1. ホーム
  2. プラットフォーム関連

プライバシーポリシーの記載項目は?【ひな形(雛形)付】


澤田直彦

監修弁護士:澤田直彦
弁護士法人 直法律事務所 
代表弁護士

IPO弁護士として、ベンチャースタートアップ企業のIPO実績や社外役員経験等をもとに、永田町にて弁護士法人を設立・運営しています。

本記事では、
「プライバシーポリシーの記載項目は?【ひな形(雛形)付】」
について、プライバシーポリシーの作り方等詳しく解説します。

弁護士のプロフィール紹介はこちら直法律事務所の概要はこちらお問い合わせはこちら

当事務所では、LINEでのお問い合わせも受け付けております。お気軽にご相談ください。
登録はこちらから

友だち追加

プライバシーポリシー(個人情報保護方針)とは

プライバシーポリシー(個人情報保護方針)は、ウェブサイトやアンケート等で見かけることがありますよね。特に、Web業界では様々なところで目にします。
では、プライバシーポリシーとはどのようなものなのでしょうか?

端的にお伝えすると、「個人情報の取扱方法やプライバシーに対しどのように配慮しているかを示す指針」です。

個人情報保護法の規定に沿うことが求められますが、同法で義務づけられているわけではありません
ただ、個人情報保護委員が作成した個人情報の保護に関する法律のガイドライン通則編上、「基本方針を策定することが重要である」とされています。

その内容としては、ガイドライン(通則)上に掲げられた項目のほか、個人情報取扱事業者として通知又は公表すべき(又は本人が容易に知り得る状態に置くべき)事項を規定します。
反対に、個人情報を入手するのに、本人に直接通知をしないのであれば、プライバシーポリシーの策定は実質的に義務といえます。

プライバシーポリシーの作成にあたって企業が行うこと

企業は、プライバシーポリシーを作るにあたって、社内にどの程度個人情報を保有しているか把握する必要があります。
個人情報は

  • 氏名
  • 住所
  • 電話番号
  • メールアドレス
  • クレジットカード情報

等があります。場合によってはその量は膨大になるので、細かくチェックすることが重要です。

なお、個人情報には、それ自体で特定の個人を識別できない情報であっても、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものも含まれますから、そのような情報についても漏れがないように注意しなければなりません。

プライバシーポリシーの記載項目

いかなる記載事項が必要かについては、個人情報の保護に関する基本方針において明確な基準はありません。

前述のとおり、ガイドライン(通則)では、個人情報取扱事業者は、個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要としていますので、具体的な内容について知る必要があります。

それでは、ECサイト運営企業による個人情報の取得・利用を想定し、プライバシーポリシーに記載すべき事項についての見本を見ながら、各項目について解説していきます。

今回は、企業の顧客の個人情報の取扱いを対象としましたので、もし特定のサービスの利用者や、採用応募者など特定の者のみを対象とするプライバシーポリシーを作成する場合には、また違った表現を盛り込むことが必要となりますのでご注意ください。

1⃣前文

〇〇社(以下、「当社」といいます。)は、お客様の個人情報について、次のとおりプライバシーポリシー(以下「本ポリシー」といいます。)を定めます。当社は、本ポリシーに基づき適正に個人情報を取り扱います。
なお、本ポリシーで使用する用語の意味は、個人情報の保護に関する法律(以下「個人情報保護法」といいます。)に準拠します。

【事業者情報】
法人名:株式会社〇〇
住 所:東京都・・・
代表者:✕✕

まず、はじめに、前文です。
プライバシーポリシーの対象が誰であるかについて記載しています。本件では、「お客様(取引先ご担当者様を含む。)の個人情報」です。

プライバシーポリシーを作るときに重要なのは、当該プライバシーポリシーの名宛人を明らかにすることです。そのため、顧客、取引先、株主、従業員または採用候補者のいずれかまたは複数を対象とするか、ということを前文に記載することが一般的です。

プライバシーポリシーの対象となる情報の範囲は、2つのパターンがあります。

  1. 個人情報に絞られる場合
  2. 絞られない場合

今回の例は、個人情報の取得、利用、管理、提供、本人の権利行使等の取扱いの方針を明文化したものなので、対象となる情報は、個人情報保護法上の個人情報であることを明らかにしています。もし、「お客様の情報」というような広い表現を使う場合は、個人情報保護法の規制を受けない情報についても、プライバシーポリシーの対象となりますので注意が必要です。

用語の定義ですが、

  • プライバシーポリシーで独自に定める
  • 個人情報保護法に定められている用語については同法に準拠する

とする2つが多くみられます。後者は、個人情報保護法で用いられる用語との齟齬を避けるということが目的です。どちらでも問題ありません。

2⃣取得する個人情報の項目

1.取得する個人情報の項目
当社は、お客様に関する次の個人情報を取得します。
(1)本人確認に関する情報
氏名、住所、性別、生年月日、電話番号、メールアドレス、アカウントのID及びパスワード、SNSアカウント情報等
(2)お取引に関する情報
お取引内容及び購入履歴等
(3)決裁に関する情報
金融機関口座、決裁方法の情報等
(4)その他の関連情報
お客様から当社へのお問い合わせ、ご連絡等に関する情報等

次に、どのような個人情報について取得することが予定されているかを記載します。
個人情報取扱事業者がどのような個人情報を取得するかは、個人情報保護法(以下「法」とします。)上、本人への通知や公表が求められているものではないため、プライバシーポリシーに記載しなくてもいいといえます。

ただ、個人情報取扱事業者が取得する具体的な項目(「プライバシーポリシーの対象となる個人情報の項目」)をプライバシーポリシーに記載しておくことは利用者本人のために望ましいと考えられます。自分の情報がどこまで取得されるか分からないのは不安になりますよね。

