カテゴリから探す
  1. ホーム
  2. 契約書・関連法

2022/11/09 (水)

プライバシーポリシーとは?関連する規程類についても解説!

Q
「プライバシーポリシー」に関連する規程類を教えてください。


日本では、実務上、プライバシーポリシー以外にも、プライバシーに関わる様々な規程類が定められています。
例えば「利用規約」は、事業者とユーザーとの間に生じる権利・義務を規律するものであり、プライバシーポリシーとは異なるものの、個人情報の取扱いに関する権利・義務が定められる場合があり、プライバシーに関わる規程類として位置づけられることがあります。

一方、プライバシーポリシーとは異なる名称が用いられているものの、実質的にプライバシーポリシーと同義で用いられている規程類もあります。
例えば、「個人情報保護方針」、「個人情報の取扱いについて」といった規程類は、実質的にプライバシーポリシーと同義で用いられることがあります。

本記事では、プライバシーに関わる様々な規程類について、わかりやすく解説します。

澤田直彦

監修弁護士:澤田直彦
弁護士法人 直法律事務所 
代表弁護士

IPO弁護士として、ベンチャースタートアップ企業のIPO実績や社外役員経験等をもとに、永田町にて弁護士法人を設立・運営しています。

本記事では、
「」
について、詳しく解説します。

弁護士のプロフィール紹介はこちら直法律事務所の概要はこちらお問い合わせはこちら

当事務所では、LINEでのお問い合わせも受け付けております。お気軽にご相談ください。
登録はこちらから

友だち追加

はじめに

プライバシーポリシー」という言葉を聞いたことがあるでしょうか。

実は、意識していないかもしれませんが、身の回りにたくさん置かれているものです。特に、インターネットやアプリケーションを活用している人は、必ずと言っていいほど身近に接しているものです。

例えば「プライバシーポリシー、利用規約の内容を確認の上、同意します」といったバナーをクリックしないと登録ができなかったり、利用規約を最後までスクロールして読まないと(読んだことにしないと)契約ができなかったり、見覚えがありませんか?

今回は、プライバシーポリシーに関する規程類について、詳しく説明します。

プライバシーポリシーとは

まず、プライバシーとは何でしょうか。

プライバシー」には「個人や家庭内の私事・私生活。個人の秘密。また、それが他人から干渉・侵害を受けない権利。」(小学館「大辞泉」より)という意味があります。
近年は、「自己の情報をコントロールできる権利」という意味も含めて用いられることが多いです。

似たような概念の「個人情報」は、「生存する個人に関する情報であって、本人の氏名、生年月日、住所などの記述等により特定の個人を識別できる情報」(個人情報保護法第2条)です。

そして、「ポリシー(policy)」とは、政策、方針、規定などの意味を持つ英単語です。

以上からも、プライバシーポリシーとは、「個人情報について、その収集や活用、管理、保護などに関する取り扱いの方針、考え方を明文化したもの」などと説明されます(※)。

※プライバシーポリシーは法令上定義がなく、個人情報保護法にも、「プライバシーポリシー」という文言は用いられていません。
さらに近年は、プライバシーポリシーの位置づけが多様化しており、企業が独自の要素を盛り込むようになったりしているため、これまでより一層、その定義づけが困難となっています。

関連規程

●個人情報保護法
個人情報保護法は、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めている法律です(1条)。

勘違いされることも多いですが、個人情報保護法上は、個人情報取扱事業者であってもプライバシーポリシー策定を義務付けているわけではありません。

もっとも、同法は、
「政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本方針(中略)を定めなければならない」(7条1項)
と規定し、同項に基づいて策定された「個人情報の保護に関する基本方針」に以下のように規定されています。

●個人情報の保護に関する基本方針
6 個人情報取扱事業者が講ずべき個人情報の保護のための措置に関する基本的な事項
(1)個人情報取扱事業者が取り扱う個人情報に関する事項 個人情報取扱事業者は、(中略)例えば、消費者の権利利益を一層保護する観点から、個人情報保護を推進する上での考え方や方針(いわゆる、プライバシーポリシー、プライバシーステートメント等)を対外的に明確化するなど、個人情報の保護及び適正かつ効果的な活用について主体的に取り組むことが期待されているところであり、体勢の整備等に積極的に取り組んでいくことが求められている。(攻略)

