1. ホーム
  2. 契約書・関連法

【令和2年 改正個人情報保護法に対応】プライバシーポリシーとは?作成ポイントは?【ひな形付】

Q
当社のサービスでは、顧客から個人情報等を取得しますので、プライバシーポリシー(個人情報保護方針)を作成したいと思います。
【令和2年 改正個人情報保護法】が令和4年(2022)年4月1日から施行されるということですので、改正法に対応したプライバシーポリシー(個人情報保護方針)を作成する際のポイントを教えてください。

A 
プライバシーポリシー(個人情報保護方針)は、個人情報保護法の内容を踏まえたうえで利用目的や第三者提供等に関する事項も含め、適切な内容とすることが重要です。
プライバシーポリシーは、利用規約と同様、サービス提供に関する条件などを記載した文書であるため、理屈のうえではプライバシーポリシーの内容を利用規約の中に埋め込むこともできます。
しかし、個人情報やパーソナルデータを取り扱うウェブサービスでは、ほとんど必ず、利用規約とは独立した文書としてプライバシーポリシーを用意しています。これは、それだけ情報の取扱いに慎重さが求められていることの表れといえ、作成の際には慎重な姿勢を有するべきでしょう。


澤田直彦

監修弁護士:澤田直彦
弁護士法人 直法律事務所 代表弁護士

IPO弁護士として、ベンチャースタートアップ企業のIPO実績や社外役員経験等をもとに、永田町にて弁護士法人を設立・運営しています。
本記事では、
プライバシーポリシーとは何かを簡単にわかりやすく解説します。

弁護士のプロフィール紹介はこちら直法律事務所の概要はこちら

プライバシーポリシーとは

そもそもプライバシーポリシーとは何なのでしょうか?どのような役割を担うものなのでしょうか?

プライバシーポリシーとは

プライバシーポリシーとは、特定のユーザー個人を識別することができる情報である「個人情報」および位置情報や購買情報などのユーザーの行動・状態に関する情報である「パーソナルデータ」(個人情報保護法では、匿名加工情報、仮名加工情報、個人関連情報等として整理されています)の取扱い方針(ポリシー)を定めた文書です。

プライバシーポリシーの役割とは

プライバシーポリシーは、 ①各種の法律・ルールの下で、「個人情報保護法での公表義務や、プライバシーマークの要請に対応する」 という役割を担っています。

個人情報保護法において、「プライバシーポリシーを定めなければならない」という規定はありません。

しかし、個人情報保護法においては、個人情報に関する「利用目的」「第三者提供」「保有個人データに関する事項」などに関する規定があり、ユーザーから「個人情報」を取得し、また利用等をする際には、これら一定の事項について公表することが義務づけられています(18条)。

個人情報保護法では、「個人情報」を「特定の個人を識別することができるもの」と定められています(個人情報保護法2条1項)。
「識別できる」とは、一般人の判断能力や理解力をもってすれば、当該情報の主体である個人を認識できる場合のことをいい、具体的には、氏名や、氏名と結びつくことで個人の特定につながる情報(生年月日、連絡先、勤務先等)を指します。

これらの個人情報保護法に定める「個人情報」については、最低限プライバシーポリシーの対象としなければなりません。

そして、2017年(平成29年)には、ビッグデータの利活用の推進等のため、改正個人情報保護法が施行されました。プライバシーマークを取得している会社では、さらに法律よりも厳しいルール(JISQ15001)が適用されます。

また、プライバシーポリシーは、
②「個人情報およびパーソナルデータの取扱い方針をわかりやすく明示することによって、ユーザーの不安を和らげる」 という役割も担っています。

そもそも、ユーザーにとって、ウェブサービス事業者に個人情報やパーソナルデータを取得されるのは、あまり気持ちの良いことではありません。

特に最近では、氏名、住所、電話番号といった単純な情報にとどまらず、位置情報やウェブサイトの閲覧履歴に代表される、行動パターンやユーザーの嗜好といった「人となり」まで浮き彫りにできる情報まで取得される傾向があり、ユーザーの警戒心はかなり大きいのが現状です。

そのため、法律の要請を満たしているサービスであっても、個人情報やパーソナルデータの取扱いを誤ると、ユーザーから強い反発を受けてしまうことにつながります。

そこで、個人情報保護法における「個人情報」の範囲を超えた情報についても、プライバシーポリシーの対象としている例が多く見受けられます。

これは、個人情報保護法の要請によるものではなく、サービスの利用者に対して安心感を与えるため、あくまで各企業が自主的に定めているものになります。

令和2年改正 個人情報保護法

令和2年に改正された個人情報保護法(施行日:令和4年4月1日)では、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものを個人関連情報と定めました(法26条の2)。