記載例では、参考までに詳しく記載しています
取得する個人情報の項目の記載方法には定まった方式があるものではありません。記載例では、個人情報を取得する場面ごとに分類して、各場面で取得する個人情報の項目を記載しました。

3⃣利用目的

2.利用目的 当社は、お客様の個人情報を、次に掲げる利用目的(以下「本利用目的」といいます。)の範囲内において、取得及び利用いたします。
①サービスへの登録及びサービス利用時の本人認証並びにお客様の管理のため
②商品等のご送付、ご提供のため
⓷商品等の料金、サービスの利用料金ご請求のため
④サービスの保守、点検、管理のため
⑤取得した閲覧・購買履歴等の情報を分析し、お客様に適した商品・サービスをお知らせするため
⑥キャンペーン、懸賞企画、アンケートの実施のため
⑦商品等及びサービス改善、新商品等及び新サービスの企画・開発のため
⑧お客様からのコメントやお問い合わせに回答するため
⑨利用規約に違反したお客様の特定、その他不正不当な目的で商品等及びサービスを利用した親客様の特定をし、ご利用をお断りするため
⑩本ポリシー記載の方法による、第三者に対する提供のため

また、当社は、当社のグループ会社(当社又はその親会社及びこれらの子会社又は関連会社をいいます。現時点における当社のグループ会社については、こちら(URLを記載)をご参照ください。)における以上の各事項に関連する業務のためにも、お客様の個人情報を取得及び利用することがあります。

個人情報の利用目的は、変更前後の関連性について合理性が認められる場合に限って変更するものとします。個人情報の利用目的について変更を行った際は、変更後の目的について当社所定の方法によってお客様に通知し、加えてWebサイト上にも公表いたします。

個人情報を取得した場合は、あらかじめ利用目的を公表している場合を除き、速やかに、利用目的を本人に通知し、または公表しなければなりません(法第21条第1項)。

記載例では、ECサイトにおいて通常想定される利用目的をあげています。取得した個人情報を、自社のみならず、グループ会社で共同で利用し、調査、分析、商品・サービスの企画、研究及び開発等に用いる場合、その利用目的についても、個人情報の取得時に通知または公表することがいいでしょう。なお、グループ会社の利用目的は、個人データの4⃣第三者提供や5⃣共同利用の項目で記載する場合もあります。

ここで注意が必要なのが、「特定」です。
利用目的の通知または公表の前提として、利用目的を特定することが必要です。その特定の程度としては、本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・推定できることが求められます。「営業活動」、「サービスの向上」等のように抽象的、一般的な内容で具体的にどのようなものか分からないものは「特定」したとはいえません

4⃣第三者提供

3.第三者提供
(1)当社は、以下の場合を除き、あらかじめお客様の同意を得ないで、第三者に個人情報を提供することはいたしません。
①法令に基づく場合
②人の生命、身体又は財産の保護のために必要がある場合であって、お客様の同意を得ることが困難であるとき
③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、お客様の同意を得ることが困難であるとき
④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、お客様の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
⑤その他法令で認められる場合

(2)上記(1)にかかわらず、当社は、次に掲げる場合には、当社が取り扱う個人情報を第三者に提供することがあります。 ①お客様の興味、関心等に合わせた広告の配信及びその成果確認並びにサービスの提供のために、それ自体では特定の個人を識別できないようにした情報を当社と提携している広告配信事業者に提供する場合
②……

(3)当社は、次の外国にある第三者に対して、お客様の個人データを提供する場合があります。現時点における、参考となるべき国別の情報は、次のとおりです。
①[国名]
・当該外国の個人情報保護制度に関する情報
個人情報保護委員会が提供する情報を以下のリンクからご確認ください。
[URL]
・第三者が講ずる個人情報保護措置に関する情報
提供先は概ね個人データの取扱いについて我が国の個人情報取扱事業者に求められる措置と同水準の措置を講じています。

(4)当社は、個人情報保護法に基づき、個人情報取扱事業者が講ずべきこととされている措置に相当する措置を講じている外国にある第三者に個人情報を提供するときは、当該措置の継続的実施を確保するために必要な措置を講じています。当該措置の詳細については、「8.お問合せ窓口」までお問合せください。

次に、第三者提供です。
第三者提供とは、個人情報保護法の概念において「個人データ(個人特定の可能性がある情報をデータベース化したもの)を取得者以外の第三者に提供すること」を指します。個人情報保護法では、第三者提供に際してはユーザー本人から同意を得るなど、所定のルールを遵守するよう定めています。

(1)国内の第三者に対する第三者提供(法27条1項)

個人データを第三者に提供する場合は、原則として本人の同意を取得しなければなりません。記載例では、プライバシーポリシーへの同意を取得することで第三者提供についての同意を取得することを想定しています。

第三者提供の同意を取得するときに、本人に対して提供先の氏名または名称を明示することは必要ありません。しかし、想定される提供先の範囲や属性を示すことが望ましいといえます。第三者提供先の提供事業者について第三者提供先の範囲および属性をある程度記載した方がよいといえるでしょう。

なお、金融分野における個人情報保護に関するガイドライン では、個人データの第三者提供の同意取得は原則として書面(電磁的記録を含む)によることとされています。

(1)では、本人の同意を得ずに個人データを第三者に提供することができる場合をあげています。5つの除外事由は、個人情報保護法上、第三者提供における本人の同意取得が不要となる例外的な場合として規定されているものです。そのため、これについて記載は必須ではありません。ただ、記載することが多いため今回も入れました。

