依據《日本個人資訊保護法》制定隱私政策時的重點是什麼?
近年來,社會對於個人資訊保護的關注度日益提高。幾乎沒有不處理個人資訊的業者,對於許多公司和個體經營者來說,個人資訊的處理是一個非常切身的問題。擁有網站的公司,往往會在網站內公布隱私政策。隱私政策是根據日本《個人資訊保護法》(Japanese Personal Information Protection Act)公開該業者處理個人資訊的指引。為了適當地制定隱私政策,理解《個人資訊保護法》是必不可少的。因此,本所將解釋創建隱私政策時的檢查點。另外,《個人資訊保護法》在平成27年(2015年)進行了法律修訂,並在平成29年(2017年)5月30日實施了修訂法。特別是對於個人資訊提供給第三方的部分進行了重要的修訂,本所也將對此進行說明。關於《個人資訊保護法》的修訂,本所在下面的文章中進行了詳細的解釋。
何謂隱私政策
企業的網站上幾乎都會掛載隱私政策。雖然有時會以「個人資訊保護方針」的名稱出現,但基本上兩者是相同的。隱私政策不僅表明該企業對於處理個人資訊的基本態度,同時也是用於展示《日本個人資訊保護法》要求公開的事項。因此,至少需要涵蓋《日本個人資訊保護法》要求公開的以下事項:
- 個人資訊的使用目的
- 處理個人資訊的業者的姓名或名稱
- 對於本人要求通知、揭露、更正、停止使用等的處理程序
- 投訴的申訴處
此外,如果在集團公司內共享個人資訊,或處理本所稍後將解釋的匿名處理資訊等特定的運作,法律上也規定了需要公開的事項。
應製定隱私政策的經營者
在2017年實施的修訂法之前,只有擁有超過5000條個人資訊的經營者才受到「日本個人資訊保護法」的適用。因此,當時有相當數量的小型經營者或以BtoB業務為主的經營者並無需製定隱私政策。然而,由於2017年實施的修訂法,不論個人資訊的擁有數量如何,所有的經營者都將受到「日本個人資訊保護法」的適用。因此,本所認為基本上所有的經營者都應該製定隱私政策。即使沒有製定隱私政策,每次獲取個人資訊時,也可以透過通知本人「日本個人資訊保護法」所要求公開的事項,如個人資訊的使用目的等,來替代。然而,這種做法相當麻煩,因此通常都會選擇製定隱私政策。
隱私政策的檢查要點
個人資訊的定義
第〇條
個人資訊是指關於生存的個人的資訊,該資訊包含的姓名、出生日期以及其他描述等可以識別特定個人的資訊(包括可以輕易與其他資訊對照,並因此可以識別特定個人的資訊)。
對於個人資訊的定義,可以按照《日本個人資訊保護法》的規定進行描述。典型的如條款例子中的姓名和出生日期等資訊,但也可能包括年齡、性別、地址、電話號碼、家庭結構、興趣愛好、電子郵件地址、ID、IP地址和時間戳、工作地點、所屬、工作地點地址、工作地點電話號碼、信用卡號碼、銀行賬戶號碼、訪問的主頁資訊、投訴、諮詢或查詢的資訊等。因此,對於這些項目中特別可能從自家客戶等處獲得的資訊,可以預先在隱私政策的個人資訊定義中進行描述。
個人資訊的使用目的
第〇條
1.本所將使用所收集的個人資訊於以下目的。若本所在網站內另有規定個人資訊的使用目的,則以該使用目的為優先。
(1)為了回答您透過問題表單提出的問題
(2)為了提供本所的網路服務或應用程式等其他服務(以下稱為「本服務」)以及介紹本服務或本所新提供的服務
(3)為了改善本服務或開發新服務
(4)為了達成前述各項目的相關目的
2.除了上述目的外,本所可能會將從客戶處獲得的個人資訊,以無法識別或特定個人的方式和範圍進行統計,並作為參考使用。
使用目的
根據個人資訊保護法,本所需要公開收集的個人資訊的使用目的。上述條款的第一項就是為了滿足這個要求。在設定使用目的時,重要的是不能僅僅使用抽象或包含的描述,而需要具體描述到個人可以理解他們的個人資訊將如何被使用。因此,根據製定隱私政策的業者,使用目的的描述內容可能會有所不同,需要注意。此外,如果有遺漏的描述,則不能使用個人資訊於該目的,因此需要充分檢查是否有遺漏。
匿名處理資訊
條款的第二項是關於匿名處理資訊的規定。匿名處理資訊是指將個人資訊處理為無法識別個人且無法恢復的資訊,這是考慮到所謂的大數據的利用。
如果處理匿名處理資訊,則需要在隱私政策等中公開匿名處理資訊包含的個人資訊項目等。條款的第二項是規定將「個人資訊的定義」中記載的個人資訊作為匿名處理資訊使用。另外,如果向第三方提供匿名處理資訊,則還需要公開提供方法。
個人資訊的非目的性使用
第〇條