具体的には、
①クッキー等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴
②メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等
③ある個人の商品購買履歴・サービス利用履歴
④ある個人の位置情報
⑤ある個人の興味・関心を示す情報
等が挙げられます。

個人関連情報取扱事業者は、個人関連情報を第三者に提供しようとする場合において、第三者が個人データとして個人関連情報を取得することが想定されるときは、本人の同意が得られていること等を確認する義務を負います。

本記事で説明する令和2年改正の個人情報保護法は改正事項の一部にすぎません。

事業者の皆様におかれましては、施行日(4月1日)までに
①プライバシーポリシーの改訂
②会社内部規程の改訂
③漏洩など対応・保有個人データの権利行使対応の体制整備
④外国にある第三者提供の規制強化への対応
⑤個人関連情報規制導入への対応
⑥オプトアウト規制強化への対応
⑦仮名加工情報制度を活用する場合の対応
⑧従業員研修
⑨個人方法保護委員会Q&A改正への対応チェック


を完了する必要があります。

当事務所においてもご相談が非常に多くなっておりますので、施行日(4月1日)までに、最短距離での実務対応をご希望の皆様におかれましては、当事務所まで、お早めにお問い合わせ下さい(30分の無料相談も承っております)。

利用目的と利用目的の変更

個人情報保護法は、個人情報を取得するにあたっては、

  • その利用目的をできる限り特定し
  • 明示しなければ(「あらかじめ「公表」または取得後すみやかに「本人に通知」または「公表」しなければ」)ならず
  • かつ、あらかじめ本人の同意を得ない限り特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない


というルールを定めています(15条、16条1項ならびに18条1項および2項)。

そのため、プライバシーポリシーには、必ず個人情報の利用目的を記載してください。

また、個人情報保護法は、利用目的をかなり具体的に特定することを求めている点に注意が必要です。「利用目的の特定」の趣旨は、個人情報を取り扱う者が、個人情報がどのような事業の用に供され、どのような目的で利用されるかについて明確な認識を持ち、できるだけ具体的に明確にすることにより、個人情報が取り扱われる範囲を確定するとともに、本人の予測を可能とすることにあるからです。

そのため、たとえば「事業活動に用いるため」、「マーケティング活動に用いるため」などというレベルでは、「利用目的を具体的に特定していない」と考えられています。

「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのため」、「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします」、「取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供します」、といったレベルまで、目的を特定することが求められているのです(個人情報の保護に関する法律についてのガイドライン(通則編))(平成28年個人情報保護委員会告示第6号)。

また、その後の利用目的の変更も自由に認められるわけではなく、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならず(第15条2項)、また変更後の利用目的については本人に通知し、または公表しなければなりません。

澤田直彦

変更された利用目的は、本人に通知するか、又は公表しなければなりません。
実務上、メールにて利用目的を変更したことを案内することが多いように思われます。

個人情報の管理

企業が個人情報を取得した場合、漏えい事故などが起きないように適切に管理することが義務付けられています(個人情報保護法第20条)。 これを踏まえて、自社でも個人情報を安全に管理することを記載します。

プライバシーポリシーには、管理方法についても明記するとよいでしょう。

令和2年改正 個人情報保護法

保有個人データの安全管理のために講じた措置が、保有個人データに関する公表等事項に追加されました。そのため、この点をプライバシーポリシーの改正事項とする企業様も多いです。

特に、外的環境の把握の関係で、事業者が外国にある支店・営業所で個人データを取り扱わせる場合、外国にある第三者に固人データの取扱いを委託する場合、外国のクラウド事業者を用いる場合、外国で従業員にテレワークさせる場合等には外国の国名の公表等が求められますのでご注意ください。

澤田直彦

安全管理のために講じた措置として、以下の7つの項目について記載しなければなりません。
正確に対応をされたい事業者様におかれましては、当事務所までお気軽にお問い合わせ下さい。

・基本方針の策定
・個人データの取扱いに係る規律の整備
・組織的安全管理措置
・人的安全管理措置
・物理的安全管理措置
・技術的安全管理措置
・外的環境の把握

第三者提供

例文

(第三者提供)
当社は、利用者情報のうち、個人情報については、あらかじめユーザーの同意を得ないで、第三者(日本国外にある者を含みます。)に提供しません。ただし、次に掲げる必要があり第三者(日本国外にある者を含みます。)に提供する場合はこの限りではありません。
(1)当社が利用目的の達成に必要な範囲において個人情報の取扱いの全部または一部を委託する場合
(2)合併その他の事由による事業の承継に伴って個人情報が提供される場合
(3)第4項の定めに従って、提供先または情報収集モジュール提供者へ個人情報が提供される場合
(4)国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、
ユーザーの同意を得ることによって当該事務の遂行に支障を及ぼすおそれがある場合
(5)その他、個人情報の保護に関する法律(以下「個人情報保護法」といいます。)その他の法令で認められる場合
個人情報の第三者提供は原則として行わないこととしつつ、委託先への開示、事業承継、情報収集モジュールによる提供、その他法令による場合を例外として明示しています。 個人情報取扱事業者は、原則としてあらかじめ本人の同意を得ないで個人データを第三者に提供してはいけません。 そのため、第三者に提供することを予定している場合には、プライバシーポリシーにおいて明示するのみでは足りず、あらかじめ本人の同意を得なければならないのが原則です。 しかし、以下の場合には、プライバシーポリシーにおいて一定事項を明示しておくことにより、本人の同意なく第三者への提供が例外的に認められます。

