企業や個人事業のウェブサイト/ホームページでは、プライバシーポリシー(個人情報保護方針)を表示していることが一般的です。
しかし、プライバシーポリシーは何故作る必要があるのか、あるいはどのように作れば良いか等について、よくわかっていないという方も多いのではないでしょうか。事実、私自身がそうでした。
本稿は、筆者が行政書士の立場から、ウェブサイトに表示するプライバシーポリシーの策定にあたって検討した事項を、主に個人情報保護法の観点から整理したものです。
1.はじめに
(1) 個人情報保護法関連の記事を検索・参照する場合の注意点
個人情報保護法は平成27年や令和3年に大きな改正がありました。インターネット上の記事は、どの時点の法律に基づいて執筆されたものか明確でないものも多く、最新の法改正に対応した情報でないことがありますので、注意が必要です。
本稿は、令和4年4月1日施行の個人情報保護法及び関連政省令が反映された、令和5年4月現在の法令に基づいて記載しています。
(2) 電気通信事業法、その他業界団体のルールについて
本稿は、あくまで個人情報保護法を中心に整理した記事であり、事業者の営む事業内容によっては電気通信事業法その他業界団体のルール等について別途検討が必要となる場合がありますので、ご注意ください。
(3) ウェブサイトに表示するプライバシーポリシーと、社内規程としての個人情報保護方針の区別を
ウェブサイトに表示するプライバシーポリシーは、後に述べるとおり、表示必須と考えられる項目が限定されており、ある程度簡潔なものでも足りると考えられます。
他方、社内規程としての個人情報保護方針や個人情報保護規程については、法令に規定されているような当たり前の事項もあえて記載するなど、ある程度のボリュームをもたせて作成する方が望ましいと考えられます。このように、若干作成コンセプトに違いが生じますので、ご注意ください。
本稿は、あくまで、中小企業や小規模事業者がウェブサイトに表示するプライバシーポリシーを中心に整理しています。
2.行政書士がプライバシーポリシーを作れるのか?
行政書士試験においては、個人情報保護法及び行政機関個人情報保護法(注:行政機関個人情報保護法については、現在は法改正により廃止されました。)について毎年問われますので、行政書士は個人情報保護法の法制度について一通りの知識は持っています。また、行政書士は、中小企業小規模事業者支援業務として、規程類の整備を行うことができます(日本行政書士会連合会ウェブサイト『中小企業支援』参照)。
あまり知られていませんが、以上から、行政書士においてはプライバシーポリシーの策定にも強く、専門性をもって対応をすることが可能です。
3.プライバシーポリシーとは
(1) プライバシーポリシーとは何か
では本題に入ります。まず、プライバシーポリシーは、一般的には、「個人情報について、その収集や活用、管理、保護などに関する取り扱いの方針を明文化したもの」等と説明されています(参考:公益社団法人 日本広報協会 プライバシーポリシーとは)。
(2) プライバシーポリシーの作成は法的義務か
個人情報保護法上は、プライバシーポリシーあるいは個人情報保護方針といった用語はそもそも登場しません。そのため、プライバシーポリシーを作成すること自体については、個人情報保護上の義務はないと言えます。
(3) プライバシーポリシーはなぜ必要なのか
上述のとおり、プライバシーポリシーは、法的義務に基づいて定めるものではありません。そのため、法的観点から言えば、どちらかといえば、企業等の個人情報に関するコンプライアンス意識をアピールする目的で作成するといった側面の方が強いように思われます。
ただし、作成すること自体に法的義務がないから作成しなくても問題ないというものでもありません。なぜなら、個人情報保護法上、事業者が一定の内容について公表若しくは本人に対する通知又は本人の同意を求める義務を負う場面があるからです。
プライバシーポリシーを作成してウェブサイト上で所定の事項を表示すれば、上記の義務を履行できるという場面があります。その点で、作成に関する直接的な法的義務はなくても、プライバシーポリシーの作成には意義があるといえます。
どのような義務があり、どのような内容をプライバシーポリシー上で表示すれば良いかについての詳細は、次項で説明します。
4.プライバシーポリシーに最低限盛り込みたい内容
個人情報保護法の観点から、プライバシーポリシーに最低限盛り込むべきと考えられる事項は以下のとおりです。なお以下「法」と表記しているものは個人情報保護法を指します。
(1) 利用目的
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならないとされています(法第21条第1項)。
また、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければなりません(同条第3項)。
プライバシーポリシー上で利用目的を特定し、公表することで、これらの義務を果たすことができます。
なお、利用目的はできる限り特定することが必要とされています(法第17条第1項)。単純に「本サイトの運営に必要な一切の目的」などと記載するのみでは、この特定がなされているとは言えないと考えられます。
「お問い合わせへの対応」「セミナーの案内」「挨拶状の配布」「採用時の事務連絡」など、利用目的を具体的に列挙したうえで、最後に「その他本サイトの運営に必要な一切の目的」等を付け加えるのがよいでしょう。
(2) 保有個人データに関する事項の公表等
個人情報取扱事業者は、保有個人データ(※1)に関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならないとされています(法第32条第1号)。
(1) 事業者名等
(2) 全ての保有個人データの利用目的
(3) 開示等の請求等(※2)の申出先
(4) 開示等の請求等の方式
(5) 本人または代理人であることの確認の方法
(6) 手数料の額及び徴収方法
※1
保有個人データ:概して言えば、個人情報取扱事業者が検索可能な状態で有している個人情報のデータのことです(正確な定義は法第16条第4項、第1項、第3項参照)。