以上からすると、個人データを第三者に提供する場合、法定の例外自由に該当する場合を除き、原則本人の同意が必要でしたね。
もっとも、要件を満たせば、本人の同意を取得せず個人データを第三者に提供することができるオプトアウトというものがあります(オプトアウトによる第三者提供)。
これは、本人の求めにより停止できることを条件として、本人の個別の同意なしに第三者へ個人データを提供できる制度です。

《オプトアウトによる第三者提供の要件》

①本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしていること

②次の事項について、あらかじめ本人へ通知し、または本人が容易に知り得る状態に置くとともに個人情報保護委員会に届け出ること

・第三者への提供を利用目的とすること
・第三者に提供される個人データの項目
・第三者への提供の方法
ex.書籍として出版・ウェブサイトに掲載・プリントアウトして交付等
・本人の求めに応じて当該本人は識別される個人データの第三者への提供を停止すること ・本人の求めを受け付ける方法
ex.事業者名・窓口名・郵送先住所または送信先メールアドレス等を示す

③提供される個人データが以下に該当しないこと
・要配慮個人情報
・偽りその他不正の手段によって取得された情報
・オプトアウトによって第三者から提供された情報

オプトアウトに際しては、①を表明し、②の事項について、「本人が容易に知り得る状態」にするという要件を満たす方法として、プライバシーポリシーに記載することが考えられます。

第三者への提供を利用目的に入れるときは、利用目的が具体的にわかる内容とすることが求められています。そのため、「等」や「その他」等の曖昧な表現では不十分です。

また、個人情報保護委員会に届け出ていない個人データの項目を、オプトアウトにより第三者に提供することはできません。氏名・住所・電話番号・年齢・商品購入履歴等のように、オプトアウトにより第三者に提供される個人データの項目全てを記す必要があります。

令和2年の改正により、上記の事項に加え、新たに以下の事項が本人に知り得る状態に置くべき事項として追加されました。そのため、前述の項目に加え、これらの事項も、プライバシーポリシーに記載しておく必要があります。

  1. 第三者への提供を行う事業者の氏名または名称および住所ならびに法人に至ってはその代表者の氏名(令和2年法23条2項1号、令和3年法27条2項1号)
  2. 第三者に提供される個人データの取得の方法(令和2年法23条2項4号、令和3年法27条2項4号)
  3. 第三者に提供されるデータの更新の方法(令和2年規則7条4項1号、令和3年規則11条4項1号)
  4. オプトアウトの届出に係る個人データの第三者への提供を開始する予定日(令和2年規則7条4項2号、令和3年規則11号4項2号)

(2)外国にある第三者への提供(令和2年法24条2項・3号、令和3年法28条2項・3項)

個人データを外国にある第三者に提供する場合、原則、あらかじめ外国にある第三者への提供を認める旨の本人の同意が必要です。また国内における第三者提供とは異なり、外国にある第三者に提供する場合は、委託、事業承継および共同利用の方法を採ることにより個人情報の提供先を「第三者」に該当しないものとすることはできません。

外国にある第三者への提供について同意を取得する際には、本人が同意をするか否か判断を行うために必要と考えられる適切かつ合理的な方法(提供先の国名または地域名を個別に示す等)によらなければならないとされています。

令和2年法により、外国にある第三者への個人データ提供について、

  1. 本人の同意に基づいて行われる場合
  2. 個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置(「相当措置」)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者に対して行われる場合

に、それぞれ、新たな義務が追加されました。この改正に伴い、プライバシーポリシーの記載についてもアップデートする必要があります。

①本人の同意に基づく場合
令和2年法により、本人の同意に基づいて外国にある第三者に個人データを提供する場合、本人に対して参考となる情報をあらかじめ提供することが義務付けられました。
本人に提供しなければならない情報は、以下のとおりです。

a)当該外国の名称(第三者が所在する州等までは不要)
→例外:州法が主要な規律となっている等で州法に関する情報提供が本人の予測可能性の向上に資する場合には、第三者が所在する州を示し州の制度について情報提供を行うことが望ましい
b)適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
c)当該第三者が講ずる個人情報の保護のための措置に関する情報

そのため、プライバシーポリシーによって第三者提供のための同意を取得する場合には、上記の情報をプライバシーポリシーに記載する必要があります。

a)本人の同意を取得しようとする時点で、もし提供先の第三者が所在する外国を特定できない場合にはどうすればいいのでしょうか。
この場合は、当該外国の名称および当該外国の個人情報の保護に関する制度に関する情報に代えて、次の❶❷の情報を本人に提供しなければなりません。

❶特定できない旨およびその理由
❷提供先の第三者が所在する外国の名称に代わる本人に参考となるべき情報
(例えば、提供先の外国の範囲が具体的に定まっている場合は当該範囲に関する情報)

b)適切かつ合理的な方法によって得られた当該外国における個人情報の保護に関する制度に関する情報について
提供先の第三者が所在する外国における個人情報の保護に関する制度と、日本の個人情報保護法との間の本質的な差異を、本人が合理的に認識できる情報であることが求められます。
具体的には、次の❶から❹までの観点を踏まえる必要があります。

❶当該外国における個人情報の保護に関する制度の有無
存在する 存在しない
同意取得時において、当該制度に係る法令の個別の名称を本人に情報提供することは求められないが、本人の求めがあった場合に情報提供できるようにしておく そのこと自体が個人データの越境移転に伴うリスクの存在を示すものであることから、個人情報の保護に関する制度が存在しない旨を本人に対して情報提供しなければならない
❷当該外国の個人情報の保護に関する制度についての指標となり得る情報の存在
指標とは、例えば、当該第三者が所在する外国がGDPR45条に基づく十分性認定の取得国であること、または、APECのCBPRシステムの加盟国であること、などをいいます。
提供先の第三者が所在する外国の個人情報の保護に関する制度について、個人情報の保護の水準時に関する客観的な指標となり得る情報が存在する場合、当該指標となり得る情報を提供すれば足ります。この場合は、❸に係る情報の提供は不要です。当該指標となり得る情報が提供されることにより、個人データの越境移転に伴うリスクについての本人の予測可能性は一定程度担保されるためです。