オプトアウト

個人情報保護法では、「オプトアウト」と呼ばれる、一定の要件を充たす代わりに本人から明示的な同意を得ずに個人データを第三者提供できる手続きを定めています。

このオプトアウトによる第三者提供を採用する場合、事業者は、本人の求めに応じて個人データの提供を停止し、個人情報保護委員会規則に定める事項を通知または本人が容易に知り得る状態に置き、さらに個人情報保護委員会へ届出を行う義務を負います(23条2項~4項)

前述の第三者提供時の記録義務や届出義務は、2017年(平成29年)に施行された改正個人情報保護法で特に義務が加重された主なポイントです。 なお、オプトアウト方式で第三者提供を行えるからといって、個人情報の第三者提供を行う際に本人の同意を取る必要はないと考えるのは早計です。
ユーザーにとってみれば、同意していないのに自分の個人情報が第三者に提供されていたという抵抗感・不快感は、その利用方法によってはウェブサービスに対する信頼を大きく傷つけてしまうこともあるからです。

そのため、オプトアウト方式で個人情報の第三者提供を行う場合は、本人からの同意に基づいて行うとき以上に、ユーザーの立場に立って必要性や許容性を検討することをおすすめします。

令和2年改正 個人情報保護法

改正法では、オプトアウト規定に基づいて本人の同意なく第三者提供できる個人データの範囲がより限定されました。
具体的には、要配慮個人情報に加え、以下の個人データはオプトアウト規定に基づいて提供することはできないこととされました(法23条2項但し書き)

① 法17条1項の規定に違反し、不正の手段により取得された個人データ
② オプトアウト規定により提供された個人データ

澤田直彦

オプトアウト規定によって第三者に提供できる個人データの範囲の限定は、改正法の施行後にオプトアウト規定によって提供する場合に適用されます。

そのため、改正法の施行前にオプトアウト規定によって取得されたデータを、改正法の施行後にオプトアウト規定によって提供することは禁止されます。

オプトアウト届出事業者は、オプトアウト規定により提供を予定している個人データに要配慮個人情報だけでなく、改正法により追加された上記個人データが含まれていないか確認するようにして下さい。

本記事で説明する令和2年改正の個人情報保護法は改正事項の一部にすぎません。

事業者の皆様におかれましては、施行日(4月1日)までに
①プライバシーポリシーの改訂
②会社内部規程の改訂
③漏洩など対応・保有個人データの権利行使対応の体制整備
④外国にある第三者提供の規制強化への対応
⑤個人関連情報規制導入への対応
⑥オプトアウト規制強化への対応
⑦仮名加工情報制度を活用する場合の対応
⑧従業員研修
⑨個人方法保護委員会Q&A改正への対応チェック


を完了する必要があります。 当事務所においてもご相談が非常に多くなっておりますので、施行日(4月1日)までに、最短距離での実務対応をご希望の皆様におかれましては、当事務所まで、お早めにお問い合わせ下さい(30分の無料相談も承っております)。

共同利用

例文

(共同利用)
当社は、以下のとおりユーザーの個人情報を共同利用します。
(1)共同利用される個人情報の項目
(2)共同して利用する者の範囲
(3)共同して利用する者の利用目的
(4)個人情報の管理について責任を有する者の氏名または名称 単に第三者へ個人情報を提供する場合とは別に、個人情報をグループ会社などの間で共同して利用する場合において、以下の事項をあらかじめ本人に通知し、または本人に容易に知り得る状態に置いているときには、本人から同意を得ずに、共同利用者へ個人情報を提供することも、個人情報保護法は認めています(23条5項3号)。 ・共同利用する旨
・共同して利用される個人データの項目
・共同して利用する者の範囲
・利用する者の利用目的および当該個人データの管理について責任を有する者の氏名または名称 共同利用については、あるポイントカード制度において、加盟店を共同利用者としてポイントカード運用主体との間で個人データを共同利用した事例が消費者から問題視された事案がありました。 これを受け、2014年12月の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」改訂では、上記の「共同して利用する者の範囲」については、「本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある」とされた経緯があります。 したがって、共同利用により複数の事業者間で個人データを共有する場合は、以下のようにするのがよいでしょう。 共同利用のポイントは、以下のとおりです。 * ユーザーからの一体としてみられ、お互いに責任を負うことができるような特定企業(資本関係のあるグループ企業等)との間で範囲を固定的・限定的に用いる * それ以外の場合は、個別に同意を得て「第三者への提供」の形をとる

