KIYACを試すこの記事では、プライバシーポリシーを作成する方法を、わかりやすくかつ網羅的に解説します。
はじめてプライバシーポリシー作成にとりくむ皆さん、是非参考にしてください。
なぜ作らなければいけないの?
「個人情報の保護に関する法律」(以下「個人情報保護法」といいます。)の要請です。
個人情報保護法の中で、お客様の個人情報を収集するときに、公表すべき事項が定められています。(個人情報保護法27条1項)。
プライバシーポリシーの最小限の目的は、この要請を満たすことです。
個人情報保護法
(保有個人データに関する事項の公表等)
第二十七条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一 当該個人情報取扱事業者の氏名又は名称
二 全ての保有個人データの利用目的(第十八条第四項第一号から第三号までに該当する場合を除く。)
三 次項の規定による求め又は次条第一項、第二十九条第一項若しくは第三十条第一項若しくは第三項の規定による請求に応じる手続(第三十三条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
世間に出回っているプライバシーポリシーは、概ね、この個人情報保護法の要請を満たすために作成されています。ただし、そのうち触れることになりますが、個人情報保護法の要請を超える内容をプライバシーポリシーに組み込んでいる事業者もたくさん存在します。
誰が作らなければいけないの?
個人情報を取り扱うあらゆる事業者が、適用対象です。
改正前の個人情報保護法では、5000 人以下の個人情報しか取り扱わない中小企業・小規模事業者の方は、個人情報保護法の適用対象外となっていました。
しかし、平成 27 年9月に改正された個人情報保護法(平成 29年5月 30 日から全面施行)によって、この規定は廃止され、個人情報を取り扱う「すべての事業者」に個人情報保護法が適用されることとなりました。
つまり、新しいアプリをリリースしたばかりでまだユーザーが数人しかいない個人事業主であっても、立派な個人情報保護法の適用対象事業者になるのです。
プライバシーポリシーのタイトル
ところで、いろいろなウェブサイトをみると、「プライバシーポリシー」と書いてあったり、「個人情報保護規定」と書かれていたり、いろいろなタイトルが混在しています。どちらが正しいのでしょうか?
正解は、どちらでも構いません。これらは個人情報保護法に定められた法律用語ではありません。
そのため、個人情報の取扱ルールを定める場合に、そのタイトルを「プライバシーポリシー」にしても、「個人情報保護方針」にしても、どちらでも構いません。
雛形を作る時のポイント
さて、ここからがいよいよ本題です。プライバシーポリシーにはどんなことを書かなければいけないのでしょうか?
プライバシーポリシーの記載事項
プライバシーポリシーは、冒頭で説明したとおり、最低限の目的としては個人情報保護法の定めに対応するために作られるものです。
そのため、プライバシーポリシーに絶対に記載しなければいけないことは、個人情報保護法で指定されている事柄になります。冒頭で引用した個人情報保護法27条を噛み砕くと、以下の事項になります。
- 個人情報取扱事業者の氏名又は名称(個人情報保護法27条1項1号)
- 利用目的(個人情報保護法27条1項2号)
- 開示請求に応じる手続きと開示請求にかかる手数料(個人情報保護法27条1項3号)
- 苦情の申出先(個人情報保護法27条1項4号、個人情報方保護法施行令8条1号)
さらに、個人情報を第三者に提供する可能性がある場合には、以下の事柄についても記載する必要があります。
- 個人情報の第三者提供、グループ会社等との共同利用(個人情報保護法23条1項)
加えて、昨今のプライバシーポリシーは、個人情報保護法が求める記載事項を越えて、ユーザーフレンドリーに、たとえば以下のような事項についても丁寧な記載をしているものが多くなっています。
- お客様から取得する情報の種類
- 匿名加工情報(ビッグデータ)の取扱い
- プライバシーポリシーを変更する場合の手続き
また、別の要請として、Googleなどのプラットフォームが要請している記載事項があります。
- Googleアナリティクスへの対応
そこでこの記事では、個人情報保護法で求められている記載事項に加え、一般的に記載されているケースも多い事項についても取り扱うことにします。
また、説明の順序については、プライバシーポリシーに記載される比較的一般的な順序に従って説明していきます。
利用目的
お客様の情報を利用する目的は、どこまで詳しく書けばよいのでしょうか?
