03-6550-9202 (受付時間 平日10:00〜17:00)

お問い合わせ

プライバシーポリシーの書き方

pp01

 

個人情報保護法(正式名称:個人情報の保護に関する法律)が、改正されました。
来年(2017年)の、春頃に施行される見込みです。

大企業だけでなく、中小企業においても、施行の日までに、社内で法改正への対応を進めなければいけません。
そんな対応の1つに、プライバシーポリシー(個人情報保護指針)の作成(改定)があります。

みなさんの会社のウェブサイトにも、会社としてのプライバシーポリシーが掲載されているケースが多いかと思います。

 

ただ、みなさんは、プライバシーポリシーのことをどこまでご存じですか
プライバシーポリシーに関する以下の質問に、答えることができますか?

【質問】

・そもそもプライバシーポリシーは、何のためにあるのか?
・個人情報保護法という法律とは、どのような関係にあるのか?
・プライバシーポリシーは、会社が自由に書いてよいものなのか?
・ひな形(雛形)やテンプレートをそのまま流用してはいけないのか?
・今回の法改正にあわせて、どこをどのように改定すればいいのか?

 

以上の質問にスラスラと答えられる方は、以下のコラムを読む必要はありません。

ただ、質問のうち1つでも「?」と思った方にむけて、
今回のコラムでは、プライバシーポリシーの基本、プライバシーポリシーの書き方について、Q&A形式でかんたんに解説したいと思います。

 

プライバシーポリシーに関するQ&A

 

【Q1】


プライバシーポリシーとはそもそも何ですか? 


【A1】
事業者が個人情報保護を推進する上での、考え方や方針のことです。
 


【解説】
プライバシーポリシーの意味については、法律ではなく、政府が策定した、
「個人情報の保護に関する基本方針」
を見るとわかります。

そこでは、次のように書かれています。
(以下、同基本指針の、平成28年10月28日一部変更版(リンク先PDF)より引用。下線は筆者)

6 個人情報取扱事業者等が講ずべき個人情報の保護のための措置に関する基本的な事項
(1)個人情報取扱事業者が取り扱う個人情報に関する事項
 個人情報取扱事業者は、法の規定に従うほか、2の(2)の①の個人情報保護委員会のガイドライン、認定個人情報保護団体の個人情報保護指針等に則し、例えば、消費者の権利利益を一層保護する観点から、個人情報保護を推進する上での考え方や方針(いわゆる、プライバシーポリシー、プライバシーステートメント等)を対外的に明確化するなど、個人情報の保護及び適正かつ効果的な活用について主体的に取り組むことが期待されているところであり、体制の整備等に積極的に取り組んでいくことが求められている。その際、事業の規模及び性質、個人データの取扱状況等に応じて、各事業者において適切な取組が実施されることが重要である。


この基本方針によると、プライバシーポリシーとは、「個人情報保護を推進する上での考え方や方針」のことをいいます。

あなたの会社でも、消費者(あるいは従業員などの関係者)の権利利益を保護するという観点から、プライバシーポリシー等を社外に明確に示すことが期待されています。

 

pp02

 

【Q2】


プライバシーポリシーには、何を書けばいいのですか?
法律により、書かなければいけないことはありますか?


【A2】
法律上、プライバシーポリシーに必ず書かなければいけない事項はありません。
ただ、法律上の義務を履行するために、ポリシーに書いておけば有益な事項もあります。
 


【解説】
ここからは、プライバシーポリシーの具体的な書き方に入っていきましょう。

とはいえ、1つ1つの条文をすべて解説していくと、このコラム数個分のボリュームになってしまいますので、本コラムでは、「何を書くべきか」という大きなアウトラインを示したいと思います。

まず前提として、個人情報保護法には、「プライバシーポリシーにはこのような記述を入れなさい」と強制している事項はありません

ただ、事業者(法律上の「個人情報取扱事業者」)には、法律上守らなければいけない義務がいくつかあります。
その義務のなかには、プライバシーポリシーに入れておけばクリアできる要件もあります。

 

その要件とは何でしょうか?

