プライバシーポリシー（個人情報保護方針）

プライバシーポリシーを適切に作成し個人情報保護を徹底する

インターネットサービスの普及拡大により、多くの企業が様々な個人情報を扱う時代となりました。情報にすぐにアクセスできる時代になったからこそ、企業はユーザーが安心して情報を提供できる環境を整えることが重要です。

個人情報を保護するために、企業にとってまず重要なことはプライバシーポリシーの作成です。企業がユーザーの個人情報を取得する際、その情報をどのように収集・取り扱うか、「プライバシーポリシー」によって公表する必要があります。

近年、このプライバシーポリシーの記載漏れにより、個人情報の安全性や不正確性が指摘されています。ひとたび個人情報の不適切な取り扱いが公表されれば、ユーザーや社会的な信用を失うだけでなく、多額の損害が発生する、サービスの廃止など余儀なくされる可能性も考えられます。法令違反となるリスクもあるため、個人情報の取り扱いには十分注意が必要です。この記事では、プライバシーポリシーの内容や記載すべき事項について詳しく解説します。

プライバシーポリシー（個人情報保護方針）とは

プライバシーポリシーとは、個人情報などのプライバシー情報において、企業の利用目的や取り扱い方針を定めた文書のことです。

個人情報保護法では、特定のユーザーを識別できる個人情報を取得・利用等をする際は、ユーザーに利用目的などの一定事項を通知または公表しなければならないと定められています。プライバシーポリシーの作成は、こうした個人情報保護法の義務に対応するためにも欠かせないものとなっています。

また、個人情報やパーソナルデータ（行動や購買情報など）の取り扱い方針をわかりやすく明示することで、ユーザーの不安を和らげるという役割もあります。近年では、IT技術の進化に伴いビッグデータの活用が広がっており、氏名や電話番号といった基本的な個人情報にとどまらず、ウェブサイトの閲覧履歴や行動、嗜好、状態といったパーソナルな情報まで取得できるようになっています。

ユーザーの個人情報に対する警戒心や意識が高まってきていることからも、情報の取り扱いには慎重な対応が必要です。法律を遵守することはもちろん、サービスを安心して利用してもらうためにも、適切なプライバシーポリシーを策定しましょう。

プライバシーポリシー（個人情報保護方針）の記載事項について

プライバシーポリシーの作成は義務ではありませんが、個人情報を取得する場合には利用目的の通知・公表が必要です。すべてのサービスに該当したプライバシーポリシーを作成する場合もありますが、提供するインターネットサービスによって個人情報の収集・利用方法は異なるため、各サービスに対して1つのプライバシーポリシーを作成するのが望ましいといえます。プライバシーポリシーに記載すべき事項には以下があります。

個人情報とその取得方法

ユーザーからどのような情報を取得するのか、取得する個人情報やその方法について記載する必要があります。氏名や生年月日等の基本情報だけでなく、ユーザーの行動パターンやCookieなどの情報を取得する際は、その旨も具体的に記載しておきましょう。

個人情報の取得方法については、「不正手段や偽りによって取得してはならない」と個人情報保護法で定められています。プライバシーポリシーには、法律に則った手段で情報を取得していることを示す必要があります。

利用目的

個人情報保護法の義務を満たすために必要なのが、「利用目的」についての事項です。「企業が取得した個人情報を「何に利用するのか」明記する必要があります。

このとき気を付けたいのは「具体性」です。個人情報保護法では、個人情報の利用目的について具体的な特定が必要と定めています。「事業活動に用いる」などの抽象的な表現では、利用目的を公表していると判断されません。「○○の事業における商品の発送やアフターサービス、新情報のお知らせのため」など、具体的な明記が求められています。

企業は、プライバシーポリシーに記載した利用目的の範囲を超えて、個人情報を利用することはできません。情報の種類によって利用目的が異なる場合は、それぞれの利用目的を記載しておくことも重要です。

個人情報の管理

ユーザーから取得した情報をどのように管理するか、管理体制や保存方法などを明記する必要があります。ユーザーにとっては、取得されたパーソナルなデータがどのように扱われているか、疑問や不安を感じてしまうのが通常です。ユーザーからの信頼を得るためにも、個人情報には慎重かつ適切な管理が不可欠といえるでしょう。

プライバシーポリシーに記載する内容には、以下が挙げられます。

• 情報の正確性
• 個人情報の安全管理体制
• 委託先の安全管理体制
• 社内従業員・委託先の監督
• 個人情報の保存期間
• 個人情報の廃棄

収集したデータに正確性を保てているか、情報漏えいやセキュリティリスクに万全の対策を講じているかなど、安全管理措置や監督について詳しく記載しましょう。個人情報の取り扱いを外部に委託する場合には、委託先への監督についても明記することが重要です。また、情報の利用目的に応じて、保存期間を設定し、期間を終了した後は廃棄する旨を記載しましょう。

第三者への提供

個人情報保護法では、会社が取得した個人情報は、原則本人の同意がなければ第三者に提供できないと定めています。しかし、利用目的の範囲内において他の事業者に個人情報を提供する場合は、以下のような事項を記載してユーザーに通知・公表しなければなりません。

• 個人情報を第三者に提供すること
• 第三者に提供する個人情報の内容
• 第三者へ提供するときの方法
• 本人の求めがあれば第三者への提供を停止すること
• 第三者提供の停止方法

個人を特定できる個人情報データについては、ユーザーから同意を得たうえで実施することを明記しておくのが望ましいといえます。同意を取得するためには、ユーザー本人からの書面の取得や電子メールの受領といった方法が挙げられます。単にウェブサイト上で「同意が必要」と記載されているだけでは足りず、サイト上の確認欄チェックやボタンのクリックが必要となることを覚えておきましょう。

