澤田直彦
監修弁護士:澤田直彦
弁護士法人 直法律事務所
代表弁護士
IPO弁護士として、ベンチャースタートアップ企業のIPO実績や社外役員経験等をもとに、永田町にて弁護士法人を設立・運営しています。
本記事では、
「プライバシーポリシーの対象となる情報・範囲はどう決める?」
について、詳しく解説します。
当事務所では、LINEでのお問い合わせも受け付けております。お気軽にご相談ください。
登録はこちらから
はじめに
「プライバシーポリシー」とは、文字通り、プライバシーに関する情報(個人情報など)について事業者としての取扱方針(ポリシー)を定めた文書のことをいいます。事業者が提供するサービスに応じて個人情報などの取扱方法は変化するため、サービスごとに取扱方針の内容を変えることが一般的です。
事業者は、法律上必ずプライバシーポリシーを作成し、それを公表しなければいけないということはありません。では、どうして、多くの事業者は、プライバシーポリシーを作成しているのでしょうか。
その理由としては、主に以下の2つが挙げられます。
1つは、個人情報保護法上の義務を果たすためにプライバシーポリシーを作成するのが便利だからです。
もう1つは、自社サービスを利用する人に安心感を与え、自社のクリーンなイメージをアピールするツールとして機能するためです。
Pマーク(プライバシーマーク)の取得は、利用者の安心を得られる手段の一つですが、これを受けるには、個人情報の管理が一定水準以上にあることを第三者機関が認定することが条件となります。
プライバシーポリシーが対象とする情報
プライバシーポリシー作成にあたって、特に注意しなければならないチェックポイントとして、プライバシーポリシーが対象とする情報を明確にするということです。
上述のとおり、プライバシーポリシーの対象となる情報は、プライバシーに関する情報です。これでは、どのような情報が対象となるかわかりませんね。
ですから、プライバシーに関する情報の定義を明確にすることが重要です。
従来、個人情報保護法のルールに対応するため「個人情報」のみを対象とするのが一般的でした。しかし、近ごろは、「パーソナルデータ」も対象とすることが多くなっています。
この違いは、個人が特定できるかどうか、です。
「個人情報」とは、住所や生年月日、名前など「〇〇さん」と特定できるような情報のことをいい、個人情報保護法で保護されるものです。
「パーソナルデータ」とは、個人が特定できるかどうかによらない、個人に関する情報全般をさします。「東京駅の▲▼スーパーで12時にコーヒーを購入した人」というような、個人の特定はできないけれど、個人に関する情報をいいます。
これは、個人情報保護法で保護されていません。
とすると、パーソナルデータについては、明確なルールがない状況だといえます。
事業者は、プライバシーポリシーを策定するにあたり、個人情報保護法上の個人情報の取扱いについて定め、さらに、パーソナルデータの取扱いまでプライバシーポリシーで定めるかを検討することが必要となります。
プライバシーポリシーの対象となるサービスの範囲
個人情報保護法は、第32条1項で、個人情報取扱事業者は、情報を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含みます)に置かなければならないと規定しています。
第三十二条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
二 全ての保有個人データの利用目的(第二十一条第四項第一号から第三号までに該当する場合を除く。)
三 次項の規定による求め又は次条第一項(同条第五項において準用する場合を含む。)、第三十四条第一項若しくは第三十五条第一項、第三項若しくは第五項の規定による請求に応じる手続(第三十八条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
一 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
二 第二十一条第四項第一号から第三号までに該当する場合
3 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
プライバシーポリシーに書くべき一般的な記載事項は以下の通りです。
- 個人情報取り扱いに関する基本方針
- 定義
- 事業者の名称、住所、法人代表者氏名
- 個人情報の取得方法
- 個人情報の利用目的
- 個人データを安全に管理するためにとった措置の内容
- 個人データの共同利用について
- 個人データの第三者提供について
- 個人データの開示、訂正等の手続きについて
- 個人データの利用停止等について
- 個人情報の取扱いに関する相談や苦情の連絡先
- SSLセキュリティについて
- Cookie(クッキー)について
個人情報を取得する際には、取得する⑤の個人情報の利用目的を、できる限り特定して、ユーザーに対して、通知または公表しなければいけません(個人情報保護法第18条)。
ユーザーが認めていない目的で事業者に個人情報が利用されてしまうことを防ぎ、個人情報が適切に取り扱われるようにするためです。
できる限り特定とは、
- ①どのような事業・サービスに、
- ②どのような使い方をするか、
を明確にして、ユーザー本人に理解できるような内容にすることをいいます。
| 特定できている例 | 特定できていない例 |
|---|---|
| ・××事業における商品の発送・アフターサービスのため | ・弊社の事業活動に用いるため ・サービス向上のため |
つまり、個人情報を取り扱うにあたっては、本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できるように、できる限り利用目的を特定するようにしましょう。
プライバシーポリシーを作成する際、対象となる業務を事業者のすべてのサービスにする場合と、対象となる業務を特定のサービスにする場合があります。
それぞれ、説明していきます。
すべてのサービスを対象とする場合
プライバシーポリシーの対象をすべてのサービスとする場合、1つの統一的なプライバシーポリシーを事業者のすべてのサービスに適用させることになります。
| メリット | デメリット |
|---|---|