この点、個人情報保護法を所管する「個人情報保護委員会」が発表しているガイドラインでは、次のように具体的な事例が挙げられています。
【具体的に利用目的を特定している事例】
事例) 事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するに当たり、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」等の利用目的を明示している場合
【具体的に利用目的を特定していない事例】
事例1)「事業活動に用いるため」
事例2)「マーケティング活動に用いるため」
(引用元:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」3-1-1)
意外に思われたのではないでしょうか。
「マーケティング活動に用いるため」といった記載は、かなり一般的に用いられている印象ですが、個人情報保護委員会はより踏み込んだ特定を求めているのです。
また、別の公表資料には、次のような指摘があります。
「利用目的を「できる限り」特定するとは、個人情報取扱事業者が、個人情報をどのような目的で利用するかについて明確な認識を持つことができ、本人にとっても、自己の個人情報がどのような事業の用に供され、どのような目的で利用されるのかが、一般的かつ合理的に想定できる程度に特定するという趣旨です。」
(引用元:個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A」2-1)
一言でいうと、「何のために収集した情報を使うのか、フツーの人でもわかるように書こうね」ということです。絶対にここまで書けばOK、NGということに関して、これ以上詳細な説明はありませんので、以上の考え方を参考にして、あなたのサービスでお客様の情報を利用する目的を、できるだけ具体的に列挙するようにしてください。
取得する情報の項目(種類)
なぜ取得する情報の種類を書くのか?
よく、他社のプライバシーポリシーの中で、取得する情報の項目(たとえば、「氏名」とか、「住所」とかいったものです。)を列挙したものをみたことがあるのではないかと思います。
ところが、実は、個人情報保護法では、プライバシーポリシーに、取得する情報の項目を絶対に明示、開示しなければならないというルールはありません。そのため、取得する情報の種類を書かなくても、法的には問題がないと言えそうです。
他方で、個人情報保護法の中では、何箇所か、個人情報の「項目」に触れている箇所があります。
たとえば、
(第三者提供の制限)
第二十三条
2 個人情報取扱事業者は、第三者に提供される個人データ・・・について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一 第三者への提供を利用目的とすること。
二 第三者に提供される個人データの項目
三 第三者への提供の方法
四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
五 本人の求めを受け付ける方法
であったり、
(匿名加工情報の作成等)
第三十六条
3 個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。
といったルールが存在します。
このようなルールに対応する可能性も踏まえて、事業者が取得する情報の「項目」を列挙して記載することが推奨されます。
また、ユーザー目線に立った場合にも、「この会社はどんな種類の情報を、何のために取得するのか?」ということがはっきり記載されていると安心です。項目を列挙することには、対ユーザーのレピュテーションを向上させるメリットがあります。
どうやって項目を列挙するの?
お客様から収集する情報の項目は、できるだけ正確に、もれなく列挙するようにしてください。
また、ひとつの項目にまとめて書こうとせずに、できるだけ分解して記載する方が、ユーザーフレンドリーな規約になると考えます。たとえば、以下のように分解して記載することが考えられます。
お客様から取得する情報
当社は、お客様から以下の情報を取得します。
・氏名(ニックネームやペンネームも含む)
・職業、職歴、学歴
・メールアドレス
・電話番号
・住所
・クレジットカード、銀行口座、電子マネー等のお客様の決済手段に関する情報
・外部サービスでお客様が利用するID、その他外部サービスのプライバシー設定によりお客様が連携先に開示を認めた情報
・Cookie(クッキー)を用いて生成された識別情報
・OSが生成するID、端末の種類、端末識別子等のお客様が利用するOSや端末に関する情報
・当社ウェブサイトの滞在時間、入力履歴、購買履歴等の当社ウェブサイトにおけるお客様の行動履歴
・当社アプリの起動時間、入力履歴、購買履歴等の当社アプリの利用履歴
今は取得していなくても、将来取得する可能性が高い項目があれば、最初からチェックを入れておくことをオススメします。別の記事で説明するとおり、プライバシーポリシーの変更は、サービスが巨大化した後は、難しくなる場合がありますので。
第三者提供
第三者提供って何?