❸OECDガイドライン8原則に対応する事業者の義務または本人の権利の不存在
OECDガイドライン8原則(以下「8原則」といいます)とは、経済協力開発機構(OECD)理事会で採択された「プライバシー保護と個人データの国際流通についての勧告」の中で挙げられている8つの原則をいいます。
提供先の第三者が所在する外国の個人情報の保護に関する制度に、この8原則に対応する事業者の義務または本人の権利が存在しない場合には、事業者の義務または本人の権利の不存在は、日本の個人情報保護法との大きな違いですので、その内容について本人に情報を提供することが求められます。
一方で、8原則に対応する事業者の義務および本人の権利が、提供先の第三者が所在する外国の個人情報の保護に関する制度に含まれているならば、その旨本人に情報提供すれば足りるとされています。

❹その他本人の権利利益に重大な影響を及ぼす可能性のある制度の存在
提供先の第三者が所在する外国において、日本の制度と比較して、当該外国への個人データの越境移転に伴い当該個人データに係る本人の権利利益に重大な影響を及ぼす可能性のある制度(例えば、事業者に対し政府の情報収集活動への広範な協力義務を課すことにより、事業者が保有する個人情報について政府による広範な情報収集が可能となる制度など)が存在する場合には、当該制度の存在について本人に情報提供しなければならないとされています。

以上を前提として、日本法との比較した情報を簡潔に記載すれば十分であると考えられます。
個人情報保護委員会は、外国の制度の調査結果を「外国における個人情報の保護に関する制度等の調査」)に公表していますので、こちらを参照されるとよいでしょう。

c)当該第三者が講ずる個人情報の保護のための措置に関する情報について
記載が求められる内容・具体性および考慮要素は、b)の場合と同様です。
また、c)提供先の第三者が講ずる個人情報の保護のための措置に関する情報について情報提供できない場合には、情報提供できない旨およびその理由をもって代えることができます。

この点、一定の具体的な目的の下に個人データの取扱いを外国にある第三者に委託する予定であるものの、本人の同意を得ようとする時点において、委託先が具体的に定まっていないような理由により、提供先の第三者が所在する外国が特定できない場合は、提供先の外国の名称が特定できない場合に該当し得るとされています。
また、委託先が具体的に定まっていない等により、提供先の第三者が特定できず、当該第三者が講ずる個人情報の保護のための措置に関する情報が提供できない場合は、提供先の第三者が講ずる個人情報の保護のための措置に関する情報について情報提供できない場合に該当し得るとされています。

令和2年改正により、一定の体裁を整備した外国にある第三者に個人データを提供する場合には、提供元は、相当措置の継続的な実施を確保するために必要な措置を講じるとともに、本人の求めに応じて当該必要な措置に関する情報を本人に提供しなければならない義務が規定されました。ただ、「本人の求め」があった場合の義務なので、必要な措置に関する情報をプライバシーポリシーに記載しておく必要はありません。
記載例では、「本人の求め」を受けるための問い合わせ先を記載しています

5⃣共同利用

4.共同利用
当社は、以下のとおり個人情報を共同利用します。
(1)共同利用する個人情報の項目
氏名、住所、電話番号、メールアドレス
(2)共同利用する個人情報の利用目的
上記「本利用目的」の内容と同様。
(3)共同利用者の範囲
当社企業グループを構成する企業(詳細はこちらURL)
(4)管理に関する責任者
当社(東京都品川区〇〇:代表取締役社長▲▼)

個人データを共同利用の形式によって提供する場合、法定の事項を「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置」く必要があります(改正前法23条5項3号、令和2年法23条5項3号、令和3年法27条5項3号。一般的に、当該事項をプライバシーポリシーに記載することで対応します。

法律上、「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置」かなければならないとされている事項は、以下のとおりです。

  • (ア)共同利用をする旨
  • (イ)共同して利用される個人データの項目
  • (ウ)共同して利用する者の範囲

共同利用の趣旨は、本人からみて当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で当該個人データを共同して利用する点にあります。
とすると、共同利用により個人データを提供することができる範囲も、当該合理的範囲に限定されます。

「共同して利用する者の範囲」は、必ずしも事業者名を記載する必要まではありません。本人がどの事業者まで利用されるか判断できるようにしていれば足ります。

記載例では、グループ会社間で共同利用することを想定し、グループ会社の一覧ページへのリンクを記載する方式にしています

外国にある第三者との共同利用の場合には、前述の外国にある第三者に提供する場合における対応を行わなければならない点に注意してください。

  • (エ)利用する者の利用目的
  • (オ)当該個人データの管理について責任を有する者の氏名または名称および住所ならびに法人にあっては、その代表者の氏名(下線部は令和2年法による改正部分)

共同利用に際しては、個人データの管理について責任を有する者の氏名または名称を記載することが求められます。
グループ会社間の共同利用の場合には、共同利用による個人データの提供元が該当することが一般的です。「責任を有する者」は、共同して利用するすべての事業者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する者を指しています。

上記に加えて令和2年法では、管理に責任を有する者の住所、法人にあっては代表者氏名を明記することが追加されました(記載例かっこ書き)。ウェブページのリンクを貼るという対応も可能とされています。

