められるのは、ユーザーが認めていない目的で事業者に個人情報が利用されてしまうことを防ぎ、個人情報が適切に取り扱われるようにするためです。

ここでいうできる限り特定するとは、

  • どのような事業・サービスに
  • どのような使い方をされるか

を明確にし、本人が理解できるような内容にすることをいいます。

たとえば、ユーザの名前、住所といった「個人情報」の利用目的について特定できている例と特定できていない例は以下のとおりとなります。NGとなる理由についてもまとめているので、確認してください。

【特定できている例】

  • 〇〇事業における商品の発送・アフターサービスのために利用します

【特定できていない例】

  • △△事業に用いるため⇒どのような使い方をされるか分からないためNG
  • お客様のサービス向上のため⇒どのような事業・サービスに利用されるか分からないためNG

法律の悩みを迅速に解決します。
スタートアップ、IT、先端技術の法律相談なら私たちにお任せください!
豊富な契約書雛形もご用意していますので、IT企業に関わらずお気軽にお問い合わせください。

お問い合わせはこちらから

6 個人情報の第三者提供

個人情報 提供

個人情報の第三者提供」とは、事業者自身が持っている個人データを、外部の別の事業者などに提供することをいいます。

たとえば、以下の場合、個人情報の第三者提供にあたります。

  • 業務提携先にユーザーの個人情報を共有する場合
  • グループ内の別会社に個人情報を含む顧客情報を提供する場合

この個人情報の第三者提供を行う場合にも個人情報保護法はルールを設けています。

(1)原則

個人情報を第三者に提供する場合、原則として本人の同意が必要になります。このように同意が必要とされているのは、本人が個人情報の使用を許していない事業者にユーザーの個人情報を勝手に利用されてしまうことを防ぐためです。

そのため、個人情報の第三者提供を行うためには、プライバシーポリシーにおいては、

  • 第三者への提供を利用目的とすること
  • 第三者に提供する個人データの項目
  • 第三者への提供方法

といった事項を記載し、ユーザーに同意させることが必要になります。

(2)例外

もっとも、「オプトアウト」のように本人の同意が例外的に不要なケースがあります。「オプトアウト」とは、本人から「やめて!」と情報提供の停止を求められるまで個人情報を第三者に提供できるという手続きのことをいいます。

この「オプトアウト」という手続きを利用すると、事前に本人から同意を得ずに、個人データを第三者に提供することができます。

オプトアウトを行うためには、プライバシーポリシーにおいて

  • 第三者への提供を利用目的とすること
  • 第三者に提供する個人データの項目
  • 提供方法
  • 本人の求めに応じて第三者への提供を停止すること
  • 本人の求めを受け付ける方法

といった事項を公表するか、本人に通知するとともに、個人情報保護委員会に届出を行う必要があります。

もっとも、以下の理由から安易にオプトアウトを選択するべきではないと考えられます。

  • ユーザー視点で見たときに、オプトアウトを選択している事業者のサービスを利用することに抵抗感が生じやすいこと
  • オプトアウトは、大量の個人データを転々流通させて利益をあげる「名簿屋」向けに設けられた手続であること
  • 個人情報保護委員会への届出という手間が発生すること

そのため、どんなサービスでもオプトアウトを利用すればいいというわけではなく、自社のサービスにふさわしいか否か慎重に検討を行う必要があります。

7 委託先への開示

個人情報 開示

個人情報保護法上、委託先へ個人データを開示する場合には、個人情報の第三者提供には当たらないとされています。そのため、委託先への開示の場合、本人の同意を得る必要はありません。

たとえば、ネット通販会社が、ユーザが買った商品を届けるために宅配業者にユーザーの住所という個人情報を教える場合が、委託先への提供にあたります。

個人情報の第三者提供に当たらない以上、個人情報保護法上はプライバシーポリシーに何も記載する必要はないことになります。

もっとも、ユーザー視点で考えれば、

  • 委託先へ個人情報が開示されること
  • 第三者に提供する個人データの項目
  • 提供方法

といった事項をプライバシーポリシーに記載しておけば、ユーザーは安心してサービスを利用できるようになり、また、事業者としては、よりユーザーからの信頼を得やすくなります。

そのため、法律上の要請ではありませんが、委託先への開示についてもプライバシーポリシーにおいて明示するのもありです。

8 個人情報の共同利用

個人情報 共同利用

個人情報の共同利用」とは、複数の事業者間で個人データを共有して利用することをいいます。個人情報の共同利用は、グループ会社間で、ユーザー情報を共有する場合などに用いられます。

個人情報の共同利用という方法がなければ、各社それぞれが利用目的を公表または通知し、個人情報の第三者提供の同意を得なければいけなくなります。ユーザーとしては、何度も同意しなければサービスを利用できないとなれば、うんざりして途中で離脱したくなってしまいますし、事業者としてもユーザーにそんな負担をかけたくないですよね。