※こちらもご参照ください。

このように、プライバシーポリシー等の個人情報保護を推進する上での考え方や方針を対外的に明確化するなど、個人情報の保護及び適切かつ効果的な活用について、主体的に取り組むことが期待されているのです。

また、個人情報保護法の他にも
●個人情報の保護に関する法律施行令
●個人情報の保護に関する法律施行規則
等、改正も頻繁にされる法令がありますので、こまめに確認することをおすすめします

このように説明をしていくと、皆様の中には、法律上、プライバシーポリシーを策定することを義務付けられているわけではない=「作らないでもいい」と思う方もいらっしゃるかもしれません。

しかし、個人情報保護法は、個人情報取扱事業者に対して、以下の義務を定めています。

  • ①個人情報の利用目的を本人に伝える義務(個人情報保護法21条)
  • ②個人データ(※)の開示や訂正の手続きを公表する義務(個人情報保護法34条)

になります。

このように、個人情報保護法に定められている義務を遵守するために、収集・利用する個人情報の対象者ごとに対応するのではなく、一律対応するために、プライバシーポリシーを制定する例が多いのです。

また、令和2年に個人情報保護法が改正(令和4年4月から施行)されたことにより、安全管理措置として、事業者が外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のための必要かつ適正な措置を講じることが求められることになりました。


外国において個人データを取り扱う場合とは、

  • 事業者が外国にある第三者に個人データの取扱いを委託(再委託以降を含む)
  • 外国のクラウド事業者を用いる場合
  • 外国で従業員にテレワークをさせる場合

等、大変幅広いので注意が必要です。

※「個人データ」とは、「個人情報データベース等を構成する個人情報」をいい(個人情報保護法第16条)、一定の方式により検索可能な状態となっているものです。
また、「保有個人データ」は、個人情報取扱事業者が開示・訂正・削除等の権限を有する個人データのことを指します。

個人情報」と「個人データ」、そして「保有個人データ」の関係を表すと、下記のようになります。
プラポリ規程類記事 図解

参照:個人情報保護委員会「個人情報の利活用と保護に関するハンドブック

種類

プライバシーポリシーという名称の規定は、全ての企業にあるわけではありません。
前述のとおり、策定は義務ではありませんので、企業によってその形はそれぞれです。

個人情報保護方針

個人情報保護方針は、実質的にプライバシーポリシーと同義で用いられることがあります。
ただし、企業によっては、個人情報保護方針の内容が個人情報保護法で義務付けられている規程に準拠しておらず、その結果、改正をしたり、個人情報保護方針とは別にプライバシーポリシーを策定したりする場合があり、この場合、個人情報保護方針は、プライバシーポリシーの上位のポリシーまたは並列したポリシーとして位置づけられることが多いです。

実務上、個人情報保護方針とプライバシーポリシーが別のポリシーとして策定される理由は2つあります。

理由① 個人情報保護法に対応するため

個人情報保護法で要求されている、「事業者の名称」(法第13条1項1号、ガイドライン79から82頁)、「関係法令・ガイドライン等の遵守」(法第12条、ガイドライン2、117から118頁)、「安全管理措置に関する事項」(第7条、第8条、ガイドライン164頁から175頁)、「質問及び苦情処理の窓口」(第9条、ガイドライン144、118から119頁)等に対応していることをより明確にするため、上記の事項が盛り込まれたプライバシーポリシーを、個人情報保護方針とは別途策定されることがあります。

個人情報保護法第4条、第9条及び第128条に基づき定められた指針「個人情報の保護に関する法律についてのガイドライン」(通則ガイドライン)10-1をご参照ください。

理由② 第三者機関の公的規格の要求事項に対応するため

プライバシーマークの審査基準に対応していることを明確にするため、審査基準A.3.2.1各号※に掲げる事項が盛り込まれた個人情報保護方針をプライバシーポリシーとは別途策定されることがあります。