令和2年改正 個人情報保護法

本改正では、上記当該個人データの管理について責任を有する者の氏名または名称に関して、当該責任者の住所及び、それが法人である場合にはその代表者の氏名を通知又は公表することが求められました。

澤田直彦

個人情報(個人データ)を共同利用する場合には、まず、上記で説明した事項が予め本人に通知又は公表されているかチェックして下さい。

また、公表の方法について、実務上はプライバシーポリシーにおける共同利用の公表事項欄から、会社概要ページの代表者名と住所が記載している箇所にリンクを張っておくような対応が考えられます。

こうすることで、会社名や代表者、住所の変更があった場合にも、会社概要ページを更新し、共同利用に関する公表事項自体は変更しないといった対応が可能になるのです。

外国にある第三者への提供

2017年(平成29年)に施行された改正個人情報保護法では、ウェブサービス事業者が個人データを外国にある第三者に提供する場合は、以下の①から③までのいずれかに該当する場合を除いて、予め「外国にある第三者への個人データの提供を認める旨の本人の同意」を取得する義務が追加されました(24条)

①当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として
個人情報保護法施行規則で定める国に当たる場合
→上記の外国がどこかはこちらをご覧ください。

②当該第三者が、個人情報取扱事業者が講ずべき措置(相当措置)を継続的に講ずるために必要な
体制として規則で定める基準に適合する体制(基準適合体制)を整備している場合

③法23条1項各号に該当する場合

ウェブサービスの運営においては、一部業務の委託先が外国事業者となる場合も少なくありません。このような場合には、プライバシーポリシーに、

・提供先の国または地域名を個別に示す方法
・実質的に本人から見て提供先の国名等を特定できる方法
・国名等を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法 などから、取り扱う情報等に応じ、適切と思われる方法で情報を開示して同意を取得する必要があります。 その他、外国にある第三者への提供にあたっての具体的な義務については、「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(平成28年個人情報保護委員会告示第7号)」が参考になります。

令和2年改正 個人情報保護法

本改正では、外国にある第三者への個人データの提供を同意を根拠として行う場合には、情報提供の充実が義務づけられました。
具体的には、以下の情報を本人に対して提供する義務があります。

①当該外国の名称
②適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度
③当該第三者が講ずる個人情報の保護のための措置に関する情報


また、外国にある第三者が、個人情報取扱事業者が講ずべき措置(相当措置)を継続的に講ずるために必要な体制として規則で定める基準に適合する体制(基準適合体制)を整備しているとして、個人データを当該第三者に提供する場合には、事業者は以下の①及び②の対応が義務づけられました。

①移転先事業者による相当措置の継続的な実施を確保するために必要な措置を講じること
②本人の求めに応じて、当該必要な措置に関する情報を本人に提供すること

澤田直彦

上記の相当措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備していることを根拠に、外国にある第三者に個人データを提供する場合、提供元と提供先間の契約書等により、個人情報保護法の趣旨に則った措置の実施を確保する必要があります。
そのため、今一度、契約書などを確認するようにして下さい。

保有個人データに関する事項


例文

(個人情報の開示)
当社は、ユーザーから、個人情報保護法の定めに基づき個人情報の開示を求められたときは、ユーザーご本人からのご請求であることを確認の上で、ユーザーに対し、遅滞なく開示を行います(当該個人情報が存在しないときにはその旨を通知いたします。)。
ただし、個人情報保護法その他の法令により、当社が開示の義務を負わない場合は、この限りではありません。なお、個人情報の開示につきましては、手数料(1件あたり1,000円)を頂戴しておりますので、あらかじめ御了承ください。


保有個人データとは、個人情報取扱事業者が開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データを意味します。

この保有個人データについては、一定の事項を本人の知り得る状態(本人の求めに応じて、遅滞なく回答する場合を含みます。)におかなければなりません。そこで、プライバシーポリシーにおいては、

・当該個人情報取扱事業者の氏名または名称
・すべての保有個人データの利用目的
・個人情報保護法上の開示等の求めに応じる手続
・個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先


などについて定め、本人の知り得る状態においておくことになります。

このうち、上記の「個人情報保護法上の開示等の求めに応じる手続」に関しては、開示等の求めを受け付ける方法として一定の事項を定めることができます。そのため、プライバシーポリシーにおいて

