澤田直彦
監修弁護士:澤田直彦
弁護士法人 直法律事務所
代表弁護士
IPO弁護士として、ベンチャースタートアップ企業のIPO実績や社外役員経験等をもとに、永田町にて弁護士法人を設立・運営しています。
本記事では、
「プライバシーポリシーの策定・運用手順について理解しよう」
について、詳しく解説します。
はじめに
プライバシーポリシーとは、事業者の個人情報保護の考え方や方針に関する宣言でしたね。具体的には、利用目的や管理方法等です。
個人情報保護法上は、個人情報取扱事業者であってもプライバシーポリシーの策定を義務付けられているわけではありません。
ただ、ガイドライン(通則)上、「基本方針を策定することが重要」とされています。
プライバシーポリシーの内容や、策定について、詳しく説明します。
※本記事におけるガイドラインとは、個人情報保護に関する法律についてのガイドラインを指します。
プライバシーポリシーの内容
ガイドライン(通則)上に掲げられた項目のほか、個人情報保護法上の個人情報取扱事業者として又はその他の法令により通知又は公表すべき(又は本人が容易に知り得る状態に置くべき)事項を規定しています。
具体的には、個人情報保護法18条に定める利用目的、同法23条2項に定めるオプトアウト手続、同法23条5項3号に定める共同利用、同法27条1項に定める保有個人データに関する事項等を規定することがあります。
基本的な内容としては以下のとおりです。
0.前文、定義
1.基本方針
「個人情報保護法その他の関係法令、個人情報保護委員会の定めるガイドラインなどを遵守して、個人情報を適法かつ適切に扱う」
2.個人情報の取得方法
「個人情報を取得する場面を特定して、適法かつ適正な手段により個人情報を取得する」
3.個人情報の利用目的
・・・具体的に記載をする。
4.個人データを安全に管理するための措置
「個人情報を安全に管理する旨」
5.個人データの共同利用
共同利用する旨
共同利用される個人データの項目
共同利用する者の範囲
利用目的、個人データの管理責任者の氏名または名称
・・・以上の事項を定めておくことによって本人の同意を得ることなく共同利用者に提供ができる
6.個人データの第三者提供について
「本人の同意を得ることなく個人情報を第三者に提供しないこと」
7.保有個人データの開示、訂正、利用停止
8.個人情報取り扱いに関する相談や苦情の連絡先
9.SSL(Secure Socket Layer)について
10.cookieについて
11.プライバシーポリシーの制定日及び改定日
・・・「今後、必要に応じて改定することがある旨」
12.免責事項
13.著作権・肖像権
14.リンク
免責事項や著作権・肖像権に関してはプライバシーポリシーとしてではなく、状況に応じて別途ページを設けても構いません。
GoogleアナリティクスやGoogleアドセンスといったサービスを利用する場合は、追記すべき文言があります。
お問い合わせフォームやコメント機能に関しても、プライバシーポリシーで触れておくと安心です。
後述します。
プライバシーポリシーの策定
プライバシーポリシーは、個人的な日記や外部ツールを一切利用しないというような例外を除いて、個人ブログ等でも必要になります。
なぜなら、お問い合わせフォームがあったり、アクセス解析を行う等で個人情報を取得することがあるからです。
プライバシーポリシーを実際に策定するにあたっては、一般的に、下図の手順を経ることが想定されます。
ひな形を使用して策定する企業もあります。
しかし、ひな形を使う際には、個人情報の利用目的や第三者提供、共同利用などの条項が企業の実情に合致しているかどうかを、しっかり精査する必要があります。
そして、精査を行うことなくひな形をそのまま使用すると、個人情報の取得、利用の場面でトラブルが生じるおそれがあるので慎重であるべきです。
以下では、①~③の各段階における具体的な手順について説明します。
手順①:データマッピング
企業による個人情報保護法制の遵守状況を確認する準備段階として、当該企業が実施する個人情報の処理に各法域のいかなる規制の適用があるかを知るために行う、個人情報の棚卸作業です。
簡単に言うと、事業者において取り扱う個人情報等の項目、取得方法、利用目的、取得元、提供先、管理方法といった個人情報等の取扱いの実態を把握する作業です。
