IT・ベンチャーの企業法務

個人情報保護法を踏まえたプライバシーポリシー作成時のポイントとは？

2020.04.14

2023.09.15

昨今、個人情報の保護に関して社会的な関心が高まっています。個人情報を扱わない事業者はほとんど存在しないといってよく、多くの企業や個人事業主にとって個人情報の扱いは非常に身近な問題です。WEBサイトを持っている企業では、サイト内にプライバシーポリシーを掲げている例が多いと思われます。プライバシーポリシーとは、個人情報保護法にしたがって当該事業者における個人情報の取り扱いの指針を公表するものです。プライバシーポリシーを適切に策定するためには、個人情報保護法の理解が不可欠です。そこで、プライバシーポリシーを作成する際のチェックポイントを解説します。なお、個人情報保護法については2015年に法改正があり、2017年5月30日に改正法が施行されています。特に、個人情報の第三者提供に関して重要な改正がありましたので、その点についてもあわせて説明します。個人情報保護法の改正に関しては、下記記事にて詳細に解説しています。

この記事の目次

プライバシーポリシーとは

プライバシーポリシーは、個人情報保護法において公表が求められている事項を表示するためのものでもあります。

企業のWEBサイト上にはプライバシーポリシーが掲げられていることがほとんどです。「個人情報保護方針」という名称であることもありますが基本的には同じものであることが多いといえます。プライバシーポリシーは、その事業者の個人情報に関する取扱いに対する基本的な姿勢を示すものであると同時に、個人情報保護法において公表が求められている事項を表示するためのものでもあります。したがって、個人情報保護法で公表が求められている以下の事項を網羅することが最低限必要といえます。

個人情報の利用目的
個人情報取扱事業者の氏名又は名称
本人からの利用目的の通知、開示、訂正、利用停止等の求めに応じる手続
苦情の申出先

このほか、グループ会社内で個人情報を共有する共同利用といわれるケースや、後で説明する匿名加工情報を取り扱うケースなど、法律上定められた特定の運用をする場合にはそれぞれについて公表が要求される事項が定められています。

関連記事：個人情報保護法と個人情報とは？弁護士が解説

プライバシーポリシーを作成すべき事業者

2017年施行の改正法以前は、個人情報保護法の適用を受けるのは5000件を超える個人情報を保有する事業者に限られていました。このため、小規模事業者やBtoBビジネスを主体とする事業者の中にはプライバシーポリシーを作成する必要がない事業者もそれなりにいました。しかし、2017年施行の改正法によって、個人情報の保有件数に限らずすべての事業者に個人情報保護法が適用されることになりました。この結果、プライバシーポリシーについても基本的には全事業者が作成することになると思われます。なお、プライバシーポリシーを作成していない場合でも、個人情報を取得する都度、個人情報の利用目的などといった個人情報保護法で公表を求められている事項を本人に通知する手段で代替できます。ただ、これは面倒なので通常はプライバシーポリシーを作成することになります。

プライバシーポリシーのチェックポイント

個人情報の定義

第〇条
個人情報とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）を指します。

個人情報の定義については、個人情報保護法に定められている通り記載することで足ります。典型的には、条項例のような氏名や生年月日などの情報ですが、そのほかにも年齢、性別、住所、電話番号、家族構成、趣味、嗜好、電子メールアドレス、ID、IPアドレス及びタイムスタンプ、勤務先、所属、勤務先住所、勤務先電話番号、クレジットカード番号、銀行口座番号、訪れたホームページの情報、苦情、ご相談又はお問い合わせの情報などが個人情報に該当することがあります。このため、これらの項目のうち特に自社の顧客等から取得する可能性の高い情報についてはプライバシーポリシーの個人情報の定義の中にあらかじめ記載しておくことも良いでしょう。

個人情報の利用目的

第〇条
1.当社は、取得した個人情報を以下の目的のために利用致します。なお、当社の運営するウェブサイト内で個人情報の利用目的について別途定めている場合は当該利用目的の記述を優先します。
(1)お問い合わせフォームからのお問い合わせに当社がご回答させて頂くため
(2)当社の提供するウェブサービス又はアプリケーションその他のサービス（以下「本サービス」といいます。）の提供と本サービス又は当社の提供する新サービスのご案内を差し上げるため
(3)本サービスの改善や新サービスの開発等に役立てるため
(4)その他、前各号に付随する目的のため
2.当社は、前項に定める目的の他、お客様から取得した個人情報を、個人を識別又は特定できない態様と範囲で統計的な情報として集計し、参考として使用することがあります。

利用目的

個人情報保護法上、取得した個人情報の利用目的を公表することが求められています。上の条項例の第1項はこれに対応するものです。利用目的の定めにおいて重要なのは、抽象的・包括的な記載では足りず、本人が自身の個人情報をどのように利用されるか把握できる程度に具体的に記載する必要があるということです。したがって、プライバシーポリシーを作成する事業者によって利用目的の記載内容は変わり得る点に注意が必要です。また、記載漏れがある場合には、当該目的に個人情報を利用できなくなりますので漏れがないかを十分に検討するようにしましょう。