  • 開示等の求めの申出先
  • 開示等の求めに際して提出すべき書面の様式、その他開示等の求めの受付方法
  • 開示等の求めをする者が本人またはその代理人であることの確認の方法
  • 保有個人データの利用目的の通知、または開示をする際に徴収する手数料の徴収方法


を定めておき、本人確認を十分行うことができるようにしておくことが考えられます。

保有個人データの取扱いのポイントは、以下のとおりです。


  • 法令上はどこまで要求されているかを正確に理解しつつ、実際に対応できる対応方法を定めておく
  • 誤った対応による二次被害を生じさせないためにも、本人確認のうえで開示等に対応することを明確にしておく

匿名加工情報に関する事項


2017年(平成29年)の改正個人情報保護法施行により、「匿名加工情報」が定義されました。特定の個人を識別することができないように加工した情報は、いわゆるビッグデータとして、一定の規律の下での利活用が認められています。

匿名加工情報を作成した場合には、匿名加工情報に含まれる個人に関する情報の項目を、さらに第三者提供をした場合には匿名加工情報に含まれる個人に関する情報およびその提供の方法を、それぞれ公表する義務が個人情報保護法に定められました(36条3項および4項、37条)。

また、匿名加工情報を作成した企業および匿名加工情報取扱事業者は、匿名加工情報の適正な取扱いを確保するために必要な措置を講じ、その内容を公表する努力義務も定められています(36条6項、39条)。

したがって、匿名加工情報を取り扱う場合は、これらをプライバシーポリシーに盛り込み公表する必要があります。

具体的には、それぞれの条文のほか「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)(平成28年個人情報保護委員会告示第9号)」を確認してください。

仮名加工情報について


令和2年改正の個人情報保護法では、仮名加工情報という情報が新設されました。
仮名加工情報とは、法2条9項1号及び2号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいいます。

例えば、会員ID、氏名、年齢、性別、サービス利用履歴が含まれる個人情報を加工する場合に氏名を削除(加工)して仮名加工情報を作成することが考えられます。

匿名加工情報*(法2条11項)との違いは、

①匿名加工情報は、「当該個人情報を復元することができないようにしたもの」という要件が課されているのに対して、仮名加工情報ではかかる要件は課されていないこと
及び
②仮名加工情報は「他の情報と照合しない限り」特定の個人を識別することができないことが要件とされ、「他の情報と照合しない限り」は要件とされていないこと
です。

仮名加工情報は、個人情報取扱事業者内部において元々の個人情報の利用目的とは異なる目的での利用が可能となることが最も重要なメリットです。漏洩等報告義務や保有個人データの権利行使への対応義務も免除されています。

個人データの開示、訂正等の手続きについて


企業が個人データを保有しているときは、本人から請求があったときに保有している個人データの内容を本人に開示したり、個人データに間違いが見つかったときに訂正に応じたりするための手続きを定めて、公表することが義務付けられています(個人情報保護法第27条)。

そのため、個人データの開示や訂正の手続きについて、プライバシーポリシーに記載する必要があります。

令和2年改正 個人情報保護法

改正法では、個人情報取扱事業者が保有する個人データについて、個人の権利(開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権利)が強化されました。

端的にいうと、
①保有個人データの利用停止、消去、第三者提供の停止の請求に係る要件の緩和
②保有個人データの開示のデジタル化の推進
③開示等の対象となる保有個人データの範囲の拡大

です。

①については、保有個人データの利用停止・消去の請求、第三者提供の停止の請求に関し、個人の権利の範囲を広げる方向で検討され、以下の場合にも請求が認められることとなりました。

・当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合(利用目的が達成され当該目的との関係では当該保有個人データを保有する合理的な理由が存在しなくなった場合や利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合等をいう)
・当該本人が識別される保有個人データに係る法22条の21項本文に規定する事態(個人データの漏洩などによる報告義務)が生じた場合
・その他本人が識別される保有個人データの取扱いにより当該本人の権利または正当な利益が害される恐れがある場合

個人情報取扱事業者は、上記を理由とした請求を受けた場合であって、その請求に理由があることが判明した場合には、本人の権利利益侵害を防止するために必要な限度で、遅滞なく、請求に応じる必要があります(法30条6項)。

②については、本人が、電磁的記録の提供を含め、開示方法を指示できるようになり、請求を受けた個人情報取扱事業者は、原則として、本人が指示した方法により開示することが義務づけられました。

③については、本人による開示請求の対象となる保有個人データについて、保存期間による限定をしないこととされ、改正前では保有個人データから除外されている6か月以内に消去することとされている短期保存データも、改正法では保有個人データに含まれることになりました。
また、開示請求の対象には、個人データに係る第三者提供に関する確認記録についても及ぶようになります。