そもそも聞き慣れない「第三者提供」ということば。
要するに、あなたがお客様から集めた情報を、誰かよその人や事業者にわたすことです。「第三者」に「提供」するので「第三者提供」と呼んでいます。
第三者提供に関する個人情報保護法の原則
まずは、個人情報保護法の原則を押さえてください。
個人情報保護法
(第三者提供の制限)
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
原則は、お客様から集めた個人情報を、勝手に、よその誰かに渡してはいけない、ということです(個人情報保護法23条1項本文)。
当たり前といえば当たり前なのですが、この原則を見誤ると、サービスの構築に支障が生じる業態がたくさんありますので、まずは原則を理解して下さい。
どんな場合に第三者提供が許されるのか?
その上で、個人情報保護法は、個人情報を第三者提供して良い場合を具体的に列挙しています。
(第三者提供の制限)
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
条文のままではわかりにくいのでひとつづつ解説していきます。
まず、「本人の同意」がある場合(法23条1項本文)。本人がいいよ、といっているのだから、第三者提供をしてもよい、ということです。
次に、他の法律に「第三者提供をしてもよい」と書いてある場合(法23条1項1号)。たとえば犯罪捜査のために捜査機関が企業等の照会をかけて開示させる場合などです。
次に、本人が昏睡状態などにあり緊急性があるとき(法23条1項2号)。たとえば、意識不明になった本人について、血液型や家族の連絡先などを医療機関に提供する場合などです。
次に、児童育成関連(法23条1項3号)。たとえば、不良行為などについて児童相談所、学校などが連携して対応する場合。
最後に、国の役人が職務遂行にあたって本人同意をとることが不適切な場合(法23条1項4号)。たとえば、税務調査(任意調査)の場合などです。
以上からわかるとおり、「本人の同意」以外は、一般の事業者にはほとんど関係がありません。
そのため、一般の事業者としては、個人情報の第三者提供を企図するのであれば、「どうやってユーザーの同意をとるか?」を考え、実行に移す必要があります。
「第三者」ではないという抜け道
個人情報を第三者提供しようと思うと、一般の事業者にとっては、お客様の同意を取得するしか現実的には方法がないといっても、毎度毎度、第三者提供をするたびに、同意を取りに行くというのも大変ですし、いつ誰から同意をとったのかをログとして管理することもまた大変です。さらに昨今は、「その同意は本当に本人の意思に基づくものか?」ということがより厳しく判断される傾向にあります。
そこで、個人情報保護法は、特定のジャンルの他人は「第三者」ではない、ゆえにそれらの他人に個人情報を提供する場合は第三者提供のルール(本人の同意必須)は適用されない、という、特別なルールを作っています。
個人情報保護法
(第三者提供の制限)
第二十三条
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
条文のままではわかりにくいので、個別に解説していきます
個人情報の取扱を委託(外注)する場合の外注先(法23条5項1号)
たとえば、お客様のデータの打ち込みなどの業務を委託する場合の委託先がこれにあたります。
これらの委託先も一律に「第三者」に該当するとしてしまうと、およそアウトソースをする場合一律にお客様の同意が必要になってしまい、現在の経済活動の実態にかんがみると現実的ではないからです。
そのほかにも、ダイレクトメールの発送業務の委託先や、百貨店が注文を受けた商品の配送のために宅配業者に個人情報を渡す場合なども、「第三者」に該当しないと考えられています。