※A.3.2.1内部向け個人情報保護方針 1.トップマネジメントは、個人情報保護目的を説明できること。 2.内部向け個人情報保護方針を文書化した情報に、A.3.2.1a)~f)に定める事項が含まれていること。 3.トップマネジメントは、内部向け個人情報保護方針を文書化した情報を、組織内に伝達し、必要に応じて、利害関係者が入手可能にするための措置を講じていること。

プライバシーマーク付与適格性審査基準

利用規約

利用規約とは、個人情報を含む利用者情報の取扱や利用者と企業との契約関係について定める規定をいいます。

企業は、この利用規約に従い、個人情報を取り扱う義務を負うことになります。
もっとも、企業における利用規約という名称の規定とプライバシーポリシーという名称の規定の関係については、会社によって異なっており、各社の利用規約やプライバシーポリシーを確認することで分かることがあります。

①併存型

利用規約とプライバシーポリシーが互いに反映、引用して存在する場合です。

②単独型

プライバシーポリシーという名称ですが、実質は利用規約の役割も果たしているような場合です。

利用規約を作成しても、適切に運用しなければ、法律上の効力が生じない場合がありますので注意が必要です。
「ユーザーが利用規約を確認できていない」、「利用規約に同意していない」などの場合、利用規約の内容が契約の一部として認められないことになります。
不適切な運用をすれば、ユーザーからの理解を得ることができません。

特定個人情報保護方針

なお、個人情報保護方針と類似した名称の「特定個人情報保護方針」というポリシーが別途策定されることがあります。

特定個人情報保護方針とは、マイナンバーの取扱いの方針を明文化したものであり、個人情報保護方針の特則として策定されることになります。

前述のとおり、マイナンバー法上、個人番号利用事務等実施者は、個人番号の適切な管理のために必要な措置を講じなければならないとされ、マイナンバーガイドラインにおいては、このような安全管理措置を講ずるための検討手段の一環として、基本方針を策定することが重要であるとされているため、事業者においては特定個人情報保護方針の策定が重要となります。

個人情報保護方針と特定個人情報保護方針とは、まとめずに、それぞれ作成することがいいでしょう。

「個人情報の取扱いについて」

よく用いられるのが、「個人情報の取扱いについて」といったタイトルのものです。
実質的にプライバシーポリシーと同義で用いられることがあります。
(例:ライオン株式会社

もっとも、「個人情報の取扱いについて」は、その名称どおり個人情報保護法上の「個人情報」を対象とするのが一般的であると考えられます。
そのため、cookie等の技術によって得られたデータの取扱いについては、「個人情報の取扱いについて」とは別にクッキーポリシーを策定することがあります。

※cookieとは
WEBサイトを閲覧したときに、閲覧者が訪れたサイトや入力したデータ、利用環境などの情報が記録されたファイル(仕組み)のことをいいます。
情報を記録すると、その人は今後同じサイトを訪れた際に情報の入力をせずにログインができる、住所などの入力を省くことができます。

プライバシーポリシーの対象となる主体の範囲

新しくプライバシーポリシーを策定する場合、その対象をどのように確定するかが重要となります。 対象を確定するにあたっては、以下の①~④の視点に着目することになります。

①プライバシーポリシーの対象となる主体の範囲
(グループ会社単位にするか、事業者単位にするか)
②プライバシーポリシーの対象となるサービスの範囲
(すべてのサービスを対象とするか、特定のサービスを対象とするか)
③プライバシーポリシーの対象となる情報の範囲
(個人情報とするか、より広いユーザーデータ(例えば、会員情報と紐付かないインターネットの閲覧履歴等)とするか)
④プライバシーポリシーの名宛人
(顧客、取引先、株主、従業員等または採用候補者のいずれかまたは複数を対象とするか)