6⃣安全管理措置

5.安全管理措置 当社は、その取り扱う個人情報の漏洩、滅失又はき損の防止その他個人情報の安全管理のために必要かつ適切な措置を講じます。当社が講じる安全管理措置については「8.お問い合わせ窓口」までお問い合わせください。

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失または毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません。

どのような措置を講じる必要があるのでしょうか。
具体的には、個人データが漏えい等をした場合に本人が被る権利利益の侵害の程度を考慮し、また、事業の規模・性質、個人データの取扱状況(取り扱う個人データの性質や量を含む)、個人データを記録した媒体の性質等によるリスクに応じ、必要かつ適切な内容とする必要があります。 例えば、

  1. 基本方針の策定
  2. 個人データの取扱いに係る規律の整備
  3. 組織的安全管理措置
  4. 人的安全管理措置
  5. 物理的安全管理措置
  6. 技術的安全管理措置
  7. 外的環境の把握

といった方法によることが考えられます。

講じた安全管理措置については、令和2年施行令において、保有個人データに関して本人に周知すべき事項とされました。ただし、周知により当該保有個人データの安全管理に支障を及ぼすおそれがあるものについては、周知を行わなくていいものとなっています。例としては、個人データが記録された機器等の廃棄方法、盗難防止のための管理方法、個人データ管理区域の入退室管理方法などです。

この講じた安全管理措置を周知する方法は、本人の求めに応じて遅滞なく回答するという方法でも問題ありません。そのため、講じた措置の概要やその一部をホームページに掲載し、詳細は本人の求めに応じて遅滞なく回答をするという方法でも構いません。
このような記載方法をした場合、プライバシーポリシーを簡潔にすることができ、また、プライバシーポリシーの変更頻度を下げることに役立つと思われます。
他方で、プライバシーポリシーに講じた安全管理措置を具体的に記載することで、問い合わせ対応の手間を削減することも考えられます。

改正前は、単に「当社は、個人データの漏えい、滅失または毀損の防止、その他安全管理のため、十分な対策を行います。」といった記載でもよかったのですが、改正に伴い、このような記載では本人に周知する内容としては不十分であり、適切でないとされましたので、注意が必要です。

7⃣開示等の請求

6.開示等の請求
当社は、お客様から、個人情報保護法の定めに基づき個人情報の開示等の請求(利用目的の通知、個人情報又は第三者提供記録の開示、訂正・追加・削除、利用の停止・第三者提供の停止の請求をいいます。)を求められたときは、お客様ご本人からのご請求であることを確認のうえで、お客様に対し、遅滞なく対応いたします。
ただし、個人情報保護法その他の法令により、当社が開示等の義務を負わない場合は、この限りではありません。

(1)利用目的の通知又は個人情報若しくは第三者提供記録の開示
お客様は、当社に対し、当社が定める手続(後述)に従って、個人情報保護法において認められる範囲内において、利用目的の通知を求め、又は、個人情報若しくは第三者提供記録の開示を請求することができます。ただし、当社は、次の各号のいずれかに該当する場合は、開示を行わないことがあります。
①開示することでご本人様又は第三者の生命、身体、財産その他の権利利益を害する恐れがある場合
②・・
③・・
なお、本請求される場合には、開示手数料がかかります(後述)。

(2)訂正・追加・削除
お客様は、当社が定める手続(後述)に従って、個人情報の訂正・追加・削除を請求することができます。当社は、利用目的の達成に必要な範囲内で遅滞なく調査を行い、その結果に基づき、個人情報保護法において認められる範囲内において、当該個人情報の訂正・追加・削除を行います。

(3)利用の停止又は第三者提供の停止
お客様は、当社が定める手続(後述)に従って、個人情報の利用の停止又は第三者提供の停止を請求することができます。

(4)手続
お客様が上記の開示等の請求を行う場合には、当社所定の請求書に所定事項を記入の上、本人確認書類を同封し、次の送付先までご郵送ください。利用目的の通知および個人情報又は第三者提供記録の開示については、1回の請求につき千円の手数料をいただきますことをご了承ください。手数料は、請求書に記載しています振込先までお振込みください。なお、不開示及び利用目的の非通知の場合についても所定の手数料をいただきます。
請求書はこちら(ダウンロードURL)
送付先:住所・・・株式会社〇〇個人情報開示請求窓口担当者

保有個人データについては、個人情報保護法上、一定の要件の下、本人からの、利用目的の通知、個人情報又は第三者提供記録の開示、訂正・追加・削除、利用の停止・第三者提供の停止の請求(以下「開示等の請求」といいます)が認められています。

また、開示等の請求に応じる手続および開示の請求に係る手数料の額については、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含みます)に置かなければなりません。
そのため、これらの事項については、プライバシーポリシーに定めることが一般的です。以下では、開示等の請求に関する注意点を説明します。

個人情報保護法上、「保有個人データ」(個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ)については、本人から、当該本人が識別される保有個人データの開示の請求を受けたときは、個人情報取扱事業者は、本人に対し、遅滞なく、当該保有個人データを開示しなければならないとされています。

開示請求については、令和2年法改正により以下の点が改正されました。

  • 6か月以内に消去することとなるものも保有個人データの定義に該当することになった
  • 個人データの第三者提供をした際の記録および第三者提供を受けた際の記録も、原則として開示請求の対象になった
  • 原則として電磁的記録の提供による方法、書面の交付による方法その他当該個人情報取扱事業者の定める方法のうち本人が請求した方法によって開示する必要がある 改正前の条文における書面による開示を原則とした開示フローを見直す必要があります。なお、令和2年法施行後も、電磁的記録の提供による方法について、個人情報取扱事業者がファイル形式や記録媒体などの具体的な方法を定めることができます。