個人情報の共同利用

企業が取得した個人情報を、第三者ではなく業務提携先やグループ会社などと共同で利用するケースがあります。こうした一定範囲の事業者と共同利用するためには、利用者の範囲や情報の内容、情報管理の責任者などを明記しておく必要があります。

記載するべき項目には以下があります。

• 個人情報を共同利用すること
• 共同利用する個人情報の内容
• 共同利用する事業者の範囲
• 共同利用する者の利用目的
• 個人情報管理における責任者の氏名や名称

これらの項目については、ユーザー本人が容易に判断できる状態まで明確化しておくのが重要です。共同利用する際は、個人情報の取り扱いについて同レベルの責任を負うことができる、グループ企業などに範囲を限定することもあります。一般のユーザーから見て判断が難しいような関連性のない企業（資本関係がない企業等）については、「第三者提供」を選ぶ方法もあります。

開示・訂正・利用停止等の手続き

運営しているインターネットサービス等において、ユーザーから個人情報の開示・訂正・利用停止等を求められることがあります。プライバシーポリシーには、ユーザーからの開示等の請求に対する手続きについて記載しておく必要があります。

記載するべき項目には以下があります。

• 個人情報取扱事業者の名称や氏名
• 開示・訂正・利用停止等の申し出先
• 開示・訂正・利用停止等の求めに応じる手続き
• 手続きにかかる手数料の有無

多くの企業では、個人情報を取得したユーザー本人から個人情報の開示等を求められた際、その求めに応じると規定されています。ただし、内容によっては開示等の請求を拒否できるケースもあるため、例外の可能性を確保しておくことが重要です。

問い合わせ先

個人情報の取り扱いに関する問い合わせや、苦情の申し出先については、ユーザー本人が知り得る状態にしておくべきとされています。インターネットサービス全体にかかわる問い合わせ先だけでなく、個人情報に関する問合せ先を別途設けておくケースも珍しくありません。問い合わせ先には、以下の内容を記載しましょう。

• 個人情報取扱事業者の名称、担当
• 電話番号
• メールアドレス
• 問い合わせフォーム

問い合わせ対応については、電話番号に限らず、メールアドレスや問い合わせフォームを利用することも可能です。

プライバシーポリシー（個人情報保護方針）の変更の必要性について

プライバシーポリシーは、一度作成して終わりというものではありません。サービス内容や利用目的に応じて変更し、法律の改正に応じてアップデートしていくことが必要です。「知らないうちに利用目的が変更されていた」となれば、サービスの信頼性が失われ、ユーザーとトラブルに発展してしまう可能性も考えられます。利用目的や取得情報などを変更する場合は、その都度プライバシーポリシーに反映しましょう。

プライバシーポリシーの変更が必要となる主なケースには、以下が挙げられます。

• 事業内容の変化
• マーケティングの強化
• 個人情報保護法の改正

それぞれ詳しく見ていきましょう。

事業内容の変化

会社の事業内容が変化、あるいは新たなサービス等が加わることで、取り扱う個人情報の種類や利用目的が変化することがあります。取得する個人データの種類や範囲、利用目的を変更する場合は、その旨をユーザーに通知あるいは公表しなければなりません。

ただし、利用目的を変更できるのは、「変更前の利用目的と関連性を有すると、合理的に認められる範囲内」と定められています。合理的な範囲を超えて、企業が一方的にプライバシーポリシーを変更することはできないため注意しましょう。

マーケティングの強化

IT技術の発展により、企業のサービスや顧客獲得などのマーケティング活動にもパーソナルデータを活用する動きが強まっています。Webサイトなどから取得した情報を蓄積・分析して、ユーザーの行動を把握したり、経営戦略を建てたりなど、さまざまなマーケティング活動に活用されています。

ビジネスにおいて、多種多様な個人データが収集されるようになったことから、それらの取り扱いについても新たに見直しが必要になる企業もいるでしょう。利用目的を追加する場合をはじめ、新たにデータを提供する、グループ企業とデータを共同利用するといった際には、Web上やアプリで変更について通知・公表し、クリックなどによって同意を取得することが重要です。

個人情報保護法の改正

令和2年、「個人情報の保護に関する法律等の一部を改正する法律」が交付されており、2年以内に施行される予定となっています。プライバシーポリシーは、個人情報保護法における公表義務を満たす役割にもなっているため、法改正に伴ってプライバシーポリシーの内容を見直す必要があります。

作成したプライバシーポリシーが有効的に機能するために、最新の法令を遵守した内容になっているか精査しましょう。とはいえ、常に改正情報をチェックし、掲載内容を見直すことは容易ではありません。自社対応によって不十分な内容にならないよう、専門家である弁護士へのサポートを検討しましょう。

プライバシーポリシー（個人情報保護方針）のひな形はこちら

プライバシーポリシーは、現代のインターネットサービスを提供する会社にとって必要不可欠なものです。記載する事項が不十分・不明確な場合は、ユーザーからの信頼損失や社会的評価の低下につながりかねません。個人情報保護法を遵守する観点からも重要となるため、安易に作成せず、専門家である弁護士への助言を受けることをおすすめします。

基本的な事項を参考にしていただき、詳しい記載内容や文言については、自社のサービスや事業内容に即したものに作成しましょう。自社のみで対応が難しい場合は、弁護士への契約書作成・リーガルチェック等をご検討ください。

弁護士法人キャストグローバルは、豊富な実績をもとに、法律上有効かつユーザーに信頼いただくためのプライバシーポリシーの作成をサポート致します。法改正や事業拡大に伴って見直しが必要な方も、ぜひご相談ください。