匿名加工情報

条項例の第2項は、匿名加工情報に関する規定です。匿名加工情報とは、個人情報を本人特定できないように加工し、かつ復元できないようにした情報です。いわゆるビッグデータの利活用を想定したものです。
匿名加工情報を取り扱う場合には、匿名加工情報に含まれる個人情報の項目などをプライバシーポリシー等で公表する必要があります。条項例の第2項は、「個人情報の定義」に記載された個人情報を匿名加工情報として利用する旨を定めるものです。なお、第三者に匿名加工情報を提供する場合には、これに加え提供方法の公表も必要となります。

個人情報の目的外使用

第〇条
当社は、取得した個人情報について、前条の利用目的の達成に必要な範囲内で取り扱うものとします。個人情報を利用目的の範囲外で取り扱う場合には、事前にお客様ご本人の同意を得て行うものとします。但し、以下の場合はこの限りではありません。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、お客様ご本人の同意を得ることが困難であるとき
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、お客様ご本人の同意を得ることが困難であるとき
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、ご本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

個人情報は原則として利用目的の範囲外で使用することはできません。ただし、個人情報保護法において、上の条項例で掲げた(1)号から(4)号に該当する場合については目的外利用が許容されています。
(2)(3)号は、個人情報を利用すべき要請が高い一方で本人から迅速な承諾を得ることが困難である場合です。また、(1)(4)号は国や地方公共団体等の意向に基づく個人情報の利用です。例えば、犯罪捜査などがこれに該当するでしょう。この目的外利用に関する条項はどの事業者においてもほぼ定型であり、事業内容によって変わることはあまりないといえます。

個人情報の第三者提供

第〇条
当社は、お客様の個人情報について、原則として、お客様ご本人の同意を得ずに第三者に提供しません。例外的に、提供先及び提供内容を特定し、お客様ご本人の同意を得た場合に限り第三者に提供します。但し、以下の場合はこの限りではありません。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、お客様ご本人の同意を得ることが困難であるとき
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、お客様ご本人の同意を得ることが困難であるとき
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、お客様ご本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
(5)利用目的にて、当社と守秘義務契約を結んだ業務委託先に個人情報を提供する必要のあるとき

個人情報の第三者提供ができる例外

この条項例は、事業者が取得した個人情報を第三者に提供する場面に関するものです。個人情報保護法において、個人情報を第三者に提供する場合には本人から同意を得る必要があります。ただし、例外として条項例(1)号から(5)号に定められた場合には本人からの同意なく第三者に個人情報を提供できることが法定されています。したがって、個人情報の目的外利用に関する条項と同様に、第三者提供に関しても各社ほぼ定型的な条項となります。実務上、比較的よく利用されるのは(5)号の業務委託先に個人情報を提供する場合です。ただし、業務委託をした場合であっても、個人情報を取得した事業者は委託先に対して監督責任を負うことになります。このため、委託先から個人情報が流出した場合には委託元の事業者も責任を問われることに注意が必要です。したがって、委託先の選定や委託後の管理監督は慎重に行うべきです。業務委託先から個人情報が漏洩したベネッセ個人情報流出事件に関しては、下記記事で詳細に解説しています。

関連記事：企業の個人情報漏洩と損害賠償というリスク

法改正によりオプトアウトが困難に

個人情報の第三者提供について、2017年に施行された改正法以前は、「本人の求めに応じて個人情報の第三者提供を停止すること」を条件として、本人の事前の同意を得ることなく第三者に個人情報を提供することができることとされていました。これを、オプトアウトと呼びます。ところが、2017年施行の改正法によって、個人情報保護委員会に事前届出をしない限りオプトアウトによる個人情報の第三者提供ができないことになり、ルールが厳格化されました。
個人情報保護委員会に届出をすればいいだけではないかと思われるかもしれませんが、この届出制度は主に名簿業者など個人情報それ自体を商材として扱う事業者を対象とする趣旨であり届出者は公表されることになっているため、実際に届出をしている企業はまだ多くはありません。したがって、事実上、本人の同意を得ない個人情報の第三者提供は業務委託など例外として許容された場合をのぞいて困難となっています。

個人情報の開示、訂正等

個人情報保護法においては、本人からの利用目的の通知、開示、訂正、利用停止等の求めに応じる手続を公表することも求められています。したがって、プライバシーポリシーを作成する場合にはこれらの事項についても定める必要があります。もっとも、これらを定める条項に関しては多くの事業者で定型的な文言となっています。一つ検討するべきこととして、本人からの開示等の請求に応じる場合の手数料を定めておくか否かということがあります。濫用的な請求により業務が遅滞することを防止するためには適切な金額の手数料を定めることも一つの方法です。手数料を必要とする場合には、プライバシーポリシー内でその内容を定める必要がある点に注意が必要です。

まとめ

個人情報保護に関しては社会的な関心の高まりに呼応するように、法規制も少しずつ厳しくなる傾向にあります。個人情報の漏洩が生じないように社内で安全に情報管理することももちろん必要ですが、同時に法規制に合わせてプライバシーポリシーや社内規程などを策定しておくことも重要です。個人情報保護法に関しては今後も3年ごとに定期的に改正がされる予定となっています。個人情報の取り扱いに関するルールが変更になるたびに、社内システムの変更等が必要になるだけでなく事業の手法そのものを見直す必要がでてくるおそれもあります。その意味では個人情報保護法は事業の根幹にかかわる法律といえますので、特に個人情報を多く取り扱う事業者は常に改正動向を把握しておくことが大切です。