どのようなときに利用の停止または消去(以下「利用停止等」といいます)が認められるかは、以下のとおりです。

  • 個人情報取扱事業者は、本人から当該本人が識別される個人データが、本人の同意なく目的外利用がされている、または偽りその他不正の手段により個人情報が取得されもしくは本人の同意なく要配慮個人情報が取得されたものであるという理由によって、当該保有個人データの利用停止等の請求を受けた場合であって、その請求に理由があることが判明したとき
  • 本人から、当該本人が識別される保有個人データが、本人の同意なく第三者に提供されているという理由によって、当該保有個人データの第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したとき
  • 利用する必要がなくなった場合、重大な漏えい等が発生した場合その他本人の権利または正当な利益が害されるおそれがある場合

3つ目については、令和2年で改正された点ですので、対応フローを見直す必要があります。

個人情報取扱事業者は、利用目的の通知を求められたときまたは個人情報もしくは第三者提供記録の開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができます。なお、訂正等の請求、利用停止等の請求および第三者提供の停止の請求については、手数料を徴収することはできません。

手数料の額は、実費を予測して平均的単価を算出して定めることが望ましいとされていますが、開示等をしなくても、必ずしも手数料を返還する義務は生じません。

8⃣匿名加工情報の取扱い

7.匿名加工情報の取扱
(1) 当社は、匿名加工情報(特定の個人を識別できないよう加工した個人情報であって、復元ができないようにしたもの)を作成する場合、特定の個人の識別及びその作成に用いる個人情報の復元ができないようにするため、個人情報保護法その他関係法令の定めに則り、加工基準を設け、これに従い当該個人情報を加工します。

(2) 当社において匿名加工情報を作成するとき、その作成に用いた個人情報から削除した記述・個人識別符号や具体的に選択された加工方法に関する情報は、当社の個人情報保護管理者及び現場管理者が指名した作業管理者以外の者には接触させないものとし、個人情報保護管理者は、加工方法等情報について、他の情報と分別管理、記録媒体の持出管理、保管場所の施錠、記録するサーバー又はファイルへアクセスするIDの管理・パスワード設定等、個人情報の漏えい防止及び安全性確保に向けた対応に準じて必要な措置を講じます。 匿名加工情報に関するお問い合わせは「8.お問い合わせ窓口」までご連絡ください。

(3)当社が匿名加工情報を作成・利用する場合、当該匿名加工情報を他の情報と照合せず、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別しません。

(4)当社は、以下の内容で匿名加工情報を作成し、第三者に提供をします。また、当社は、今後も継続的に同様の匿名加工情報の作成及び第三者提供をする予定でおります。
①匿名加工情報に含まれる個人に関する情報の項目
性別、生年、購買履歴
②匿名加工情報の提供の方法
暗号化を施した電磁的記録形式にて交付

個人情報取扱事業者は、匿名加工情報を作成したときは、作成後遅滞なく、インターネット等を利用し、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければなりません。
匿名加工情報とは、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のことをいいます。

例えば、「氏名・性別・生年月日・購買履歴」のうち、氏名を削除した上で、生年月日の月日を削除し、購買履歴から特異値等を削除する等の加工を行い、「性別・生年・購買履歴」に関する匿名加工情報として作成した場合の公表項目は、「性別」、「生年」、「購買履歴」となります。

匿名加工情報を作成したとき」とは、匿名加工情報として取り扱うために、個人情報を加工する作業が完了した場合のことです。個人情報の安全管理措置の一環として一部の情報を削除しあるいは分割して保存・管理する等の加工をする場合、個人情報から統計情報を作成するために個人情報を加工する場合は含みません。

遅滞なく」とは、正当かつ合理的な期間をいい、少なくとも匿名加工情報の利用または第三者提供をする前に、匿名加工情報を作成したことを一般に十分に知らせるに足りる期間を確保しなければなりません。

個人情報取扱事業者または匿名加工情報取扱事業者は、匿名加工情報を第三者に提供するときは、あらかじめインターネット等をで、次の①②を公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を電子メールまたは書面等により明示しなくてはなりません。

  1. 第三者に提供する匿名加工情報に含まれる個人に関する情報の項目
  2. 匿名加工情報の提供の方法

の匿名加工情報の提供の方法とは、第三者が匿名加工情報を利用できるようサーバーにアップロード、データファイルのメール送信などの方法があります。

なお、個人に関する情報の項目および加工方法が同じ匿名加工情報を反復・継続的に第三者に対して同じ方法で提供する場合、最初に匿名加工情報を第三者に提供するときに、提供期間又は継続的な提供を予定している旨を明記するなど、継続的に提供されることとなる旨を明らかにしておくことで、その後に第三者に提供される匿名加工情報の公表については最初の公表により行われたものとできると考えられています(「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)3-2-5」参照)。

9⃣お問い合わせ窓口

8.お問い合わせ窓口
当社の個人情報の取扱に関するご意見、ご質問、苦情のお申し出、その他個人情報の取扱に関するお問い合わせは、下記の窓口までご連絡ください。
住所 〇〇社 総務部
メールアドレス △▼@・・・ (プライバシーポリシーご相談窓口)
電話番号
受付時間

個人情報に関する苦情、相談の窓口を設置し、連絡先を記載する必要があります。
こちらも必須項目です。個人情報保護法では、個人情報の訂正や削除等に対して、速やかに対応できるように求められています。また、+担当部署や連絡先*を記載する必要があります。一般的には総務部の管轄になることが多いようです。

