根据《日本个人信息保护法》制定隐私政策时的要点是什么?
近年,社会对个人信息保护的关注度日益提高。几乎没有不处理个人信息的企业,对于许多公司和个体经营者来说,个人信息的处理是一个非常切身的问题。拥有网站的公司通常会在网站内公布隐私政策。隐私政策是根据《日本个人信息保护法》(2015年修订,2017年5月30日实施)公布该企业处理个人信息的指导原则。为了适当制定隐私政策,理解《日本个人信息保护法》是必不可少的。因此,我们将解释制定隐私政策时的检查点。另外,关于《日本个人信息保护法》的修订,特别是关于个人信息提供给第三方的重要修订,我们也将一并说明。关于《日本个人信息保护法》的修订,我们在下面的文章中进行了详细的解释。
什么是隐私政策
企业的网站上通常都会公布隐私政策。虽然有时也会以“个人信息保护方针”的名称出现,但基本上可以说是同一回事。隐私政策旨在展示该企业对个人信息处理的基本态度,同时也是用于展示《日本个人信息保护法》要求公开的事项。因此,至少需要涵盖《日本个人信息保护法》要求公开的以下事项。
- 个人信息的使用目的
- 处理个人信息的企业的名称或名称
- 应对个人要求通知、披露、更正、停止使用等目的的程序
- 投诉的申请地点
此外,如果在集团公司内共享个人信息,或者处理所谓的匿名处理信息等特定的操作,法律上也规定了需要公开的事项。
相关文章:《日本个人信息保护法》和个人信息是什么?律师解释[ja]
需要制定隐私政策的企业
在2017年(公历2017年)实施的修订法之前,只有拥有超过5000条个人信息的企业才受到《日本个人信息保护法》的适用。因此,在小型企业和以BtoB业务为主的企业中,有相当一部分企业并不需要制定隐私政策。然而,根据2017年实施的修订法,无论个人信息的持有数量如何,所有的企业都将受到《日本个人信息保护法》的适用。因此,我们认为基本上所有的企业都需要制定隐私政策。另外,即使没有制定隐私政策,也可以通过每次获取个人信息时,通知个人信息的使用目的等在《日本个人信息保护法》中要求公开的事项来替代。但是,这种做法比较麻烦,所以通常都会制定隐私政策。
隐私政策的检查要点
个人信息的定义
第〇条
个人信息是指关于生存的个人的信息,该信息包含的姓名、出生日期和其他描述等可以用来识别特定个人的信息(包括可以与其他信息轻易对照,并因此可以识别特定个人的信息)。
关于个人信息的定义,可以按照《日本个人信息保护法》的规定进行描述。典型的信息包括像条款例子中的姓名和出生日期等,但也可能包括年龄、性别、地址、电话号码、家庭结构、爱好、喜好、电子邮件地址、ID、IP地址和时间戳、工作地点、所属、工作地点地址、工作地点电话号码、信用卡号、银行账号、访问过的主页信息、投诉、咨询或询问的信息等。因此,对于这些项目中特别可能从公司的客户等处获得的信息,预先在隐私政策的个人信息定义中进行描述也是好的。
个人信息的使用目的
第〇条
1. 我们公司将使用收集到的个人信息用于以下目的。如果我们在公司运营的网站内另行规定了个人信息的使用目的,将优先考虑该使用目的的描述。
(1)为了让我们公司回答您通过咨询表格提出的咨询
(2)为了提供我们公司的网络服务或应用程序等其他服务(以下称为“本服务”)以及介绍本服务或我们公司提供的新服务
(3)为了改进本服务和开发新服务等
(4)为了实现与前述各项相关的目的
2. 我们公司可能会将从客户那里获取的个人信息以无法识别或特定个人的方式和范围进行统计,作为参考信息使用。
使用目的
在《日本个人信息保护法》中,要求公开收集到的个人信息的使用目的。上述条款的第一款就是对此的回应。在确定使用目的时,重要的是不能仅仅进行抽象和全面的描述,而需要具体到个人能够理解他们的个人信息将如何被使用的程度。因此,需要注意的是,根据制定隐私政策的企业,使用目的的描述内容可能会有所不同。另外,如果有遗漏的描述,将无法使用个人信息达到该目的,因此请务必充分考虑是否有遗漏。
匿名处理信息
第二款条款是关于匿名处理信息的规定。匿名处理信息是指将个人信息处理为无法识别个人身份,并且无法恢复的信息。这是考虑到所谓的大数据的利用。在处理匿名处理信息时,需要在隐私政策等中公开包含在匿名处理信息中的个人信息项目等。第二款条款规定了将在“个人信息的定义”中记录的个人信息作为匿名处理信息使用的内容。另外,如果向第三方提供匿名处理信息,除此之外还需要公开提供方法。
个人信息的非目的性使用
第〇条
我们公司将在实现前述使用目的所必需的范围内处理所获取的个人信息。如果要在使用目的范围之外处理个人信息,我们将事先获得客户本人的同意。但是,以下情况除外:
(1)基于法律规定的情况
(2)为保护人的生命、身体或财产而必要的情况,且难以获得客户本人的同意时
(3)为了提高公共卫生或促进儿童健康成长而特别必要的情况,且难以获得客户本人的同意时
(4)国家机关或地方公共团体或其受托人在执行法律规定的职务时需要合作,且通过获得本人的同意可能会妨碍该职务的执行时
原则上,个人信息不能在使用目的范围之外使用。然而,在《日本个人信息保护法》中,上述条款中的(1)至(4)项所列情况是允许非目的性使用的。
(2)和(3)项是在需要使用个人信息的请求很高,而难以迅速获得本人同意的情况。另外,(1)和(4)项是基于国家或地方公共团体等的意向使用个人信息的情况。例如,可能包括犯罪调查等。这些非目的性使用的条款在任何企业中都几乎是固定的,根据业务内容的变化而变化的可能性不大。
个人信息的第三方提供
原则上,向第三方提供个人信息时,需要获得本人的同意。
第〇条
我们公司原则上不会在未经客户本人同意的情况下向第三方提供客户的个人信息。只有在特定的提供对象和提供内容,并获得客户本人的同意的情况下,才会向第三方提供。但是,以下情况除外:
(1)基于法律规定的情况
(2)为了保护人的生命、身体或财产,且难以获得客户本人的同意时
(3)为了提高公共卫生或推动儿童健康成长,特别需要且难以获得客户本人的同意时
(4)国家机关或地方公共团体或其受托者需要执行法律规定的事务,且通过获得客户本人的同意可能会妨碍该事务的执行时
(5)在使用目的中,需要向与我们公司签订保密义务合同的业务委托方提供个人信息时
个人信息向第三方提供的例外情况
本条款示例涉及到企业向第三方提供所获取的个人信息的情况。在日本的《个人信息保护法》中,向第三方提供个人信息时,需要得到本人的同意。然而,法律规定,在条款示例(1)号至(5)号所规定的例外情况下,可以在未经本人同意的情况下向第三方提供个人信息。因此,与关于个人信息的非目的性使用的条款一样,关于向第三方提供的条款也成为了各公司几乎固定的条款。在实务上,相对常用的是(5)号的向业务委托方提供个人信息的情况。然而,即使是委托业务的情况,获取个人信息的企业也需要对委托方承担监督责任。因此,如果从委托方泄露了个人信息,委托业务的企业也需要注意可能会被追究责任。因此,应谨慎进行委托方的选择和委托后的管理监督。关于从业务委托方泄露个人信息的Benesse个人信息泄露事件,我们在下面的文章中进行了详细的解释。
相关文章:企业个人信息泄露和赔偿损失的风险[ja]
法律修订使选择退出变得困难
关于个人信息的第三方提供,2017年(公历2017年)实施的修订法之前,规定了”根据本人的要求停止向第三方提供个人信息”的条件,即在未获得本人事先同意的情况下,可以向第三方提供个人信息。这被称为选择退出。然而,根据2017年实施的修订法,除非事先向日本个人信息保护委员会报告,否则不能通过选择退出向第三方提供个人信息,规则变得更为严格。
你可能会认为只要向日本个人信息保护委员会报告就可以了,但这个报告制度主要是针对名单经营者等将个人信息本身作为商品处理的经营者,报告者将被公开,因此实际上报告的企业并不多。因此,实际上,除了业务委托等例外情况被允许的情况外,未经本人同意的个人信息的第三方提供已变得困难。
个人信息的披露、更正等
在《日本个人信息保护法》中,也要求公布应对本人提出的使用目的通知、披露、更正、停止使用等要求的程序。因此,在制定隐私政策时,也需要规定这些事项。然而,关于这些规定的条款在许多企业中已经成为了标准化的措辞。一个需要考虑的问题是,是否应该规定应对本人提出的披露等请求时的手续费。为了防止滥用请求导致业务延误,规定适当金额的手续费也是一种方法。如果需要手续费,需要注意的是,需要在隐私政策中规定其内容。
总结
随着社会对个人信息保护的关注度日益提高,相关的法律法规也在逐渐变得更为严格。当然,企业内部需要安全地管理信息以防止个人信息的泄露,同时,也需要根据法律法规制定隐私政策和内部规程等。日本的《个人信息保护法》预计将每三年进行一次定期修订。每次规则发生变化时,不仅需要更改企业内部系统,还可能需要重新审视业务方法。在这个意义上,可以说《个人信息保护法》是影响业务核心的法律,因此,特别是处理大量个人信息的企业,需要始终关注法律的修订动向。
由我们事务所提供的合同制作和审查等服务介绍
在Monolis律师事务所,作为在IT、互联网和商业领域具有优势的律师事务所,我们不仅提供关于隐私政策的服务,还为我们的顾问公司和客户公司提供各种合同的制作和审查等服务。
如果您有兴趣,请在下面查看详细信息。