答えは、経済産業省のガイドライン「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成26年12月12日厚生労働省・経済産業省告示第4号))66p以下によくまとまっています。

長くなりますが、同ガイドラインから引用してみましょう。(※以下は、改正前の現行法を前提としたものです。読みやすいように、改行を加えています)
 


●事業の内容及び規模を考慮した適切な個人情報の取扱いに関すること。

(ア) 取得する個人情報の利用目的(法18条関係)
すべての利用目的を列記するのではなく、事業内容を勘案して顧客の種類ごとに利用目的を限定して示すなど、事業内容の特性、規模及び実態に応じ、本人にとって利用目的がより明確になるようにすることが望ましい。

(イ) <個人データの取扱いの委託を行う場合>(法22条関係)
事業内容の特性、規模及び実態に応じ委託処理の透明化を進めることを盛り込むことが望ましい。
・個人データの委託を行うこと
・委託する事務の内容

(ウ) <本人の同意なく第三者提供する場合>(法第23条第2項及び第3項関係)
・利用目的に第三者提供が含まれていること。
・第三者に提供される個人データの項目
・第三者への提供の手段又は方法
・本人の求めに応じて第三者への提供を停止すること。

(エ) <共同利用する場合>(法第23条第4項及び第5項)
・特定の者との間で共同利用すること。
・共同して利用される個人データの項目
・共同利用者の範囲
・共同して利用する者の利用目的
・共同して利用する者のうち、個人データの管理について責任を有する者の氏名又は名称

(オ) 以下の保有個人データに関すること(法第24条、第25条及び第27条関係)。
個人情報の取得元又は取得方法(取得源の種類等)を可能な限り具体的に明記したり、本人から求めがあった場合には、ダイレクトメールの発送停止等自主的に利用停止に応じたりするなど、事業活動の特性、規模、実態を考慮して、本人からの求めに対応していくことを盛り込むことが望ましい。
・自己の氏名又は名称
・すべての保有個人データの利用目的
・「開示等の求め」に応じる手続(定めた場合に限る。)
・保有個人データの利用目的の通知及び開示に係る手数料の額(定めた場合に限る。)
・苦情の申出先(認定個人情報保護団体の対象事業者※である場合には当該認定個人情報保護団体の名称及び苦情解決の申出先を含む。)

(カ) 開示等の求めに応じる手続に関すること(法第29条関係)。
・申請書の様式(定めた場合に限る。)
・受け付ける方法(定めた場合に限る。)
・保有個人データの特定に役立つ情報の提供

(キ) 問い合わせ及び苦情の受付窓口に関すること(法第23条第5項、第24条第1項、第29条第1項及び第31条関係)。


以上の(ア)から(キ)のうち、あなたの会社で記載が必要なものを選んで書くことになります。

個別の条文をどのように書けばよいかについては、上記の経済産業省のガイドラインや、個人情報保護委員会が発表しているガイドライン(※本コラム執筆時点では、「案」段階のもの)などをご覧ください。

なお、個人情報の「利用目的」をどのように書けばよいかについては、別のコラムでも解説しましたので、そちらも参考にしてください。

 

実際には、他社のプライバシーポリシーを見ると、イメージを持ちやすいでしょう。
ここでは一例として、大手企業のプライバシーポリシーのうち、短めのものにいくつかリンクを張っておきますので、ご参照ください。

トヨタ自動車株式会社「個人情報の取扱いについて」
ヤマト運輸株式会社「個人情報保護ポリシー」
住友商事株式会社「プライバシー・ポリシー」
株式会社セブン&アイ・ホールディングス「個人情報保護基本方針」
株式会社クックパッド「個人情報保護方針」

 

もちろん言うまでもないことですが、会社ごとに、ビジネスの内容や、個人情報の用途は変わってきます。
他社のものをそのままマネするのではなく、他社と自社の違いをふまえたポリシーを作成してください。
 

pp03

 

【Q3】


法律以外に、プライバシーポリシーに書いておくべき内容はありますか?


【A3】
官公庁の指針や、自社の所属業界のガイドラインなども参照して、自社のビジネスに関連する記載を取り込んでください。
また、個人情報を提供した本人の不安感を和らげて、事業者としての信頼を高めるような記載を加えることも望ましいといえます。
 


【解説】
プライバシーポリシーは、あなたの会社の消費者などに向け、個人情報保護を推進する上での考え方や方針を示すものです。
そのため、法律に関することだけではなく、あなたの会社の方針を、(適法な範囲で)自由に書いてもらってかまいません

以下では、プライバシーポリシーに書いておくべき内容について、いくつかの例を示しておきます。

 

例1:経済産業省ガイドラインが求める記載


たとえば、上記の経済産業省ガイドライン68pでは、上のQ2で述べた法律の話以外にも、下記の3点の記載を求めています。


・個人情報の保護に関する法律を遵守すること
・個人情報の安全管理措置に関すること
・マネジメントシステムの継続的改善に関すること


 

例2:アプリの場合の記載


また、アプリのプライバシーポリシーを書く場合には、総務省が2012年に発表した「スマートフォン・プライバシー・イニシアティブ」(リンク先PDF)も参考になります。

