企業法務
2023.09.08
プライバシーポリシーの必要性
プライバシーポリシーの策定は、ビジネスの実施につきものです。
しかしながら、プライバシーポリシーとは端的に言うと何なのか、これがなぜ必要なのかを上手く答えられる方はそれほど多くないように思います。
「なんとなく必要そうだから」「みんなやっているから」で終わるのではなく、これから新しいサービスを始める方等は、実際に内容をご検討いただくきっかけにしていただき、また、既にプライバシーポリシーをお持ちの方も、少し立ち止まって自社のプライバシーポリシーがどうなっているか振り返るきっかけにしてみてください。
CONTENTS
執筆者プロフィール
弁護士法人LEON
弁護士 吉永 雅洋
生命保険会社での社内弁護士の経験をもとに、契約書のリーガルチェックをはじめ、
新規ビジネス等の法務審査、訴訟等の紛争解決等、多岐にわたる企業法務の業務に携わっております。
特に、IT関係やエンタメ関係の企業様からご依頼をいただいております。
また、事務所としてはインターネット問題に注力しており、誹謗中傷やリベンジポルノ等の問題解決にも日々尽力しております。
プライバシーポリシーとは?
プライバシーポリシーとは、一般に、「個人情報等について、その取得、管理、提供等に関する取り扱いの方針を文章化したもの」などと言われています。
ここで、「一般に」と書いたのは、意外だと思われた方もいらっしゃるかもしれませんが、プライバシーポリシーが何を指すのか、我が国では明確な定義がないからです。
プライバシーポリシーの定義は、法令上も特に定めはないのです。
これは、個人情報の取扱いに関する定めを置いた文書について、各社様々なタイトルが付していることからも分かるかと思います。
昨今、プライバシーポリシーの内容は多様化してきており、個人情報の取り扱いを中心としているものの、他の要素を盛り込んだ内容も見受けられ、各社さまざまな位置付けでプライバシーポリシーを制定しています。
今回のコラムでは、プライバシーポリシーは、「個人情報等について、その取得、管理、提供等に関する取り扱いの方針を文章化したもの」であるとして、お話をしていこうと思いますが、既にプライバシーポリシーをお持ちの場合には、どのような位置付けでプライバシーポリシーを定めているのか、今一度プライバシーポリシーの記載を確かめてみてはいかがでしょうか?
プライバシーポリシーによく見られる序文は、どういった位置付けで当該ポリシーを定めているかを示しています。
例えば、以下の記載は、あるサービスに紐づけていますが、対象をもっと広範に定めることを意図するのであれば、例えば、単に「お客様」等といった記載も検討の余地があります。
プライバシーポリシーを作成する理由
どのようなタイトルにするかは別にして、プライバシーポリシーは、必ず作らなければならないと抽象的に考えていませんか?
実際のところは、プライバシーポリシーは、法律上作成が義務付けられているものではありません。
ただ、頭に入れて欲しいのは、あくまでプライバシーポリシーの作成の義務が法律上は課されていないというだけで、個人情報保護法上、個人情報等の取り扱いに関して一定の作為義務が課されているということです。その関係では、作成する義務が出てくると言えます。
作成義務があるかないかで言えばないのですが、もし、プライバシーポリシーを作らなければならないという場合には、今述べたような意味合いから来ているものといえます。
個人情報保護法上の義務を見ていくと、プライバシーポリシーが必要なのかが分かってきます。
理由その1(利用目的の公表、利用目的の明示)
利用目的の公表、利用目的の明示に関し、個人情報保護法において、以下の定めが設けられています。
個人情報保護法
これは、個人情報に関して利用目的の通知又は公表(1項)と利用目的の明示(2項)について定めたものであり、前者は、個人情報を取得した場合には、利用目的をあらかじめ公表している場合を除いて、速やかに利用目的を本人に通知又は公表しなければならないとするものです。
この場合にいちいち通知することは現実的ではないので、プライバシーポリシーで目的を公表しているのです。
そして、後者は、本人から直接書面に記載された本人の個人情報を取得する場合、あらかじめ本人に対し、その利用目的を明示しなければならないとしています。
この明示には、ユーザーがアクセスしたウェブサイト上の表示でも足りるとされているので、プライバシーポリシーを本人の目に留まるように配置して公開することで、この義務を果たすことになります。
それでは、実際にどのような記載をすれば良いのでしょうか?
