お問い合わせ

プライバシーポリシーが必要となる2つの理由を弁護士が解説!

2022.01.26
目次

はじめに

何らかのサービスを開始するにあたっては、利用規約やプライバシーポリシーの作成が必要になってきます。

利用規約については、何となくその必要性が理解できても、なぜプライバシーポリシーが必要なのか、よくわからないという方もいらっしゃるかもしれません。

そこで今回は、プライバシーポリシーがなぜ必要なのかということを中心に弁護士がわかりやすく解説します。

1 プライバシーポリシーとは

プライバシーポリシー」とは、個人情報の取扱いについて事業者が採っている方針を文書にしたものをいいます。

多くのWebサービスなどでは、必ずといっていいほど「プライバシーポリシー」というページが存在します。

個人情報は、事業者が提供するサービスの内容によって取扱方法が異なるため、プライバシーポリシーはサービスごとに作成されることが一般的です。

2 なぜプライバシーポリシーは必要?

プライバシーポリシーは、その作成・公表が法律で義務付けられているわけではありません。

にもかかわらず、多くのサービスでは「プライバシーポリシー」のページが設けられています。
これはなぜでしょうか。

理由として挙げられるのは、以下の2点です。

(1)個人情報保護法が定めるルールを履行するため

個人情報保護法は、個人情報取扱事業者を対象に、個人情報の取扱いについてさまざまなルールを設けています。 そのなかには、ホームページなどにおいて公表することが義務付けられている事項もあります。

  1. 通知・公表等の義務(法21条2項)
  2. 第三者提供の原則同意制(法27条1項)、オプトアウト要件(同2項)の履行手段
  3. 「保有個人データ」に関する事項の公表義務(法32条1項)

①通知・公表

事業者は、個人情報を取得する場合には、その利用目的を可能な限り特定したうえで、利用者に通知もしくは公表する必要があります。直接取得時は原則として明示が必要で、例外も限定列挙です(法21条2項、同4項)。「サービス向上」など抽象的すぎる目的は不適切とされます。

「通知」もしくは「公表」となっているため、その都度個別に通知するという運用方法でも問題ありません。
ですが、取得する個人情報の数が多くなればなるほど、個別に通知するという運用方法は現実的ではありません。

そのため、多くの事業者は、プライバシーポリシーに利用目的を記載することで、「利用目的を公表する」という義務を果たしているわけです。

なお、利用目的を変更する場合は、当初目的との関連性が合理的に認められる範囲内に限られます(法17条2項・法21条3項)。

②第三者提供

第三者提供」とは、事業者が保有する個人データを、外部の他の事業者などに提供することをいいます。

第三者提供は原則、事前の本人同意が必要です(法27条1項)。オプトアウト提供は要配慮個人情報を除き、所定事項の公表等の厳格な要件が必要です(法27条2項)。また、外国にある第三者への提供は原則本人同意又は適切な体制確認が必要です(法28条1項)。第三者提供の記録作成・保存義務もあります(法29条1項)。

この点、「利用目的」の場合と同じことが言えますが、個人情報を第三者に提供する都度、個別に本人から同意を得るという運用方法でも特に問題はありませんが、運用方法としてはあまり現実的ではありません。

そのため、多くの事業者は、以下の事項を定めたプライバシーポリシーについて、本人から同意を得るという方法を採っているのです。

なお、包括同意を得る場合でも、同意は自由意思に基づく具体的・明確な内容であることが必要で、目的外提供には別途同意が必要となり得る点に注意が必要です。

③保有個人データ

保有個人データ」とは、事業者が開示・訂正等を行う権限を有する個人データをいう(一定の例外除く)と定義されます(法16条4項)。

個人情報取扱事業者は、保有個人データに関して、以下の事項を公表することが義務付けられています。

  • 個人情報取扱事業者の氏名・名称
  • 利用目的
  • 開示請求などの手続
  • 苦情の申出先

保有個人データを保有する事業者の多くは、プライバシーポリシーに上記事項を記載する方法で公表義務を果たしているわけです。

※「開示請求などの手続」としてプライバシーポリシーに記載すべき具体的な事項は、「プライバシーポリシーとは?作成時の6つのチェックポイントを解説!」をご覧ください。

(2)プライバシーマーク(Pマーク)の取得

プライバシーマーク」とは、個人情報の保護体制に対する第三者認証制度のことです。

個人情報などについて適切な取扱いをしていると認められた事業者は、一般社団法人日本情報経済社会推進協会(JIPDEC)からその旨の認定を受けることができ、「Pマーク」を使用できるようになります。

そして、同協会から認定を受けるためには、プライバシーポリシーがきちんと作成されていることが必要不可欠なのです。

【補足:Pマークは私的な第三者認証制度であり、法定義務ではありません。審査要件はJIPDECの規格・ガイドラインに基づきます。】

Pマークを使用できるようになれば、対外的に個人情報の保護体制をアピールすることができ、利用者の獲得にも繋がります。

3 定期的見直しの重要性

プライバシーポリシーは一度作ったからといって、それで終わりではありません。

一度作った後も、以下のような理由で、定期的に見直すことが大切です。

(1)サービス内容の変化

サービスの内容が変わると、それに伴い、個人情報の利用目的なども変わっていきます。

そのため、プライバシーポリシーとサービス内容の整合性などを定期的に見直し、必要に応じてプライバシーポリシーを変更するといった対応が必要になります。

なお、利用目的の変更は当初目的との関連性が合理的に認められる範囲内に限られ、範囲外に拡張する場合は本人同意が必要です(法17条2項・法21条3項)。

(2)個人情報保護法の改正

個人情報保護法が改正されると、それに伴い、プライバシーポリシーも変更しなければならなくなることがあります。例として、令和4年改正では保有個人データの定義変更(6か月除外削除)や第三者提供・越境移転の説明義務等が強化されました(法16条4項、法27条~28条、法32条等)。

そのため、法改正の動向には日頃から注意しておく必要があります。

4 まとめ

個人情報に係る利用目的や利用方法は、事業内容によっても大きく左右されます。

事業者は、インターネット上に転がっている雛形を流用するのではなく、自社の事業に適したオリジナルのプライバシーポリシーを作成することが大切です。

この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。

勝部 泰之(弁護士|東京弁護士会・登録番号35487/中小企業診断士) 注力:知的財産権・著作権/ライセンス、ブロックチェーン、データ・AI法務 GWU Law LL.M.(知的財産法) 事業の成長とリスクを両立する実務寄りの助言に注力しています。

関連記事

目次