今回は、上記①について解説します。

プライバシーポリシーを作成する際、その主体をグループ会社単位にする場合と事業者単位にする場合があります。

グループ会社単位にする場合

プライバシーポリシーの主体をグループ会社単位にする場合、グループ会社全体で1つのプライバシーポリシーを適用させることになります。

想定されるメリット 想定されるデメリット
・事業者にとって、グループで1つのプライバシーポリシーを作成および管理することで足りるため、一括して規定管理が可能となる。
・本人にとって、グループ会社ごとにプライバシーポリシーの違いを個別に確認しなくてもよくなる。		 ・事業者にとって、グループ会社を構成する各事業者のビジネスのいずれにも対応するようにプライバシーポリシーをまとめるのが難しい。
・本人にとって、グループ会社ごとの個人情報等の取扱いが把握しにくくなる。

事業者単位にする場合

プライバシーポリシーの主体を事業者単位にする場合、グループ会社を構成する事業者ごとに個別のプライバシーポリシーを適用させることになります。

想定されるメリット 想定されるデメリット
・事業者にとって、事業者ごとのビジネスに併せたプライバシーポリシーを作成すればよく、グループでその内容を統合する作業が不要となる。
・本人にとって、事業者ごとのビジネスに合わせた個人情報等の取扱いを把握することができるようになる。		 ・事業者にとって、グループ会社を構成する各事業者のビジネスにそれぞれ対応したプライバシーポリシーを作成および維持する必要がある。
・本人にとって、グループ会社ごとにプライバシーポリシーの内容が異なると、個別にプライバシーポリシーの内容を確認しなければならなくなる。

それぞれに適する事例

以上のようなメリット・デメリットを踏まえると、一般論としては、グループ会社全体で同一のサービスを提供している場合には、プライバシーポリシーの対象となる主体をグループ会社全体にするのが適していると考えられます。グループ会社ごとに異なるサービスを提供している場合には、事業者単位でプライバシーポリシーを作成するのが適しているといえるでしょう。

実務上、グループ会社ごとに異なるサービスを提供することが多いため、プライバシーポリシーの主体を事業者単位とするのが適していることが多いです。
ただ、グループ会社全体で同種の商品・サービスを提供するような場合には、グループ会社全体で1つのプライバシーポリシーにすることもあります。

もっとも、事業者単位で作成する場合もグループ会社全体で作成する場合も、当該プライバシーポリシーを基本としつつ、特定のサービスを対象とするプライバシーポリシーを別途作成することも考えられます。
この場合には、どの場面においてどのプライバシーポリシーが適用されることになるのかを適切に管理する必要があります。

【関連記事】
甘く見てはいけない!【利用規約】が必要な理由と、その作成方法
【法務担当者が一人でできる!】契約書の作成方法マニュアル~自社を守るために~

直法律事務所では、IPO(上場準備)、上場後のサポートを行っております。
その他、プラットフォーム、クラウド、SaaSビジネスについて、ビジネスモデルが適法なのか(法規制に抵触しないか)迅速に審査の上、アドバイスいたします。お気軽にご相談ください。
ご面談でのアドバイスは当事務所のクライアントからのご紹介の場合には無料となっておりますが、別途レポート(有料)をご希望の場合は面談時にお見積り致します。

アカウントをお持ちの方は、当事務所のFacebookページもぜひご覧ください。記事掲載等のお知らせをアップしております。

企業法務はお任せ下さい

上場企業からスタートアップ企業までの
企業・IT・不動産法務をはじめ法律問題に対応しています。
お気軽に直法律事務所へご相談ください。

上場企業からスタートアップ企業までの企業・IT・不動産法務をはじめ法律問題に対応しています。

お問い合わせはこちら

関連する記事RELATED

企業法務はお任せください!
お問い合わせはこちら
契約書・プライバシーポリシー
の作成は弁護士に相談して解決

何気なく相手の提出してきた契約書に判子を押したがために、自社のビジネスがとん挫したというケースが枚挙にいとまがありません。会社を守る戦略的な契約書の作成をご希望のお客様は、企業法務を得意とする弁護士にご相談下さい。

電話で相談する メールで相談する
クライアント企業一例