本記事で説明する令和2年改正の個人情報保護法は改正事項の一部にすぎません。

事業者の皆様におかれましては、施行日(4月1日)までに
①プライバシーポリシーの改訂
②会社内部規程の改訂
③漏洩など対応・保有個人データの権利行使対応の体制整備
④外国にある第三者提供の規制強化への対応
⑤個人関連情報規制導入への対応
⑥オプトアウト規制強化への対応
⑦仮名加工情報制度を活用する場合の対応
⑧従業員研修
⑨個人方法保護委員会Q&A改正への対応チェック


を完了する必要があります。

当事務所においてもご相談が非常に多くなっておりますので、施行日(4月1日)までに、最短距離での実務対応をご希望の皆様におかれましては、当事務所まで、お早めにお問い合わせ下さい(30分の無料相談も承っております)。

個人情報の取扱いに関する相談や苦情の連絡先


企業は個人データの取扱いに関する苦情の申し出先を「本人の知り得る状態におく」ことが法律上求められています(個人情報保護法第27条1項4号、個人情報保護法施行令第8条1号)。
そのため、苦情の申し出先として企業の連絡先をプライバシーポリシーに記載しなければなりません。

プライバシーポリシーの設置場所


プライバシーポリシーは、「ユーザーがその内容を容易に知り得た」といえる状況を整えるため、ウェブサービスのトップページから1回の操作で到達できる場所へ掲載しておくべきです。

特に利用目的については、個人情報保護法が直接本人から書面や電磁的方法で個人情報を取得する場合に「あらかじめ、本人に対し、その利用目的を明示」することを求めています(18条)。

そのため、個人情報の登録受けるウェブサービスにおいては、その登録の過程でユーザーが確実にプライバシーポリシーを閲覧できるように、利用規約と同様の方法でプライバシーポリシーをユーザーに提示する必要があります。

一般的には、ホームページのフッターにプライバシーポリシーへのリンクを設置しておくケースが多いです。
プライバシーポリシーの設置について問題になった事例として、以下のようなものがあります。後述するスマホアプリでは、画面の表示域が狭いこともあり、このようなプライバシーポリシーの明示・設置漏れが生じがちなので、要注意です。

米デルタ航空がマイル会員ユーザー向けに提供しているモバイルアプリ「Fly Delta」において、プライバシーポリシーを明示せずに個人情報を取得したことが同州の法律に抵触していると問題になり、カリフォルニア州が1件あたり2,500ドルの損害賠償請求をするという事件がありました。

スマホアプリのプライバシーポリシー


一般的には、一企業においては、全ての個人情報の取扱いについて共通で定めた1つのプライバシーポリシーを策定していることも多いのですが、スマートフォン用のアプリケーション(スマホアプリ)については、共通のプライバシーポリシーとは別個作成しているケースも多く見受けられます。
したがって、スマホアプリのビジネスを行う場合には、このような対応をとることも検討した方がよいでしょう。

改正民法とプライバシーポリシー


プライバシーポリシーが改正民法で規定される「定型約款に該当するのか」という質問を受けることがあります。

しかし、プライバシーポリシーは主に個人情報保護法に基づく要請で定められること、同法に基づき顧客の同意を求めることが一般的であり、契約の成立に向けられたものではありません。

そのため、プライバシーポリシーは「契約の内容とすることを目的としてその特定の者により準備された条項の総体」には該当せず(改正民法548条の2第1項柱書)、定型約款に関する規律が直接適用されることはないと考えられます。


▼プライバシーポリシーに関するご相談、利用規約や契約書の作成・チェックも承っております。

直法律事務所

ひな形


以下は、プライバシーポリシーのひな形の一つです。作成の際に参考にするとよいでしょう。

また、会社内の個人情報保護に関する規程、取引先との個人情報保護法を遵守した契約書作成、本人からの同意取得の文言例など、直法律事務所では改正個人情報保護法に則った各種書式をご用意しておりますので、お気軽にご相談ください。


※注意※ あくまで”ひな形”です。特に盛り込みたい内容や、不明点がある場合には直法律事務所お問い合わせください。

【会社の正式な商号】(以下「当社」といいます。)は、当社の提供するサービス(以下「本サービス」といいます。)における、ユーザーについての個人情報を含む利用者情報の取扱いについて、以下のとおりプライバシーポリシー(以下「本ポリシー」といいます。)を定めます。