そのため、個人情報の共同利用という方法が認められているのです。

個人情報の共同利用をする場合には、

  • 個人データを共同で利用すること
  • 共同で利用される個人データの項目
  • 共同で利用する者の範囲
  • 利用目的とデータ管理の責任者の氏名・名称

といった事項をプライバシーポリシーに記載して公表するか、本人に通知する必要があります。

なお、共同で利用する者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要があります。そのため、グループ間で共同利用する場合には、グループ名を記載するという方法が考えられます。

このような記載をしておくことで、ユーザは自分の個人情報がどのような範囲で利用される可能性があるかを把握できるため納得してサービスを利用することができます。

9 開示請求など

開示請求

個人情報取扱事業者は、6ヵ月以上保有し続ける個人データ(保有個人データ)について以下の事項を公表しなければいけないこととなっています。

  • 個人情報取扱事業者の氏名・名称
  • 全ての保有個人データの利用目的
  • 開示請求などの手続
  • 保有個人データの取扱いに関する苦情の申出先

つまり、保有個人データを持っている事業者はこれらの事項をプライバシーポリシーに記載する必要があります。

ここでいう「開示請求など」とは、

  1. 保有個人データの利用目的の通知
  2. 保有個人データの開示
  3. 保有個人データの訂正
  4. 保有個人データの利用停止

といった事項を求めることを指しています。

具体的に「開示請求などの手続」としてプライバシーポリシーに記載すべき事項は以下のとおりです。

  • 開示請求などの窓口
  • 開示請求などのやり方や、提出する書類の様式
  • 本人確認の方法(★)
  • 手数料の額と取り方

このうち特に重要なのは、「本人確認の方法」です。なぜなら、本人やその代理人以外へ保有個人データの開示を行えば、情報漏洩になるからです。また、本人の知らないところで勝手に保有個人データが訂正されたり・利用停止されたりすれば、ユーザーからの信用は地に落ちてしまいます。そのため、しっかりと本人やその代理人であるかを確認する必要があるのです。

以上のように、プライバシーポリシー作成時には、多くの注意しなければいけないポイントがあります。トラブルを予防するために、プライバシーポリシー作成の際には、解説してきたポイントについて注意深く確認するようにしてください。

それでは、これらのチェックポイントもクリアし、プライバシーポリシーを作成しおわった場合、プライバシーポリシーはホームページ上のどこに設置すればいいのでしょうか。

10 プライバシーポリシーの設置場所

プライバシーポリシー設置場所

プライバシーポリシーは、ユーザが簡単に見ることができるようなわかりやすい場所に設置しなければなりません。

個人情報保護員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」によれば、プライバシーポリシーは、自社のホームページのトップページから 1 回程度の操作で到達できる場所に設置することが推奨されています。具体的には、以下の図のように、トップページの上もしくは下のにあるメニュー部分にプライバシーポリシーのリンクを設置し、リンクから遷移することでプライバシーポリシーの全文を確認できるようにすることが考えられます。

プライバシーポリシーの設置場所

11 小括

設置場所

プライバシーポリシーは個人情報などについて事業者の取扱い方を決めるものであり、法律上、作成する義務はありません。ですが、プライバシーポリシーは、自社のサービス内容にあうように作りこまないと、サービス廃止などの問題が生じるおそれがあり、注意が必要です。事業者は、プライバシーポリシーを作る際には、利用目的や個人情報の第三者提供など法律で書かなければいけないとされることだけでなく、委託先への個人情報を提供する場合についてなどユーザに配慮するために記載しておくべきことについても十分に検討するように留意してください。

12 まとめ

これまでの解説をまとめると、以下のとおりです。

  • 「プライバシーポリシー」とは、プライバシーに関する情報について、サービスごとに事業者としての取扱方針を定めた文書のことをいう
  • プライバシーポリシーの作成は、法律上の義務ではない
  • ひな形を利用する場合はあくまで参考程度に使うほうがよい
  • プライバシーポリシーのチェックポイントは、①プライバシーポリシーが対象とする情報、②利用目的、③個人情報の第三者提供、④委託先への開示、⑤個人情報の共同利用、⑥開示請求などの6点である
  • 事業者は、プライバシーポリシー作成時に、対象とする情報を「個人情報」だけでなく「パーソナルデータ」まで広げるか検討しなければならない
  • 利用目的は本人が理解できるようにできる限り特定しプライバシーポリシーで公表などの対応をしなければならない
  • 「個人情報の第三者提供」とは、事業者自身が持っている個人データを、外部の別の事業者などに提供することをいう
  • 個人情報を第三者に提供する場合は原則、本人の同意が必要だが、オプトアウトの場合は例外的に本人の同意は不要である
  • 個人情報を第三者に提供する場合、必要事項をプライバシーポリシーに記載しなければいけない
  • 委託先へ個人データを開示する場合には、ユーザに配慮してプライバシーポリシーに記載することも検討に値する
  • 「個人情報の共同利用」とは、複数の事業者間で個人データを共有して利用することをいう
  • 個人情報を共同利用する場合には、プライバシーポリシーに必要事項を記載する必要がある
  • 開示請求などをうける保有個人データについて、プライバシーポリシーに記載しておかなければいけないことがある
  • プライバシーポリシーの設置場所は、自社ホームページのトップページから 1 回程度の操作で到達できる場所に設置することが推奨されている