Cookie(クッキー)について

Cookie(クッキー)などトラッキングまたは解析を行うための技術により取得する情報は、ユーザーが使用するブラウザを認識するものであり、特定の個人を識別できるものではありません。したがって、Cookie自体は個人情報保護法の「個人情報(法2条1項)」にはあたりません。]

ただし、Cookie情報を保有する個人情報と紐づけて個人を識別できるようにしているのであれば、「個人情報」該当しますので、注意が必要です。その場合は、プライバシーポリシーにおいてその利用を明らかにして、具体的なCookieの種類、内容、管理・選択方法等を記載、公表しておくことがいいでしょう。

また、Cookieは「個人関連情報」に該当すると考えられます。
そのため、Cookieを第三者提供し、提供先の第三者が個人データとして取得することが想定される場合、提供先が予め本人の同意を取得していることを、提供元は確認しなければならないことに注意が必要です。なお、提供元が提供先の同意取得を代行することも可能です。

プライバシーポリシーの掲載場所

プライバシーポリシーの設置場所は、法律で定められていません。
ただし、「公表」つまり、誰もが容易に知り得る状態にしておく必要があるため、

  • ウェブサービスのトップページから1回の遷移(操作)で到達できる場所へ掲載する
  • Webサイトのフッターやヘッダーなどにもリンクを表示して、ユーザーが迷うことなくプライバシーポリシーにたどり着ける

ようにしておくことがいいでしょう。

記載例全文

〇〇社(以下、「当社」という。)は、お客様の個人情報の保護について、次のとおりプライバシーポリシー(以下「本ポリシー」といいます。)を定めます。当社は、本ポリシーに基づき適正に個人情報を取り扱います。
なお、本ポリシーで使用する用語の意味は、個人情報の保護に関する法律(以下「個人情報保護法」といいます。)に準拠します。

【事業者情報】
法人名:株式会社〇〇
住所:東京都・・・
代表者:✕✕

1.取得する個人情報の項目
当社は、お客様に関する次の個人情報を取得します。
(1)本人確認に関する情報
氏名、住所、性別、生年月日、電話番号、メールアドレス、アカウントのID及びパスワード、SNSアカウント情報等
(2)お取引に関する情報
お取引内容及び購入履歴等
(3)決裁に関する情報
金融機関口座、決裁方法の情報等
(4)その他の関連情報
お客様から当社へのお問い合わせ、ご連絡等に関する情報等

2.利用目的
当社は、お客様の個人情報を、次に掲げる利用目的(以下「本利用目的」といいます。)の範囲内において、取得及び利用いたします。
①サービスへの登録及びサービス利用時の本人認証並びにお客様の管理のため
②商品等のご送付、ご提供のため
③商品等の料金、サービスの利用料金ご請求のため
④サービスの保守、点検、管理のため
⑤取得した閲覧・購買履歴等の情報を分析し、お客様に適した商品・サービスをお知らせするため
⑥キャンペーン、懸賞企画、アンケートの実施のため
⑦商品等及びサービス改善、新商品等及び新サービスの企画・開発のため
⑧お客様からのコメントやお問い合わせに回答するため
⑨利用規約に違反したお客様の特定、その他不正不当な目的で商品等及びサービスを利用した親客様の特定をし、ご利用をお断りするため
⑩本ポリシー記載の方法による、第三者に対する提供のため

また、当社は、当社のグループ会社(当社又はその親会社及びこれらの子会社又は関連会社をいいます。現時点における当社のグループ会社については、こちら(URLを記載)をご参照ください。)における以上の各事項に関連する業務のためにも、お客様の個人情報を取得及び利用することがあります。

個人情報の利用目的は、変更前後の関連性について合理性が認められる場合に限って変更するものとします。個人情報の利用目的について変更を行った際は、変更後の目的について当社所定の方法によってお客様に通知し、加えてWebサイト上にも公表いたします。

3.第三者提供
(1)当社は、以下の場合を除き、あらかじめお客様の同意を得ないで、第三者に個人情報を提供することはいたしません。
①法令に基づく場合
②人の生命、身体又は財産の保護のために必要がある場合であって、お客様の同意を得ることが困難であるとき
③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、お客様の同意を得ることが困難であるとき
④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、お客様の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
⑤その他法令で認められる場合
(2)上記(1)にかかわらず、当社は、次に掲げる場合には、当社が取り扱う個人情報を第三者に提供することがあります。
①お客様の興味。関心等に合わせた広告の配信及びその成果確認並びにサービスの提供のために、それ自体では特定の個人を識別できないようにした情報を当社と提携している広告配信事業者に提供する場合
②……
(3)当社は、次の外国にある第三者に対して、お客様の個人データを提供する場合があります。現時点における、参考となるべき国別の情報は、次のとおりです。
①[国名]
・当該外国の個人情報保護制度に関する情報
個人情報保護委員会が提供する情報を以下のリンクからご確認ください。
[URL]
・第三者が講ずる個人情報保護措置に関する情報
提供先は概ね個人データの取扱いについて我が国の個人情報取扱事業者に求められる措置と同水準の措置を講じています。
(4)当社は、個人情報保護法に基づき、個人情報取扱事業者が講ずべきこととされている措置に相当する措置を講じている外国にある第三者に個人情報を提供するときは、当該措置の継続的実施を確保するために必要な措置を講じています。当該措置の詳細については、「8.お問合せ窓口」までお問合せください。

4.共同利用
当社は、以下のとおり個人情報を共同利用します。
(1)共同利用する個人情報の項目
氏名、住所、電話番号、メールアドレス
(2)共同利用する個人情報の利用目的
上記「本利用目的」の内容と同様。
(3)共同利用者の範囲
当社企業グループを構成する企業(詳細はこちらURL)
(4)管理に関する責任者
当社(東京都品川区〇〇:代表取締役社長▲▼)