同資料の59頁では、アプリケーションの提供者に対して、以下の8点についての明示を求めています。


1 情報を取得するアプリケーション提供者等の氏名又は名称
2 取得される情報の項目
3 取得方法
4 利用目的の特定・明示
5 通知・公表又は同意取得の方法、利用者関与の方法
6 外部送信・第三者提供・情報収集モジュールの有無
7 問合せ窓口
8 プライバシーポリシーの変更を行う場合の手続

一例として、たとえば、ガンホー・オンライン・エンターテイメント株式会社のゲームアプリ「パズル・アンド・ドラゴンズ」のプライバシーポリシーを見ると、この1から8を意識した書き方がされていることがわかります。


【「パズル・アンド・ドラゴンズ」プライバシーポリシーより】

①Googleアカウント情報(Android使用時)
取得方法:ユーザー様任意(暗号変換され保存されます)
利用目的:データ引継ぎ機能利用
外部送信、第三者提供、情報収集モジュールの有無:ありません

②端末機種名
取得方法:自動取得(必須)
利用目的:ユーザー動向把握及び不具合調査の補足情報収集
外部送信、第三者提供、情報収集モジュールの有無:ありません

③OSバージョン情報
取得方法:自動取得(必須)
利用目的:ユーザー動向把握及び不具合調査の補足情報収集
外部送信、第三者提供、情報収集モジュールの有無:ありません

 

 

例3:業界団体のガイドラインが求める記載


さて、他にも、各業界ごとに、業界団体などのガイドラインが要求している記載もあります。
自社の所属する業界団体のガイドラインがあれば、そちらも参照してください。
(本稿執筆時点での各種ガイドラインについては、個人情報保護委員会ウェブサイト内に置かれた資料「個人情報の保護に関するガイドラインについて」で確認できます(リンク先PDF))

 

例4:本人の不安を解消するための記載


さらに、法律やガイドラインなどから要求されていないとしても、個人情報を提供した本人(会社の顧客や、会社の従業員など)が、個人情報の取扱いについて不安に思わないように、個人情報の取扱い方針について説明を尽くすことも重要でしょう。

海外の例ですが、例えばGoogleのプライバシーポリシーでは、従前から、利用者の識別情報を、機密性の高いカテゴリ(人種や宗教など)と関連づけないことを宣言しているので、このような記載も参考になります。


【Googleプライバシーポリシーより】

Google では、広告をお客様のためにカスタマイズして表示する際、Cookie や同様の技術からの識別情報を機密性の高いカテゴリ(人種、宗教、性的指向、健康など)と関連付けることはありません。

 


pp04

 

【Q4】


プライバシーポリシーを作成したので、自社のウェブサイトに掲載しようと思いますが、サイトのどこに置けばよいですか?


【A4】
自社ホームページのトップページから、1回リンクをクリックすればたどり着ける位置に置くのが望ましいです。
 


【解説】
プライバシーポリシーをどこに置くかは、原則として会社の自由です。

ただし、プライバシーポリシーを用いて、利用目的を「公表」したり、本人に伝えるべき事項を「本人が容易に知りうる状態」に置く場合には、法律やガイドラインの求める要件を満たす必要があります。

「公表」のやり方、「本人が容易に知りうる状態」への置き方としては、かねてから上記の経済産業省のガイドライン10pや、個人情報保護委員会のガイドライン(通則編)(案)の23p、49pで言われているように、

自社のホームページのトップページから、1回程度の操作で到達できる場所への掲載

が求められています。
そのため、多くの企業が行っているように、あなたの会社のトップページに、「プライバシーポリシー」という文字リンクを張って、そこからワンクリックでプライバシーポリシーの文章に遷移できるように配置すべきでしょう。

 

 

終わりに


以上、本コラムでは、プライバシーポリシーの書き方について、アウトラインをお伝えしました。

あなたの企業の顧客や、従業員からみたときに、プライバシーポリシーは、あなたの会社がどのように個人情報を扱っているかの「顔」になるものです。
個人情報への関心が高まっている現代においては、個人情報の取り扱いを誤ってしまうと、法的な責任が生じるだけでなく、会社の名前や評判にも傷がつきかねません。

法改正の動きなどもチェックしつつ、プライバシーポリシーというあなたの会社の「顔」のメンテナンスを進めてください。

 

【関連記事】
中小企業向け 10分でわかる個人情報保護法
耳の形であなたを識別する -バイオメトリクス(生体情報)と個人情報保護法-