M&Aがあった場合(法23条5項2号)
たとえば、あなたの会社Aがほかの会社Bに買収され、両社が合併したような場合です。
M&Aの場合に、B社がA社の全ユーザーに個人情報提供の同意を取り付けないといけないというのは、あまりにも現実的ではないためです。
企業グループで共同利用する場合(法23条5項3号)
これが一番わかりにくく、よく誤解されているものです。
たとえば、旅行関連事業を営むグループ会社数社(バス事業者、ホテル、飲食店、レジャー事業者)が、同一のツアーに関してお客様の情報を共有するような場合がこれにあたるとされています。
この場合、「共同して利用される個人データの項目」、「共同して利用する者の範囲」、「利用する者の利用目的」及び「当該個人データの管理について責任を有する者の氏名又は名称」を、個人情報取得前に、「あらかじめ」、お客様が知りうる状態にして置かなければならない(≒プライバシーポリシーに記載しておかなければならない)とされていることに注意が必要です(法23条5項3号)。後から「グループ企業だから共有するよ」といってもこのルールは適用されないのです(この場合は、原則に立ち返って、お客様から個別に第三者提供の同意をもらわなければなりません。)。
どうやって書くのか
第三者提供の可能性があるのであれば、以上の個人情報保護法のルールを、プライバシーポリシーにも簡潔に記載するのがよいでしょう。前回の記事と今回の記事をまとめますと、ひとつの有効な手段は「第三者ではない」委託先への提供ですが、委託先への提供と考え難い場合は、正面から「お客様の同意」を取りに行くしかありません。
たとえば、次のような記載が考えられます。
第三者提供
当社は、お客様から取得する情報のうち、個人データ(個人情報保護法第2条第6項)に該当するものついては、あらかじめお客様の同意を得ずに、第三者(日本国外にある者を含みます。)に提供しません。
但し、次の場合は除きます。
個人データの取扱いを外部に委託する場合
当社や当社サービスが買収された場合
事業パートナーと共同利用する場合(具体的な共同利用がある場合は、その内容を別途公表します。)
その他、法律によって合法的に第三者提供が許されている場合
なお、第三者提供の同意を得るにあたり、提供先の氏名又は名称をお客様に個別に個別に明示することまでが求められるわけではありません。もっとも、想定される提供先の範囲や属性を示すことは望ましいとされていますので(個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A 」5-9参照)、個別具体の個人・企業名を書かないにしても、できるだけ「どのような人・企業なのか」が一般ユーザーにわかる程度の抽象化にとどめましょう。
匿名加工情報
4.5.1.いわゆるビッグデータビジネスをやりたい場合には記載を検討しよう
個人情報保護法の世界では、ビッグデータは「匿名加工情報」と呼ばれています(なんともわかりにくい日本語ですね…)。
(定義)
第二条 9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
どうやって匿名加工情報を作るかという話はこの記事では割愛し、ここではプライバシーポリシーとの関係で必要な話に絞って説明します。
匿名加工情報は、もはや個人を識別することのできない情報(どこの誰のことだかわからない情報)なので、個人情報に関する個人情報保護法の厳格なルールが適用されなくなります。匿名加工情報は個人情報ではないのです。
そのため、匿名加工情報には、みなさんが一番気になるであろう、上記の「第三者提供」のルールが適用されなくなり、お客様の同意なく、第三者に匿名加工情報を提供することができるようになるわけです。
プライバシーポリシーには何を書けばいいのか?