個人情報保護法
これによれば、利用目的はできる限り特定しなければならないとされています。
できる限りとはどれくらいなのか?と次の疑問が湧きますが、鍵になるのがガイドラインです。
個人情報の保護に関する法律についてのガイドライン(通則編)3−1−1では、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましいとされています。
どの程度で特定できているか、というのはなかなか判断が難しく、たくさん書けば良いというものでもありません(書き過ぎて公表すべきではない情報を記載してしまうことは避けなければなりません)ので、専門家の判断を経た方が無難でしょう。
以下で記載例を載せておきますが、実際の利用目的に合わせて記載をする必要があります。
【プライバシーポリシー記載例】
利用目的はきちんと明示する必要があります。
利用する目的はサービス内容や企業の意図によっても変わってきます。
利用目的は実情に合っていますか?実態とのズレはないでしょうか?よく確認すべきです。
利用目的の明示は、本人への情報提供という意味合いがあります。
なお、本人への情報提供という位置付けでは、このほかにも、共同利用や、オプトアウトといった項目に関する内容を記載する必要が出てきます。
今回は、本人への情報提供に関する義務で、他にもプライバシーポリシーへ記載することや、その記載内容を検討すべき項目がある、ということを覚えておいてください。
理由その2(情報の開示のため)
個人情報保護法には、一定事項の情報の開示義務が定められています。
以下のような定めがあります。
個人情報保護法
政令
これらについては、本人の知り得る状態にすれば良いので、必ずしもプライバシーポリシーで掲載する必要があるわけではないですが、プライバシーポリシーで記載して個人情報保護法の義務を履践することが考えられ、実際に、プライバシーポリシーを作成する理由の一つになっているといえます。
この中の安全管理措置に関する定めの具体例を以下で掲載しておきます。
【プライバシーポリシー記載例】
理由その3(同意取得のため)
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはなりません(個人情報保護法第27条第1項)。
個人情報保護法
この他にも、外国にある第三者への提供(個人情報保護法第28条第1項)、個人関連情報の個人データとしての取得(個人情報保護法第31条第1項)等に関して同意が求められているところ、この同意を得るために用いることが考えられます。
個別の同意取得の手間を軽減する、便宜のために用いられます。
例えば、第三者提供に関して、以下のように定め方をもとに、提供先の個別の氏名や名称までは明示の必要ありませんが、提供先の範囲や属性等は掲載しておく(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A Q7-9で、示すことが「望ましい」とされています)ことが考えられます。
弁護士に依頼して作成してもらう必要があるか?
プライバシーポリシーの必要性についてはお分かりいただけたかと思います。
では、どうやって完成させようか、という話になりますが、この点について、「弁護士に頼まなくとも、ネットに掲載されていた雛形があるのでそれで良い」と思われる方もいらっしゃるかもしれません。
しかしながら、そのような雛形をそのまま使えば何にも心配いらない、と思っていらっしゃる方は多くないと思います。
皆さんもご存知の通り、雛形はあくまで活用するものであって、万能薬ではないです。
プライバシーポリシーを定めている事業者は、プライバシーポリシーにより適切な個人情報の取り扱いを行っているとされるのであり、もしプライバシーポリシーが当該事業者の個人情報の取り扱いの実態に合っていないとなると、トラブルが発生した際にはリスクとなります(ただの情報ではなく、法令上種々の義務が課され、社会的にも関心のある個人情報という情報であるということを踏まえる必要があります)。
個人情報保護法に則した適切な取り扱いがなされる規定になっているか、また、貴社で行いたい取り扱いがきちんと反映されているか等、このようにその会社ごとに適切な内容になっているか、この検討がまさに弁護士の出番です。
ガイドライン等も踏まえる必要があり、適切な表記ができているかの判断は専門知識がないと難しいと言えます。
プライバシーポリシー一つ取ってみても、やはり専門性を持った弁護士の手によって、会社ごとにカスタマイズしたしっかりとしたプライバシーポリシーを策定した方が先を見据えると良い選択だと言えます。
お金がかかるのでは?とお思いになるかもしれませんが、しっかりしたものを作れれば、やはりビジネスを行っていく上でも安心感が違います。
まずは、作成の対応に慣れている法律事務所に連絡をして、見積もりを依頼してみることから始めて、お考えになるのは、そこから先でも良いのではないでしょうか。
プライバシーポリシーを見直してみませんか?
また、個人情報保護法は、度々改正されます。
情報通信技術の進展が著しいこと等から、3年ごとの見直し規定も設けられており、今後も改正が想定されている法律です。
せっかく作ったプライバシーポリシーもずっと古いまま放置してしまっていると、改正法の内容が反映されておらず、適切な対応がなされていない、ということにもなりかねません。
古いまま置きっぱなしにしてしまっているプライバシーポリシーや規約等があれば、それを一度、見直してみませんか?
日々のビジネスを先行させてしまっていて、規約類は古いままにしてしまっている、という声を聞くことも多くあります。
ビジネスが軌道に乗っている企業様でも意識されていない例も多くみられますので、もしお心当たりがある場合には、弁護士にブラッシュアップしてもらう機会をご検討ください。
終わりに
プライバシーポリシーは、ただ定めておけば足りるという考えではなく、個人情報の取り扱い等について、「実態に合った」「想定と合った」適切な定めがなされているか、きちんと考える必要があります。
これは、これから事業や新しいサービスを始める方はもちろんのこと、既にプライバシーポリシーをお持ちの方にも当てはまる話です。
弊所では、ゲーム、アニメ、映画、音楽、芸能等のエンターテイメントコンテンツに関する企業様等をはじめとした様々な企業様から、プライバシーポリシー等を含め、規約類の作成のご依頼を多数受けております。
新規ビジネスの展開に伴うプライバシーポリシーに関するご相談は勿論のこと、今お持ちのプライバシーポリシーの見直し等に関連したご相談も多くいただいています。
弊所は、ご相談者様に合ったリーガルサービスの提供を行っておりますので、是非、ご連絡ください。
