改正個人情報保護法が、今年の5月30日に全面施行されました。
この改正で、これまでは法の義務が課されていなかった多くの中小企業も、法の規制対象になりました。ほとんどすべての企業で、改正法にしたがった対策が必要になってきます。
しかし、忙しい企業では、対応が後回しになっているところも多いかと思います。
たとえば、会社の「プライバシーポリシー(個人情報保護指針)」の作成・公表はお済みでしょうか?
プライバシーポリシーは、「うちの会社は個人情報をしっかり取り扱っています」と宣言するための、いわば会社の「顔」になるものです。
プライバシーポリシーの作成自体は法令上の義務ではありませんが、個人情報の重要性が高まっている昨今、早めに作成し、公表することが望ましいものです。
なぜ望ましいかと言いますと、プライバシーポリシーに一定の事項を書いておくことで、個人情報保護法が企業に求めるいくつかの「義務」を果たすことができるからです。
どういうことなのか、以下で具体的に見ていきましょう。
プライバシーポリシーには何を書くべきなのか?
法律との関係で、プライバシーポリシーには、何を書くべきでしょうか?
実は、法律には、「プライバシーポリシーはこう書くべき」といった指定はありません。何を書くかは、各社の自由に委ねられています。
ただ、これまで個人情報のことをよく知らなかった企業からすると、「自由に書け」と言われても困りますね。
改正前は、プライバシーポリシーの記載事項については、経済産業省が発表したガイドラインなどが要領よくまとめていました。
しかし、このガイドラインは改正にともなって廃止(更新停止)されてしまいました。
そして、改正後は、個人情報保護委員会のウェブサイトを探しても、そのような便利な「まとめ」は見当たらないようです。
そこで、以下では、プライバシーポリシーに最低限書いておくべき事項を、簡潔にまとめてみたいと思います。
プライバシーポリシーの記載事項
まず結論から書きますと、プライバシーポリシーでは、以下の内容を書いておくべきです。
法令の義務に関する事項(A)と、それ以外の事項(B)に分けて整理します。
【A:記載することで法令の義務をクリアできる事項】
(1) 取得する個人情報の利用目的
(2) 保有個人データに関する事項
(3) 開示等の請求に応じる手続
(4) 問い合わせ及び苦情の受付窓口
(5) オプトアウトによる個人データの第三者提供をする場合は、そのために必要な記載事項
(6) 個人データの共同利用をする場合は、そのために必要な記載事項
【B:法令の義務ではないが、記載することが望ましい事項】
(1) 会社が法令やガイドライン等を遵守して、個人情報を適法かつ適切に取り扱うことの宣言
(2) 安全管理措置
(3) 会社が個人情報の取扱いについて、継続的に改善することの宣言
(4) プライバシーポリシーの改訂方法
これらの事項を書くべき理由
なぜ、これらの内容を書くべきなのでしょうか。
まず、【A:記載することで法令の義務をクリアできる事項】から言いますと、これらの事項は、「公表」したり、「(個人情報の主である)本人の知り得る状態」に置く義務が法律で定められています。
プライバシーポリシーで書いて発表することで、これらの「公表」などの義務を果たすことができます。
たとえば、「(1) 取得する個人情報の利用目的」については、あらかじめプライバシーポリシーで「公表」しておけば、個別に取得する際に本人に通知する必要がなくなります(法18条1項)。
(ちなみに、利用目的は、どのように使われるのかが本人に想定できるように、「できる限り特定」して書く必要があります(法15条1項)。具体例は別のコラムで解説しましたので参照してください)。
また、(2)(3)(4)をまとめて説明しますと、個人情報取扱事業者は、「保有個人データ」(細かい説明は省きますが、個人情報を検索できるように体系的に構成した名簿やデータで、自らが開示等の権限を持っているものを指します)に関しては、以下の各事項を、「本人の知り得る状態」に置いておく義務があります(法27条1項・施行令8条)。
・個人情報取扱事業者の氏名または名称(要するに会社名)
・全ての保有個人データの利用目的(法18条4項1号〜3号の場合を除く)
・開示等の請求に応じる手続(開示請求の手数料を定めた場合は、その手数料も)
・保有個人データの取扱いに関する苦情の申出先
