プライバシーポリシーの具体的内容について

1.プライバシーポリシーの具体的内容について

 プライバシーポリシーは、企業の法令遵守を示すために用いられるものであり、個人情報の保護に関心が集まっている現状、これを定めて法令遵守の姿勢を示すことは重要なものとなっています。
 プライバシーポリシーの役割や、個人情報の保護に関する法律(以下「個人情報保護法」といいます。)改正に基づき必要な改訂項目に関しては、【プライバシーポリシーの見直しを行いませんか】を参照ください。
 今回は、プライバシーポリシーにて具体的に何を定めるべきか、具体例を示しつつご説明いたします。

2.プライバシーポリシーに定めるべき事項について

 プライバシーポリシーに定めるべき事項は、収集する個人情報に応じて多種多様ではありますが、当法人では、概ね、以下の事項をプライバシーポリシーに定めています。なお、以下の事項は、個人情報保護法に基づき記載を行うべき事項と、個人情報保護法上義務ではないものの、定めておいた方がよい事項の両方が含まれています。

 【プライバシーポリシーに定めるべき事項】
 ・プライバシーポリシーの対象
 ・取得する個人情報の項目
 ・個人情報の利用目的
 ・個人情報の利用目的の変更手続
 ・個人情報の安全管理措置
 ・個人情報の第三者提供
 ・個人情報の共同利用
 ・個人情報の提供を受ける場合の措置内容
 ・匿名加工情報の取扱い
 ・利用目的の追加
 ・個人情報の開示についての請求
 ・個人情報の訂正、追加または削除についての請求
 ・個人情報の利用停止、消去又は第三者提供の停止についての請求
 ・請求の手続
 ・Cookie等の利用
 ・個人情報取扱いに関する問合せ情報
 ・プライバシーポリシーの改訂手続

3.プライバシーポリシーの各条項

 以下では、前述したプライバシーポリシーに定めるべき事項のうち、主要なものについてその説明を行います。

(1)プライバシーポリシーの対象

 プライバシーポリシーの前文にて、その適用対象を明確にします。保護対象となる情報が何であるか(通常は、個人情報保護法に定める個人情報を指すことになると思われます。)、当該プライバシーポリシーが適用されるサービスの対象が何であるかを明確にすることになります。

(2)取得する個人情報の項目

 プライバシーポリシーの適用対象となるサービスにおいて取得する個人情報の項目を記載します。
 取得する個人情報は、主に、本人確認に関する情報、取引に関する情報、決済に関する情報、Cookie等の取引に際して取得する情報、問合せ及び連絡に必要な情報に大別されます。

(3)個人情報の利用目的

 個人情報を取得した場合の利用目的を記載します。この記載は、利用者(本人)に予め利用目的を予測させることを目的としているため、「サービス向上」といった抽象的な内容ではなく、具体的な記載をする必要があります。

(4)個人情報の第三者提供

 個人情報を第三者に提供する場合、原則として本人の同意を取得する必要があります。
 この条項では、企業が第三者に対して個人情報を提供する場合がどのような場合であるのかを記載することとなります。なお、個人情報を外国にある第三者に提供する場合は、当該外国の名称、当該外国における個人情報の保護に関する制度に関する情報、当該第三者が講ずる個人情報の保護のための措置に関する情報をプライバシーポリシーに記載する必要があります。

(5)個人情報の共同利用

 プライバシーポリシーの対象となるサービスを、本人から見てサービス提供者と一体として取り扱うことに合理性のある範囲で利用する場合、共同利用に関する条項を定めることになります。
 この条項では、共同利用を行うこと、共同利用の対象となる個人情報の項目、共同して利用する者の範囲、共同利用の目的、個人情報の管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名を記載する必要があります。

(6)個人情報の安全管理措置

 個人情報を安全に管理していることを示すために、安全管理措置の内容を記載することとなります。
 なお、安全管理措置は具体的に記載する必要があり、①基本方針の策定、②個人情報の取扱いに関する規律の整備、③組織的安全管理措置、④人的安全管理措置、⑤物理的安全管理措置、⑥技術的安全管理措置、⑦外的環境の把握という各観点から安全管理措置の内容を記載する必要があります。

(7)匿名加工情報の取扱い

 匿名加工情報は、例えば、取引相手の氏名、性別、生年月日、物品購入履歴等の個人情報に関し、氏名に関する情報を削除した情報を指します。
 匿名加工情報の取扱いについての条項には、匿名加工情報に含まれる本人に関する情報の項目、匿名加工情報の提供の方法を記載することになります。また、匿名加工情報の安全管理措置等の適正な取扱いを確保するために必要な措置も記載することが望まれます。

(8)個人情報の開示等に関する請求手続

 個人情報の開示請求、個人情報の訂正、追加又は削除についての請求、個人情報の利用停止、消去又は第三者提供の停止についての請求を行う際の手続を記載することになります。
 具体的には、①これらの請求を行う際の請求方法に関する案内、②これらの請求を行う際に必要な本人確認書類、③これらの請求を行う際に要する手数料を記載することになります。

(9)Cookie等の利用

 サービス提供時にCookieを利用している場合、これに関する条項を定めることになります。
 Cookieにより取得する情報は、特定の個人を識別することができるものではありませんので、これ自体は個人情報に該当しません。しかし、Cookieにより取得する情報が個人情報と紐づき、個人を識別することができるようになっている場合は、Cookieも含めて個人情報に該当することとなります。
 そのため、プライバシーポリシーにおいて、Cookieを利用する旨記載しておくべきものと考えられます。具体的には、Cookieの内容、得られた個人情報の管理方法を記載することになります。

(10)個人情報の取扱いに関する問合せ情報

 問合せ先の情報として、①苦情を受け付ける担当窓口名、係名、②郵送用住所、③受付電話番号、④その他の苦情申出先を記載することとなります。

4.プライバシーポリシーの作成、改訂を考えている経営者の方は、ぜひ当事務所にお問合せください。

 当事務所では、オンラインショップ等様々なサービスに関し、プライバシーポリシーの作成、最新版への改訂を行っている弁護士が在籍しています。
 プライバシーポリシーの作成、改訂を行うことを考えている企業の経営者の方は、ぜひ当事務所にご相談ください。

藏野 時光 弁護士法人フォーカスクライド アソシエイト弁護士執筆者:藏野 時光

弁護士法人フォーカスクライド アソシエイト弁護士。2017年に弁護士登録。離婚問題等個人間の法的紛争から知的財産紛争等企業間の紛争まで幅広い分野に携わっている。また、刑事事件も取り扱う。紛争に関する交渉、訴訟対応のみならず、企業間取引における契約書等の作成・リーガルチェック等、企業における日々の業務に関する法的支援も多数取り扱っている。個人、企業問わず、クライアントが目指す利益を実現するために採るべき具体的方法を検討し、リスクに関する説明も交えた丁寧な説明を心がけ、リーガルサービスを提供している。

pegetop