1.収集する利用者情報及び収集方法
本ポリシーにおいて、「利用者情報」とは、ユーザーの識別に係る情報、通信サービス上の行動履歴、その他ユーザーまたはユーザーの端末に関連して生成または蓄積された情報であって、本ポリシーに基づき当社が収集するものを意味するものとします。 本サービスにおいて当社が収集する利用者情報は、その収集方法に応じて、以下のようなものとなります。
(1) ユーザーからご提供いただく情報 本サービスを利用するために、または本サービスの利用を通じてユーザーからご提供いただく情報は以下のとおりです。
・氏名、生年月日、性別、職業等プロフィールに関する情報
・メールアドレス、電話番号、住所等連絡先に関する情報
・クレジットカード情報、銀行口座情報、電子マネー情報等決済手段に関する情報
・ユーザーの肖像を含む静止画情報
・入力フォームその他当社が定める方法を通じてユーザーが入力または送信する情報
(2) ユーザーが本サービスの利用において、他のサービスと連携を許可することにより、当該他のサービスからご提供いただく情報
ユーザーが、本サービスを利用するにあたり、ソーシャルネットワーキングサービス等の他のサービスとの連携を許可した場合には、その許可の際にご同意いただいた内容に基づき、以下の情報を当該外部サービスから収集します。
・当該外部サービスでユーザーが利用するID
・その他当該外部サービスのプライバシー設定によりユーザーが連携先に開示を認めた情報
(3) ユーザーが本サービスを利用するにあたって、当社が収集する情報
当社は、本サービスへのアクセス状況やそのご利用方法に関する情報を収集することがあります。これには以下の情報が含まれます。
・リファラ
・IPアドレス
・サーバーアクセスログに関する情報
・Cookie、ADID、IDFAその他の識別子
(4) ユーザーが本サービスを利用するにあたって、当社がユーザーの個別同意に基づいて収集する情報
当社は、ユーザーが3-1に定める方法により個別に同意した場合、当社は以下の情報を利用中の端末から収集します。
・位置情報

2.利用目的
本サービスのサービス提供にかかわる利用者情報の具体的な利用目的は以下のとおりです。
(1) 本サービスに関する登録の受付、本人確認、ユーザー認証、ユーザー設定の記録、利用料金の決済計算等本サービスの提供、維持、保護及び改善のため
(2) ユーザーのトラフィック測定及び行動測定のため
(3) 広告の配信、表示及び効果測定のため
(4) 本サービスに関するご案内、お問い合わせ等への対応のため
(5) 本サービスに関する当社の規約、ポリシー等(以下「規約等」といいます。)に違反する行為に対する対応のため
(6) 本サービスに関する規約等の変更などを通知するため

3.通知・公表または同意取得の方法、利用中止要請の方法
3-1 以下の利用者情報については、その収集が行われる前にユーザーの同意を得るものとします。
・位置情報
3-2 ユーザーは、本サービスの所定の設定を行うことにより、利用者情報の全部または一部についてその収集又は利用の停止を求めることができ、この場合、当社は速やかに、当社の定めるところに従い、その利用を停止します。なお利用者情報の項目によっては、その収集または利用が本サービスの前提となるため、当社所定の方法により本サービスを退会した場合に限り、当社はその収集又は利用を停止します。

4.外部送信、第三者提供、情報収集モジュールの有無
4-1 本サービスでは、以下の提携先が、ユーザーの端末にCookieを保存し、これを利用して利用者情報を蓄積及び利用している場合があります。
(1) 提携先
(2) 上記提携先のプライバシーポリシーのURL
(3) 上記提携先のオプトアウト(無効化)URL
4-2 本サービスには以下の情報収集モジュールが組み込まれています。これに伴い、以下のとおり情報収集モジュール提供者(日本国外にある者を含みます。)への利用者情報の提供を行います。
(1) 情報収集モジュールの名称
(2) 情報収集モジュールの提供者
(3) 提供される利用者情報の項目
(4) 提供の手段・方法
(5) 上記提供者における利用目的
(6) 上記提供者における第三者提供の有無
(7) 上記提供者のプライバシーポリシーのURL

5.第三者提供
当社は、利用者情報のうち、個人情報については、あらかじめユーザーの同意を得ないで、第三者に提供しません。但し、次に掲げる必要があり第三者に提供する場合はこの限りではありません。
(1) 当社が利用目的の達成に必要な範囲内において個人情報の取扱いの全部または一部を委託する場合
(2) 合併その他の事由による事業の承継に伴って個人情報が提供される場合
(3) 第4項の定めに従って、提携先または情報収集モジュール提供者へ個人情報が提供される場合
(4) 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、ユーザーの同意を得ることによって当該事務の遂行に支障を及ぼすおそれがある場合
(5) その他、個人情報の保護に関する法律(以下「個人情報保護法」といいます。)その他の法令で認められる場合