手順①のデータマッピングにあたっては、典型的には、以下の過程で行います。
- プライバシーポリシー策定担当の部署が、データマッピングのための質問票を作成
- 当該部署から、個人情報を扱う可能性がある各部署に、データマッピングの趣旨を説明して質問票を送付
- 当該各部署が記入した質問票を確認し、必要があればヒアリングをして必要な情報を収集
手順②:法的評価・分析と法的整理
手順①が完了すると、プライバシーポリシー策定担当の部署において、データマッピングの結果を踏まえて、個人情報保護法、その他の法令に基づき、
●どのような義務の対象となるか、
●現状の対応で不足している部分がないか
等を分析した上で、対応方針を整理していきます。
手順②の法的評価・分析と法的整理にあたっては、以下の観点から行います。
b.個人情報保護法またはその他の法令において「通知」、「明示」、「公表」、「容易に知り得る状態に置く」、「知り得る状態に置く」こと等が義務づけられている事項について、プライバシーポリシーに記載して本人に対して情報提供をする必要があるか否か
→情報提供の必要がある場合、自社のサービスから考えて、実務的にどのような方法で情報提供をすることがよいのか
c.個人情報保護法またはその他の法令において「同意」を取得することが求められている事項があり、当該事項を記載したプライバシーポリシーに同意させる必要がありそうか
→同意取得の必要がある場合、どのような同意取得方法が求められているか、また、自社のサービスから検討して、どのような方法で同意を取得することが実務的に可能か
d.その他、個人情報保護法またはその他の法令で求められている事項(例えば、委託先との契約締結等)について、自社のサービスから考えると、実務的にどのような方法でクリアできるか
手順③:ドラフティング
手順②の法的評価・分析と法的整理の次は、プライバシーポリシー策定担当の部署において、プライバシーポリシーの形式および内容を決めて、書き出していきます(ドラフティング)。
プライバシーポリシーの形式を決めるにあたっては、典型的には、以下の点を検討することが多いです。
(グループ会社単位または事業者単位など)
b.対象となるサービスの範囲
(すべてのサービスまたは特定のサービスなど)
c.対象となる情報の範囲
(個人情報または広くユーザーデータ)
d.名宛人
(株主、従業員、採用候補者、顧客、取引先等のいずれかまたはこれら複数)
プライバシーポリシーの内容を決めるにあたっては、個人情報保護法またはその関連法令との関係で、どのような記載が適切か検討することがあります。
例えば、個人データの共同利用について、 プライバシーポリシーに記載して本人に情報提供をする必要がある場合には、
- 共同利用している旨
- 共同利用の対象となる個人データの項目
- 共同して利用する者の範囲
- 利用する者の利用目的
- 共同利用する個人データの管理に係る管理責任者の名称、住所等の法定事項
を記載することが求められます。
「共同して利用する者の範囲」は、本人がどの事業者に将来利用される可能性があるのか判断できる程度に明確にしなければなりません。
この点は原則として事後に変更することはできませんので、実務上の不都合が生じない範囲で明確に記載する必要があります。
個人データの第三者提供についてプライバシーポリシーに記載して第三者提供の制限に対する同意を取得する場合は、提供先の範囲等を示すことは必須ではありませんが、明示することが望ましいとされます。
実務上の不都合が生じない範囲で第三者提供の提供先や提供の目的等を記載するという作業を行いましょう。
GoogleアナリティクスやGoogleアドセンスといったサービスを利用する場合
Googleアドセンス、Googleアナリティクスというものを聞いたことがある方は多いと思います。
この二つを利用する場合、利用規約において「このような情報は記載してください」と書かれています。
例えば、前者は、【Cookieを利用してユーザの興味に応じた広告を配信していることを明示する。】、後者は、【プライバシーポリシーを用意する。】【Googleアナリティクスでデータが収集・処理される仕組みを明示する。】等です。
これには、従わなければなりません。
利用規約を読み、利用しましょう。
また、よく見かけるお問い合わせフォームですが、こちらも、お問い合わせフォームやコメント機能で取得する情報、取得した情報の利用目的や用途について明記する必要があります。