| ・すべてのサービスについて1つの統一的なプライバシーポリシーを作成および管理することで足りるため、一括して規定管理が可能となる。(事業者) ・特定のサービスごとにプライバシーポリシーの違いを個別に確認しなくてもよくなる。(本人) |
・自らが提供する個別のサービスのいずれにも対応するようにプライバシーポリシーを1つにまとめるのが難しい。(事業者) ・特定のサービスごとの個人情報等の取扱いが把握しにくくなる。(本人) |
特定のサービスを対象とする場合
プライバシーポリシーの対象を特定のサービスとする場合、複数の個別のプライバシーポリシーを事業者の特定のサービスごとに適用させることになります。
| メリット | デメリット |
|---|---|
| ・個別のサービスに合わせたプライバシーポリシーを作成すればよく、事業者の個々のサービスごとの個人情報等の取扱いの内容を統合する作業が不要となる。(事業者) ・個別のサービスに合わせた個人情報等の取扱いを把握することができるようになる。(本人) |
・自らが提供する個別のサービスのそれぞれに対応した複数のプライバシーポリシーを作成および維持する必要がある。(事業者) ・個別のサービスごとにプライバシーポリシーの内容が違っていると、個別にプライバシーポリシーの内容を確認しなければならなくなる。(本人) |
それぞれに適する事例
以上のようなメリット・デメリットを踏まえると、一般論としては、その事業者における個人情報等の取扱いがサービスごとに違わない場合には、プライバシーポリシーの対象をすべてのサービスにするのが適していると考えられます。
一方で、その事業者における個人情報等の取扱いがサービスごとに異なる場合には、プライバシーポリシーの対象を特定のサービスにするのが適しているといえるでしょう。
実務上、会社の立ち上げ当初、提供しているサービスが1つしかない、あるいはサービスごとの内容のレパートリーが少ないというような段階では、1つのプライバシーポリシーを作成している場合が多いですし、それで十分な場合がほとんどです。
しかし、事業の多角化が進み、業態の異なるサービスを提供することになると、個人情報の取扱いも異なるサービスを提供する場合が増えてくると考えられるため、そのような場面においては、特定のサービスを対象とするプライバシーポリシーを作成することが適していると考えられます。
近年、雑貨販売が主な業態だったお店がホテルやカフェサービスを始める、ということも聞いたことがあるかと思います。
なお、共通のプライバシーポリシーを1つ作成した上で、サービスごとに異なる部分についてのみ共通プライバシーポリシーの特則として個別のサービスごとのプライバシーポリシーを作成する、という手段もあります。
この手段をとると、共通する部分を何度も説明することなく、各サービスの個人情報等の取扱いの詳細を記載することができるというメリットがあります。
プライバシーポリシーの対象となる情報の範囲
プライバシーポリシーの対象となる情報の範囲は、
- 個人情報保護法上の個人情報に限る場合と、
- 個人情報保護法上の個人情報に限らず、個人に関する情報を広く対象とし、ユーザーデータとする場合
があります。
その違いについてご説明します。
個人情報保護法上の個人情報を対象とする場合
プライバシーポリシーの対象となる情報の範囲を個人情報とする場合、プライバシーポリシーにおいては個人情報の取扱いについてルールのみを記載し、日本の個人情報保護法上は個人情報に該当しないようなデータ(例の閲覧履歴)は対象としません。:会員情報と紐づかないインターネット
個人に関する情報を広く対象とし、ユーザーデータとする場合
プライバシーポリシーの対象となる情報の範囲を、個人情報保護法上の個人情報に限らず、個人に関する情報を広く対象とし、ユーザーデータとする場合、個人情報保護法上の個人情報に該当しないようなデータも対象とします。
それぞれに適する事例
プライバシーポリシーは、個人情報保護法上またはその関連法令を遵守するための手段として用いられているため、この点からすると、プライバシーポリシーの対象となる情報の範囲を個人情報保護法上の「個人情報」とすることが原則といえます。
もっとも、以下に掲げる場合は、個人情報保護法上の個人情報以外もプライバシーポリシーの対象とすることが求められるため、個人に関する情報を広く対象とし、プライバシーポリシーの対象をユーザーデータとするのが適切であると考えられます。
①一般社団法人日本インタラクティブ広告協会(JIAA)が公表している「プライバシーポリシーガイドライン」および「行動ターゲティング公告ガイドライン」に対応する場合
この場合、いずれのガイドラインも個人情報に該当しないようなデータ(個人関連情報(プライバシーポリシーガイドライン2条5号)または行動履歴情報(行動ターゲティング公告ガイドライン3条1号))が対象となっているため、個人に関する情報を広く対象とするのが適切となる場合があります。
②GDPRやCCPA等の外国のデータ保護法に対応する場合
この場合、日本の個人情報保護法上の個人情報に該当しないようなデータも対象となることがあるため、個人に関する情報を広く対象とするのが適切となる場合があります。
③企業におけるデータの取扱いの透明性を確保する観点から個人情報保護法で求められている以上の対応をする場合
この場合、個人情報に該当しないデータについてもわかりやすくプライバシーポリシーに記載したほうが企業におけるデータの取扱いの透明性の確保につながるため、個人に関する情報を広く対象とするのが適切となる場合があります。
【関連記事】
「個人情報」と「プライバシー情報」はどんな関係にあるの?
プライバシーポリシーとは?関連する規程類についても解説!
直法律事務所では、IPO(上場準備)、上場後のサポートを行っております。
その他、プラットフォーム、クラウド、SaaSビジネスについて、ビジネスモデルが適法なのか(法規制に抵触しないか)迅速に審査の上、アドバイスいたします。お気軽にご相談ください。
ご面談でのアドバイスは当事務所のクライアントからのご紹介の場合には無料となっておりますが、別途レポート(有料)をご希望の場合は面談時にお見積り致します。
アカウントをお持ちの方は、当事務所のFacebookページもぜひご覧ください。記事掲載等のお知らせをアップしております。