本所將在達成上述使用目的所需的範圍內處理所獲得的個人資訊。若需在該範圍外使用個人資訊,本所將事先獲得客戶本人的同意。然而,以下情況除外:
(1)基於法律規定
(2)為保護人的生命、身體或財產,且在難以獲得客戶本人的同意的情況下
(3)為了提高公眾衛生或促進兒童健全成長的特殊需要,且在難以獲得客戶本人的同意的情況下
(4)國家機關或地方公共團體或其受託者需要執行法律規定的業務,且在獲得本人同意可能對該業務執行造成障礙的情況下
原則上,個人資訊不得用於使用目的之外。然而,在個人資訊保護法中,如上述條款所列的(1)至(4)情況,非目的性使用是被允許的。
(2)和(3)是在需要使用個人資訊的需求高,但難以迅速獲得本人同意的情況下。另外,(1)和(4)是基於國家或地方公共團體等的意向使用個人資訊,例如,犯罪調查等。這種非目的性使用的條款在幾乎所有企業中都是標準的,並且不太可能因業務內容而變化。
個人資訊的第三方提供
第〇條
本所公司原則上不會在未獲得客戶本人同意的情況下,向第三方提供客戶的個人資訊。只有在特定的提供對象和提供內容,並獲得客戶本人的同意的情況下,才會向第三方提供。但以下情況除外:
(1)基於法律規定
(2)為了保護人的生命、身體或財產,並且獲得客戶本人的同意困難的情況
(3)為了提高公眾衛生或促進兒童健康成長,並且獲得客戶本人的同意困難的情況
(4)國家機關或地方公共團體或其受託者在執行法律規定的業務時,需要協助,並且獲得客戶本人的同意可能會妨礙業務的執行
(5)為了實現使用目的,需要向與本所公司簽訂保密義務合約的業務委託方提供個人資訊的情況
可以提供個人資訊給第三方的例外情況
這條款例是關於業者提供取得的個人資訊給第三方的情況。在個人資訊保護法中,提供個人資訊給第三方需要獲得本人的同意。但是,根據條款例(1)至(5)的例外情況,可以在未獲得本人同意的情況下,向第三方提供個人資訊。因此,與個人資訊的非目的使用條款一樣,第三方提供也成為了各公司幾乎固定的條款。在實務上,比較常用的是向業務委託方提供個人資訊的情況(5)。但是,即使是委託業務的情況,取得個人資訊的業者也需要對委託方進行監督責任。因此,如果委託方洩露了個人資訊,委託業者也需要承擔責任,這一點需要注意。因此,選擇委託方和委託後的管理監督需要謹慎進行。關於從業務委託方洩露個人資訊的Benesse個人資訊洩露事件,本所在下面的文章中詳細解釋。
由於法律修訂,選擇退出變得困難
關於個人資訊的第三方提供,在2017年實施的修訂法之前,可以在「根據本人的要求停止向第三方提供個人資訊」的條件下,不獲得本人事先同意就向第三方提供個人資訊。這被稱為選擇退出。然而,由於2017年實施的修訂法,除非向個人資訊保護委員會事先報告,否則不能通過選擇退出向第三方提供個人資訊,規則變得更加嚴格。
你可能會認為只要向個人資訊保護委員會報告就可以了,但這個報告制度主要是針對名錄業者等將個人資訊本身作為商品的業者,並且報告者將被公開,因此實際上報告的企業並不多。因此,實際上,除了業務委託等被允許的例外情況外,未獲得本人同意的個人資訊的第三方提供變得困難。
個人資訊的揭露、修正等
在日本的《個人資訊保護法》中,要求公開對於本人提出的使用目的通知、揭露、修正、使用停止等要求的處理程序。因此,製定隱私政策時,也需要規定這些事項。然而,關於這些規定的條款,許多企業都採用了標準的措辭。值得考慮的一點是,是否應該規定對於本人提出的揭露等要求的手續費。為了防止濫用的請求導致業務延誤,設定適當金額的手續費也是一種方法。如果需要手續費,則需要注意在隱私政策中規定其內容。
總結: 關于個人資訊的法律規定將來會更嚴格
隨著社會對個人資訊保護的關注度日益提高,相關的法律規定也逐漸變得更為嚴格。確保公司內部的資訊管理安全以防止個人資訊的洩露固然重要,但同時,根據法律規定制定隱私政策和公司內部規定等也是必要的。日本的《個人資訊保護法》預計將每三年進行一次定期修訂。每當有關個人資訊處理的規則發生變化時,不僅可能需要更改公司內部系統,也可能需要重新審視業務方法。在這種意義上,可以說《個人資訊保護法》是與業務的根本相關的法律,因此,特別是處理大量個人資訊的業者,必須始終掌握法律修訂的動向。
由本事務所提供的契約撰寫與審查等服務介紹
在MONOLITH律师事務所,作為專長於IT、網路和商業的法律事務所,本所不僅提供有關隱私政策的服務,還為本所的顧問公司和客戶公司提供各種契約的撰寫和審查等業務。
如果您有興趣,請在下方查看詳細資訊。
專業領域