・認定個人情報保護団体の対象事業者である場合は、その認定個人情報保護団体の名称と、苦情の解決の申出先
これらの事項は、プライバシーポリシーに書いて発表しておけば、「本人の知り得る状態」に置いておく義務を果たせます。
さらに、中小企業ではあまり行われないかもしれませんが、
・オプトアウトによる個人データの第三者提供
(要するに、本人の同意を得ずに第三者に個人データを提供して、後から本人が停止を求めた場合に提供を停止することです)
や、
・グループ企業間での個人データの共同利用
を考えている会社では、法律の求めるいくつかの要件を「本人が容易に知り得る状態」に置いておく必要があります(法23条2項、23条5項3号参照)。
これらの事項についても、プライバシーポリシーに書いて公表しておくことで、法律の義務を果たすことができます。
このように、プライバシーポリシーを作成・公表しておくと、法律の義務をクリアできるという実益があるのです。
また、【B:その他、法令の義務ではないが、記載することが望ましい事項】は、法律の義務ではありませんが、記載することによって企業としての個人情報への取り組みを宣言し、社会的信頼を高めることができます。
プライバシーポリシーの具体例(大企業の場合を参考に)
とはいえ、何をどう書けばいいのか、まだ具体的なイメージを持てない方も多いかと思います。
そんな場合は、同業他社のプライバシーポリシーを参考に検討してみるのも一つの選択肢です。
なぜなら、同業他社の場合は、とくに個人情報の「利用目的」が似ていることが多く、自社にも応用可能な場合が多いからです。
実際に、いくつかの業種の、大企業のポリシーの例をならべておきますので、参考にしてください。
・トヨタ自動車株式会社
http://toyota.jp/privacy_statement/
・ヤマト運輸株式会社
http://www.kuronekoyamato.co.jp/privacy/privacy_01.html
・住友商事株式会社
http://www.sumitomocorp.co.jp/privacy/
・株式会社セブン&アイ・ホールディングス
http://www.7andi.com/privacy.html
・楽天株式会社
http://privacy.rakuten.co.jp
また、市販の本にも、プライバシーポリシーの記載例が載っています。
本コラムの筆者(数藤)が執筆・編集に関わった『完全対応 新個人情報保護法-Q&Aと書式例-』(新日本法規出版、2017年)にも、プライバシーポリシーの書式例を載せてますので(256p以下)、参考にしてください。
作成したプライバシーポリシーはどこに置けばいいか?
そして、作成したプライバシーポリシーは、自社ホームページのトップページからリンクを1回クリックすればたどり着ける位置に置いておくべきです(ホームページがない会社では、求められたときにすぐに出せるように印刷しておいてください)。
この場所に置いておくことで、法律が求める「公表」や「本人が容易に知りうる状態」の条件をクリアできると考えられています(個人情報保護委員会のガイドライン(通則編)2-11、3-4-2-1など参照)。
このような実益があるため、多くの企業では、会社ホームページのトップページに「プライバシーポリシー(個人情報保護指針)」のリンクを張って、遷移した先にプライバシーポリシーの本文を置いています。
終わりに
最初に書いたように、プライバシーポリシーは、会社がどのように個人情報を取り扱っているかを示す「顔」になるものです。
個人情報に関する事件が報道されることも増えました。ひとたび個人情報の取り扱いを誤ってしまうと、法的な責任が生じる上に、会社の名前や評判にも傷がつきかねません。
本コラムを参考に、プライバシーポリシーというあなたの会社の「顔」のメンテナンスを鋭意進めてください。
(弁護士 数藤 雅彦)
五常法律会計事務所では、実際のビジネスの内容にマッチしたプライバシーポリシーの作成・修正に関するご依頼を随時受け付けております。
現在、プライバシーポリシーをはじめとする個人情報保護法に関する新規のご相談につき、初回1時間まで無料にて対応をしております(※要予約制)。
ご関心のある方は問い合わせフォームから、ご連絡を戴ければ幸いです。
【関連コラム】
・GDPRに関する個人情報保護委員会ガイドラインの「方向性」