5.安全管理措置
当社は、その取り扱う個人情報の漏洩、滅失又はき損の防止その他個人情報の安全管理のために必要かつ適切な措置を講じます。当社が講じる安全管理措置については「8.お問い合わせ窓口」までお問い合わせください。

6.開示等の請求
当社は、お客様から、個人情報保護法の定めに基づき個人情報の開示等の請求(利用目的の通知、個人情報又は第三者提供記録の開示、訂正・追加・削除、利用の停止・第三者提供の停止の請求をいいます。)を求められたときは、お客様ご本人からのご請求であることを確認のうえで、お客様に対し、遅滞なく対応いたします。
ただし、個人情報保護法その他の法令により、当社が開示等の義務を負わない場合は、この限りではありません。
(1)利用目的の通知又は個人情報若しくは第三者提供記録の開示
お客様は、当社に対し、当社が定める手続(後述)に従って、個人情報保護法において認められる範囲内において、利用目的の通知を求め、又は、個人情報若しくは第三者提供記録の開示を請求することができます。ただし、当社は、次の各号のいずれかに該当する場合は、開示を行わないことがあります。 ①開示することでご本人様又は第三者の生命、身体、財産その他の権利利益を害する恐れがある場合
②・・
③・・
なお、本請求される場合には、開示手数料がかかります(後述)。
(2)訂正・追加・削除
お客様は、当社が定める手続(後述)に従って、個人情報の訂正・追加・削除を請求することができます。当社は、利用目的の達成に必要な範囲内で遅滞なく調査を行い、その結果に基づき、個人情報保護法において認められる範囲内において、当該個人情報の訂正・追加・削除を行います。
(3)利用の停止又は第三者提供の停止
お客様は、当社が定める手続(後述)に従って、個人情報の利用の停止又は第三者提供の停止を請求することができます。
(4)手続
お客様が上記の開示等の請求を行う場合には、当社所定の請求書に所定事項を記入の上、本人確認書類を同封し、次の送付先までご郵送ください。利用目的の通知および個人情報又は第三者提供記録の開示については、1回の請求につき千円の手数料をいただきますことをご了承ください。手数料は、請求書に記載しています振込先までお振込みください。なお、不開示及び利用目的の非通知の場合についても所定の手数料をいただきます。
請求書はこちら(ダウンロードURL)
送付先:住所・・・株式会社〇〇 個人情報開示請求窓口担当者

7.匿名加工情報の取扱
(1)当社は、匿名加工情報(特定の個人を識別できないよう加工した個人情報であって、復元ができないようにしたもの)を作成する場合、特定の個人の識別及びその作成に用いる個人情報の復元ができないようにするため、個人情報保護法その他関係法令の定めに則り、加工基準を設け、これに従い当該個人情報を加工します。
(2)当社において匿名加工情報を作成するとき、その作成に用いた個人情報から削除した記述・個人識別符号や具体的に選択された加工方法に関する情報は、当社の個人情報保護管理者及び現場管理者が指名した作業管理者以外の者には接触させないものとし、個人情報保護管理者は、加工方法等情報について、他の情報と分別管理、記録媒体の持出管理、保管場所の施錠、記録するサーバー又はファイルへアクセスするIDの管理・パスワード設定等、個人情報の漏えい防止及び安全性確保に向けた対応に準じて必要な措置を講じます。
匿名加工情報に関するお問い合わせは「8.お問い合わせ窓口」までご連絡ください。
(3)当社が匿名加工情報を作成・利用する場合、当該匿名加工情報を他の情報と照合せず、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別しません。
(4)当社は、以下の内容で匿名加工情報を作成し、第三者に提供をします。また、当社は、今後も継続的に同様の匿名加工情報の作成及び第三者提供をする予定でおります。
①匿名加工情報に含まれる個人に関する情報の項目
性別、生年、購買履歴
②匿名加工情報の提供の方法
暗号化を施した電磁的記録形式にて交付

8.お問い合わせ窓口
当社の個人情報の取扱に関するご意見、ご質問、苦情のお申し出、その他個人情報の取扱に関するお問い合わせは、下記の窓口までご連絡ください。
住所 ○○社 総務部
メールアドレス △▼@・・・ (プライバシーポリシーご相談窓口)
電話番号 03-0000ー0000
受付時間 平日10:00-17:00

プライバシーポリシーに関するご相談は、東京都千代田区直法律事務所の弁護士まで

プライバシーポリシーについてお困りの際は、ぜひ下記リンクよりお気軽にお問い合わせください。

お問い合わせはこちら

【関連記事】
プライバシーポリシーとは?利用規約などの関連規程との違い・その意味について解説!
プライバシーポリシーの対象となる情報・範囲はどう決める?

直法律事務所では、IPO(上場準備)、上場後のサポートを行っております。
その他、プラットフォーム、クラウド、SaaSビジネスについて、ビジネスモデルが適法なのか(法規制に抵触しないか)迅速に審査の上、アドバイスいたします。お気軽にご相談ください。
ご面談でのアドバイスは当事務所のクライアントからのご紹介の場合には無料となっておりますが、別途レポート(有料)をご希望の場合は面談時にお見積り致します。


アカウントをお持ちの方は、当事務所のFacebookページもぜひご覧ください。記事掲載等のお知らせをアップしております。

SaaS企業のお悩みは、
SaaS弁護士に相談して解決

プラットフォーム・クラウド・SaaSビジネスにおける法務のお悩みは、SaaSに強い弁護士に相談されると適切かつ迅速な解決が可能となります。大きなトラブルになる前に、少しでも気になる事は、お早めにSaaS弁護士にご相談ください。

クライアント企業一例