※2
開示等の請求等:利用目的の通知、開示、訂正・追加・削除、利用停止・消去及び第三者への提供の停止のご請求又は求めを指します。
(3) 安全管理措置の内容
個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならないとされています(法第32条第4号、個人情報保護法施行令第10条)。
(1) 安全管理措置の内容
(2) 苦情の申出先
(3) 認定個人情報保護団体の対象事業である場合は所定の事項
安全管理措置を具体的にどう定めるべきかについては、例えば以下の公表資料が参考になります。
- 個人情報保護委員会『個人情報の保護に関する法律についてのガイドライン(通則編)』別添10「講ずべき安全管理措置の内容」
- 経済産業省『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン』「個人データの管理」(P25~P43)
(4) 第三者提供(もしあれば)に対する同意
個人情報取扱事業者は、法令に基づく場合等を除き、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならないとされています(法第27条第1項)。
事業者が営む事業について、第三者への個人情報提供が想定される場合は、所定の事項をプライバシーポリシーに明示し、その内容についての同意を得たうえで個人情報を取得するといった対応を検討する必要があります。
なお、ここでいう「第三者」の範囲ですが、次の場合は「第三者」に該当しないものとされています(法第27条第5項)。
①利用目的の達成に必要な範囲内において個人データの取扱いを委託する場合
②合併その他の事業承継によって個人データが提供される場合
③共同して利用される個人データについての共同利用者に関する項目を本人に通知等しているとき
例えば、プライバシーポリシーにおいて、上記③を表示しておくことで、都度本人から同意を得る必要がなくなります。第三者提供の有無に応じて、プライバシーポリシーへの表示の対応を検討する必要があります。
参考:Cookie情報やアクセス解析情報について
個人情報保護委員会によれば、例えばCookie等の端末識別子を通じて収集された、ウェブサイトの閲覧履歴など、提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報については、第三者提供の制限規定の対象となり、本人同意が得られていること等の確認が必要とされています(令和4年4月1日全面施行民間事業者向け個人情報保護法ハンドブック-個人情報保護委員会- p.13)。Google Analyticsをはじめとするアクセス解析についても同様の規制が及ぶ可能性があります。これらについてもプライバシーポリシーに明示する対応を検討した方がよいでしょう。
(5) 外国にある第三者提供(もしあれば)に対する同意
外国にある第三者に個人データを提供する場合には、あらかじめその旨の同意を本人から得る必要があります(法第28条第1項)。
本人の同意を得ようとする場合には、事業者は、あらかじめ、個人情報の保護のための措置等を本人に提供する義務があります(同条第2項)。
事業者が行うビジネスにおいて外国への個人データ提供が想定される場合には、プライバシーポリシーへの表示の対応を検討する必要があります。
5.任意的記載事項
筆者の分析によれば、ウェブサイトに表示するプライバシーポリシーにおいて必須と考えられる項目は上記4.に記載した5項目程度ではないかと思います。更に、第三者提供が想定されない場合は、利用目的、安全管理措置、 保有個人データに関する事項のみの表示でも、法的には問題ないように思います。
ただし、実際は、これらのみを内容としている例は殆どありません。例えば以下のような事項を任意的に記載しても良いでしょう。その場合の記載ぶりは、以下の根拠条文を参考に、それぞれの法令の書きぶりとほぼ同じ記載にすることで良いものと思われます。
- 目的外利用を行わない旨 【法第17条】
- 利用目的を変更する場合の措置 【法第21条第3項】
- 適正利用に関する宣言 【法第19条】
- 個人データの内容の正確性の確保等 【法第22条】
- 従業者の監督 【法第24条】
- 委託先の監督 【法第25条】
- 個人情報の漏洩等の報告 【法第26条】
6.実務上の留意点(法改正への対応)
実務上留意すべきなのはやはり法改正への対応だと思われます。
プライバシーポリシーを含むウェブサイトの管理部署と、法務を所管する部署は異なることも多く、うまく連携して対応しないと法改正に対応できない場合があります。
これは実際にあったことですが、ある大手法律事務所のプライバシーポリシーを閲覧したところ、そのプライバシーポリシーが法改正に全く対応していないと思われたことがありました。プライバシーポリシー自体は弁護士が監修してかなり精巧に作られていると思われたのですが、アップデートがされていなかったのです。正直、驚きました。
おそらく、プライバシーポリシーを策定するところまではよかったものの、その後の改正やアップデートを誰が担当するのか決めていないことが原因なのではと推測されます。よくある話だと思います。ウェブサイトの管理部署の側(自社の事務スタッフや外注先)から、プライバシーポリシーは法改正に対応するためにアップデートしなくてよいか、というアテンションが来ることは考えづらいです。法務担当者側から気づき、自発的に行動・対応する必要があります。
7.プライバシーポリシーのひな型はあるのか
おそらく官公庁等がオフィシャルに公開している雛形はないと思われます。同業者のプライバシーポリシーを参考に、自社用にアレンジして作成するのが良いでしょう。
8.まとめと所感
多くの事業主は、プライバシーポリシーについて、おそらく他社例を単純に参考にして作成しているだけだと思います。参考にすることは問題ないと思います。ただ、法的に検討すると、規制が複雑であり、簡単に作成できるようなものでもないことがわかりました。少なくとも専門家としては、個人情報保護法に精通したうえで、法改正の対応も含めて随時見直しながら運用していきたいと考えています。