名前やメールアドレスを書いてもらうからです。
プライバシーポリシーの運用の考え方
①②③の手順によって策定された、プライバシーポリシーの運用に関する留意点を説明します。
プライバシーポリシーの運用にあたっては、個人情報の「取得時」と個人情報の「取得後」のいずれにおいてもその適切な運用がなされる必要があります。
それぞれ、分けて説明します。
個人情報の取得時の留意点
個人情報の取得時は、プライバシーポリシーを本人に提示して同意を得ることとなります。その際は、個人情報保護法上適法となる方法で、本人の同意を得なくてはなりません。
では、どのように本人から同意を取得すれば適法となるのでしょうか。
個人情報保護法上「本人の同意」とは、
「本人の個人情報が、個人情報取扱事業者によって示された取扱い方法で取り扱われることを承諾する旨の当該本人の意思表示をいう(当該本人であることを確認できていることが前提。)」
とされ、このような同意を得るには、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならないとされています。
この点、同意の具体的な取得方法については法律に特定の定めはありませんが、個人情報保護法のガイドラインには、本人の同意が取得できている事例として、
- 本人からの同意する旨の口頭による意思表示や本人からの同意する旨のメールの受信
- 本人による同意する旨のホームページ上のボタンのクリック
等を挙げています。
基本的には、本人による積極的な行為によって同意を取得することが求められています。
つまり、「メールを返信しなかった場合に同意とする」という非積極的な方法によるものは望ましくないということになります。
ガイドラインのQ&A(A1-60)では、本人に対して、一定期間内に回答がない場合については、一定期間回答がなかったことのみをもって、一律に本人の同意を得たものとすることはできないとしており、本人による積極的な行為がなければ、本人の同意を得たとは必ずしも認められないことに注意が必要です。
また、本人の同意は、明示的な同意以外に、黙示の同意が認められる場合もありますが、個別の事案ごとに具体的に判断する(ガイドラインのQ&AのA1-61)ということですので、明示の同意を得ておくことが安心といえるでしょう。
個人情報の取得後の留意点
個人情報の取得後には、初めにプライバシーポリシーに記載していた利用目的または第三者提供先を変更の必要が出てくることが想定されます。
- 利用目的
- 第三者提供先の変更
についてそれぞれご説明します。
利用目的の変更
個人情報保護法上、個人情報の利用目的を変更する場合には、「変更前の利用目的と関連性を有すると合理的に認められる範囲」内でのみ行うことができます。
「変更前の利用目的と関連性を有すると合理的に認められる範囲」内といえるかどうかは、本人の主観や事業者の恣意的な判断ではなく、一般人の判断において、当初の利用目的とどの程度の関連性を有するかを総合的に勘案して判断されます。
例えば、「当社の商品・サービスに関する情報のお知らせ」という利用目的について、「既存の関連商品・サービスに関する情報のお知らせ」を追加する場合や、「新規に提供を行う関連商品・サービスに関する情報のお知らせ」を追加する場合などには、変更前の利用目的との関連性が認められます。
一方で、当初の利用目的に「第三者提供」が含まれていない場合、例えば、新たにオプトアウト方式による個人データの第三者提供を行う場合や、当初の利用目的を「会員カード等の盗難・不正利用発覚時の連絡のため」としてメールアドレス等を取得していた場合が、新たに「当社が提供する商品・サービスに関する情報のお知らせ」を利用目的として加える場合、変更前の利用目的との関連性が認められません。
変更前の利用目的との関連性を有すると合理的に認められる場合、変更後の目的で個人情報を取り扱うことができます(第17条2項)。
また、利用目的を変更した場合には変更された利用目的について、本人に通知し、又は公表しなければなりません(第21条3項)。
これに対して、変更後の利用目的が変更前の利用目的と関連性がないと合理的に認められる場合、本人の同意なく変更後の利用目的で個人情報を取り扱えば、利用目的制限に違反してしまいます。