6.安全管理措置
個人情報への不正アクセス、個人情報の漏えい、滅失、又はき損の予防及び是正のため、当社内において規程を整備し安全対策に努めます。以上の目的を達するため、当社は以下の措置を講じています。
① 個人情報・個人データの適正な取扱いのため、法令及びガイドライン所定が定める各対応を実施するに当たっての基本方針の策定
② 取得・利用・保存・提供・削除・廃棄等の各対応及び責任者と役割を定めた各種規定の策定
③ 責任者の設置、個人データを取り扱う従業員及び取扱い個人データの範囲の明確化、法及び規程に違反している事実又は兆候を把握した場合の責任者への報告連絡体制の整備、取扱い状況に関する定期点検等の組織的安全管理措置
④ 個人データについての秘密保持に関する事項を就業規則に記載し、個人データの取扱いに関する留意事項について定期研修を実施する等の人的安全管理措置
⑤ 従業員の入退出管理、持ち込み機器の制限、個人データを取り扱う機器及び電子媒体・書類の盗難・紛失等を防止するための持ち出し制限・管理等の物理的安全管理措置
⑥ 個人データを取り扱う情報システムに対する外部からの不正アクセス又は不正ソフトウェアから保護するシステムの導入等の技術的安全管理措置

7.共同利用
当社は、以下のとおりユーザーの個人情報を共同利用します。
(1) 共同して利用される個人情報の項目
(2) 共同して利用する者の範囲
(3) 共同して利用する者の利用目的
(4) 個人情報の管理について責任を有する者の氏名または名称、住所(法人にあっては代表者名)

8.個人情報の開示
当社は、ユーザーから、個人情報保護法の定めに基づき個人情報の開示を求められたときは、ユーザーご本人からのご請求であることを確認の上で、ユーザーに対し、遅滞なく開示を行います(当該個人情報が存在しないときにはその旨を通知いたします。)。但し、個人情報保護法その他の法令により、当社が開示の義務を負わない場合は、この限りではありません。なお、個人情報の開示につきましては、手数料(1件あたり1,000円)を頂戴しておりますので、あらかじめ御了承ください。

9.個人情報の訂正及び利用停止等
9-1 当社は、ユーザーから、(1)個人情報が真実でないという理由によって個人情報保護法の定めに基づきその内容の訂正を求められた場合、及び(2)あらかじめ公表された利用目的の範囲を超えて取扱われているという理由または偽りその他不正の手段により収集されたものであるという理由により、個人情報保護法の定めに基づきその利用の停止を求められた場合には、ユーザーご本人からのご請求であることを確認の上で遅滞なく必要な調査を行い、その結果に基づき、個人情報の内容の訂正または利用停止を行い、その旨をユーザーに通知します。なお、訂正または利用停止を行わない旨の決定をしたときは、ユーザーに対しその旨を通知いたします。
9-2当社は、ユーザーから、ユーザーの個人情報について消去を求められた場合、当社が当該請求に応じる必要があると判断した場合は、ユーザーご本人からのご請求であることを確認の上で、個人情報の消去を行い、その旨をユーザーに通知します。
9-3個人情報保護法その他の法令により、当社が訂正等または利用停止等の義務を負わない場合は、8-1および8-2の規定は適用されません。

10.お問い合わせ窓口
ご意見、ご質問、苦情のお申出その他利用者情報の取扱いに関するお問い合わせは、下記の窓口までお願いいたします。
住所:〒●●
株式会社●●
個人情報取扱責任者:●●
連絡先:●●

11.プライバシーポリシーの変更手続
当社は、必要に応じて、本ポリシーを変更します。但し、法令上ユーザーの同意が必要となるような本ポリシーの変更を行う場合、変更後の本ポリシーは、当社所定の方法で変更に同意したユーザーに対してのみ適用されるものとします。なお、当社は、本ポリシーを変更する場合には、変更後の本ポリシーの施行時期及び内容を当社のウェブサイト上での表示その他の適切な方法により周知し、またはユーザーに通知します。
【●年●月●日制定】
【●年●月●日改定】


【関連記事】
【法務担当者が一人でできる!】契約書作成マニュアル~自社を守るために~
【法務担当者必見!】個人情報の取扱い~外部へ委託をする場合~

弊所HPでは契約書の雛形(書式)がダウンロードできます。
こちらの記事で取り上げたプライバシーポリシーのひな形(書式)もございます。自社のビジネスに即した形でカスタマイズすることは必須ですが、ぜひご参照ください。
契約書ダウンロード


直法律事務所では、IPO(上場準備)、上場後のサポートを行っております。
その他、プラットフォーム、クラウド、SaaSビジネスについて、ビジネスモデルが適法なのか(法規制に抵触しないか)迅速に審査の上、アドバイスいたします。お気軽にお問い合わせください。
ご面談でのアドバイスは当事務所のクライアントからのご紹介の場合には無料となっておりますが、別途レポート(有料)をご希望の場合は面談時にお見積り致します。


契約書・プライバシーポリシー
の作成は弁護士に相談して解決

何気なく相手の提出してきた契約書に判子を押したがために、自社のビジネスがとん挫したというケースが枚挙にいとまがありません。会社を守る戦略的な契約書の作成をご希望のお客様は、企業法務を得意とする弁護士にご相談下さい。

クライアント企業一例