会社法務

【ひな形あり】プライバシーポリシーを作成する場合の留意点

  • このエントリーをはてなブックマークに追加
  • Pocket

あなたの会社がWEBサイトにおいて個人情報を取得する場合には、プライバシーポリシーを作成することが必要です。

なぜなら、個人情報保護法においては、個人情報を取得、利用する際には、利用目的等について公表することが義務付けられているからです(個人情報保護法18条)。

会社が取得する個人情報の取り扱いについて、サービス利用者との間で紛争が生じるケースが多く見受けられますが、会社の事業モデルにあったプライバシーポリシーを作成することで、利用者との間の紛争を未然に防ぐこともできます。

他の会社が公表しているプライバシーポリシーをまねて作成をしているだけでは、思わぬところで、トラブルになる可能性があります。

そこで、本記事では、新たなWEBサービスの立ち上げを考えている方や、これまであまりプライバシーポリシーの規定を意識していなかった方が改めて見直すきっかけとして、プライバシーポリシーの注意点と基本的な作成方法をご説明します。

個人情報の取り扱い全般については下記の記事をご参照ください。

1 プライバシーポリシーとは

プライバシーポリシーとは、WEB上で収集した個人情報をどのように取り扱うかを定めたものです。

個人情報をどのように取り扱うかについては、個人情報保護法に規定されています。

そのため、プライバシーポリシーは、個人情報保護法を遵守するために作成されるものですが、企業においては、個人情報保護法に定められている個人情報以外の情報についての取り扱いを定めているところが多いです。

2 プライバシーポリシーの対象

プライバシーポリシーは個人情報保護法を遵守するために定められるものですので、個人情報保護法における「個人情報」について確認する必要があります。

個人情報保護法では、「特定の個人を識別することができるもの」、と定められています(個人情報保護法2条1項)。

「識別できる」とは、一般人の判断能力や理解力をもってすれば、当該情報の主体である個人を認識できる場合のことをいい、具体的には、氏名や、氏名と結びつくことで個人の特定につながる情報(生年月日、連絡先、勤務先等)を指します。

これらの個人情報保護法に定める「個人情報」については、最低限プライバシーポリシーの対象としなければなりません。

個人情報保護法における「個人情報」の範囲を超えた情報についても、プライバシーポリシーの対象としている例が多く見受けられます。

これは、サービスの利用者に対して安心感を与えるために、保護する個人情報の範囲を広げているものになります。

具体的には、位置情報や検索履歴等は、利用者が情報を取得されることに、不安を覚えることが多い情報であることから、あえてプライバシーポリシーの対象としているものが多いようです。

これらは、個人情報保護法の要請によるものではなく、あくまで各企業が自主的に定めているものになります。

したがって、個人情報保護法に定める個人情報の取り扱いについて、プライバシーポリシーで定めておけば、法律上の義務が果たしているということになります。

 

第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

二 個人識別符号が含まれるもの

 

3 利用目的の特定と制限

個人情報を取り扱う場合は、その利用目的をできる限り特定しなければならず(個人情報保護法15条1項)、その利用目的の達成に必要な範囲を超えて個人情報を取り扱うことはできません(個人情報保護法16条1項)。

この利用目的については、あらかじめ公表している場合を除き、速やかに本人に通知又は公表する必要があります(個人情報保護法18条1項)

そのため、本人への通知を行う手間を省く意味でも、プライバシーポリシーにおいてできる限り特定した利用目的を公表しておく必要があります。

利用目的の特定については、

「〇〇事業における商品の発送、関連するアフターサービス、新商品サービスに関する情報のお知らせのために利用いたします。」

という程度まで具体的に特定することが求められます。

単に「事業活動に用いるため」、「マーケティング活動に用いるため」といった、抽象的な内容では特定として不十分です。

なお、個人情報の第三者提供については後述いたしますが、第三者提供を想定している場合には、利用目的においても、そのことを特定しなければなりません。

また、「公表」しているというためには、自社のHPのトップページから1回程度の操作で到達できる場所への掲載が必要となりますので、プライバシーポリシーをHPのどこに配置するかという点についてもご注意する必要があります。

15条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

16条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

 17条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

4 第三者提供

取得した個人情報を第三者に提供する場合、原則としてあらかじめ本人から同意を得る必要があります(個人情報保護法23条1項)。

そのため、プライバシーポリシーにおいても本人の同意なく第三者に個人情報を提供しないことを記載する必要があります。

グループ会社間で個人情報をやり取りする場合でも、第三者提供に該当する場合があり、あらかじめ本人からの同意が必要となりますので注意が必要です。

第23条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

一 法令に基づく場合

二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

5 開示請求

取得した個人情報のうち、保有個人データとされているものについて、本人から開示請求がなされた場合、原則として開示しなければなりません(個人情報保護法28条)。

また、個人情報の訂正、利用停止、利用の通知についても、本人から請求を受けた場合には、原則としてその求めに応じなければなりません(個人情報保護法29条、30条、27条2項)。

このような開示請求等の手続や手数料については個別に定めることができるため(個人情報保護法32条1項、33条1項)、開示の方法について、争いが生じないよう、あらかじめプライバシーポリシーに開示の手続きや手数料について定める必要があります。

第27条

2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。

一 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合

二 第十八条第四項第一号から第三号までに該当する場合

第28条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。

第29条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。

第30条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているとき又は第十七条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。

第32条 個人情報取扱事業者は、第二十七条第二項の規定による求め又は第二十八条第一項、第二十九条第一項若しくは第三十条第一項若しくは第三項の規定による請求(以下この条及び第五十三条第一項において「開示等の請求等」という。)に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない。

第33条 個人情報取扱事業者は、第二十七条第二項の規定による利用目的の通知を求められたとき又は第二十八条第一項の規定による開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる。

 

6 プライバシーポリシーの例

 以上を踏まえた一般的なプライバシーポリシーの例を添付しますので、を参考にしていただければと思います。

 

7 まとめ

いかがでしたでしょうか。

これからプライバシーポリシーを作成される場合はもちろん、これを機に現在利用しているプライバシーポリシーについても見直しを検討して頂ければと思います。

 

  • このエントリーをはてなブックマークに追加
  • Pocket

コメントを残す

1 × 5 =