その利用目的で個人情報を取り扱う場合、本人から改めて同意を取得する必要がある点、注意が必要です。
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は 財産の保護のために緊急に必要がある場合は、この限りでない。
3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前三項の規定は、次に掲げる場合については、適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の 権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利 益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合 であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
四 取得の状況からみて利用目的が明らかであると認められる場合
第三者提供先の変更
第三者提供先を変更する場合、個人情報保護法上、変更後の第三者提供先が当初の同意の範囲に含まれていなければ、変更後の第三者提供先の記載を追加したプライバシーポリシーについて改めて本人の同意を得るなど、当該変更後の第三者提供先への提供について本人の同意を得る必要があります(なお、同意取得の方法は前述のとおりです)。
プライバシーポリシーの掲載場所は、法律では決められていません。
ただし、誰もが容易に知り得る状態にしておく必要があるため、Webサイトのトップページから1クリックで移動できるようにしたり、Webサイトのフッターやヘッダーなどにもリンクを表示したりて、ユーザーが簡単にプライバシーポリシーを見られるように設定する必要があります。
プライバシーポリシーの策定・運用の外部専門家の役割
プライバシーポリシーの策定や運用の他、その内容を見直すにあたっては、専門的な知見を有する外部の専門家に依頼することが有用です。
個人情報保護法その他の関係法令、個人情報保護委員会の定めるガイドラインなどの理解が必要不可欠であるためです。
ネット上で入手できるひな形は必要最低限であり、会社の実情と異なっていることも多く、トラブルに発展してしまうかもしれません。
実務経験が法務な弁護士をはじめとする専門家から、適切なアドバイスを受けることが重要です。
弁護士だけでなく、コンサルタント、社会保険労務士等も挙げられます。
近年、個人情報に関するトラブルに対する世間の関心が非常に高くなっています。そのため、対応を誤まると企業の信用が傷ついてしまい、大きな損害が生じるおそれもあります。
そのため、弁護士であれば会社の代理人としてトラブルの対応が可能です。
当事務所にもお気軽にお問い合わせください。
免責事項
個人情報保護とは少し離れますが、免責事項についてもお話します。
免責事項とは、文字通り、「責任を免ずる」ことです。
これは、商品やサービスの紹介等の広告・宣伝をする際に必要です。例えば、「●●サービスを利用して快適だった!」というような口コミを書いたけれど、他の利用者快適ではなかったから責任取れ!となってしまうと困ってしまいますね。
記載した情報で利用者が不利益を被ったとしても責任を負わないということと、そのような事態のために正確な情報を提供するように努めているが間違いがあるかもしれないと一言断っておくことが有効です。
(但し、公序良俗に反するような場合や、消費者契約法違反となる場合などもあり、記載した条項が全て有効となるわけではありませんので、詳しくは専門家に相談することをおすすめします。)
【関連記事】
プライバシーポリシーの対象となる情報・範囲はどう決める?
プライバシーポリシーとは?関連する規程類についても解説!
直法律事務所では、IPO(上場準備)、上場後のサポートを行っております。
その他、プラットフォーム、クラウド、SaaSビジネスについて、ビジネスモデルが適法なのか(法規制に抵触しないか)迅速に審査の上、アドバイスいたします。お気軽にご相談ください。
ご面談でのアドバイスは当事務所のクライアントからのご紹介の場合には無料となっておりますが、別途レポート(有料)をご希望の場合は面談時にお見積り致します。
アカウントをお持ちの方は、当事務所のFacebookページもぜひご覧ください。記事掲載等のお知らせをアップしております。