以上のとおり、匿名加工情報は、個人情報ではありませんが、だからといって、ユーザーからすれば、自分の情報が何に加工されてどのような目的で使われるのか、一切説明がなければ、気持ち悪いでしょう。
そこで、個人情報保護法上、必須ではありませんが、ユーザーフレンドリーな規約を目指し、匿名加工情報をまだ具体的に生成していない段階であっても、将来その可能性があるのであれば、次のように記載することが考えられます。
匿名加工情報
当社は、お客様から取得した情報を利用して匿名加工情報(個人情報保護法第2条第9項に定めるものを意味し、同法第2条第10項に定める匿名加工情報データベース等を構成するものに限ります。)を作成、利用することがあります。この場合、当社は、個人情報保護法の定めに従った対応を取ります。
具体的に匿名加工情報を生成する段階
他方で、具体的に匿名加工情報を生成する段階に入ると、個人情報保護法は、匿名加工情報を作成した事業者は、そこに含まれる情報の項目を公表しなければならず、さらに、第三者に提供をする場合には提供する項目と提供の方法についても公表をしなければならないものとされています。
個人情報保護法
(匿名加工情報の作成等)
第三十六条 3 個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。
4 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
この、「公表」の方法として、プライバシーポリシーとは別途、「匿名加工情報の作成に関する表示」といった文書を作成し、事業者のホームページ等で掲載することになります。上記の文例で示した「この場合、当社は、個人情報保護法の定めに従った対応を取ります。」とは、以上の意味です。
アクセス解析ツール
Googleアナリティクスを利用されている事業者様は非常に多いと思います。Googleアナリティクスは、個人を特定するデータを収集するものではありませんが、一定レベル以上のプライバシーに関わる情報を収集しているサービスです。そのため、ユーザーフレンドリーなポリシーにする観点から、Googleアナリティクスを利用していることをプライバシーポリシーの中で明示することが推奨されます。また、Google側も、プライバシーポリシーへの記載を求めています。
そこで、プライバシーポリシーには以下のような記載をすることが考えられます。
アクセス解析ツール
当社は、お客様のアクセス解析のために、「Googleアナリティクス」を利用しています。Googleアナリティクスは、トラフィックデータの収集のためにCookieを使用しています。トラフィックデータは匿名で収集されており、個人を特定するものではありません。Cookieを無効にすれば、これらの情報の収集を拒否することができます。詳しくはお使いのブラウザの設定をご確認ください。Googleアナリティクスについて、詳しくは以下からご確認ください。
https://marketingplatform.google.com/about/analytics/terms/jp/
プライバシーポリシーの変更
プライバシーポリシーの内容を途中で変更することは可能?
プライバシーポリシーの内容を途中で変更することは可能です。
しかしながら、以下、何点か気をつけるべきルールがあります。
利用目的の変更は一定の場合しか認められない
プライバシーポリシーの変更が可能であっても、利用目的の変更については一定の場合しか認めないということが個人情報保護法に明記されています。
個人情報保護法
(利用目的の特定)
第十五条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
どのようなケースが「変更前の利用目的と関連性を有すると合理的に認められる範囲内か」については、個人情報保護委員会が以下のとおり具体的に説明しています(個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A2-8及び2-9)。
利用目的の変更が認められる事例については、個別具体的な事例ごとに判断されるものの、例えば、次のような場合が考えられます。
○「当社が提供する新商品・サービスに関する情報のお知らせ」という利用目的について、「既存の関連商品・サービスに関する情報のお知らせ」を追加する場合
○「当社が提供する既存の商品・サービスに関する情報のお知らせ」という利用目的について、「新規に提供を行う関連商品・サービスに関する情報のお知らせ」を追加する場合(例えば、フィットネスクラブの運営事業者が、会員向けにレッスンやプログラムの開催情報をメール配信する目的で個人情報を保有していたところ、同じ情報を用いて新たに始めた栄養指導サービスの案内を配信する場合もこれに含まれ得ると考えられます。)
○「当社が取り扱う既存の商品・サービスの提供」という利用目的について、「新規に提供を行う関連商品・サービスに関する情報のお知らせ」を追加する場合(例えば、防犯目的で警備員が駆け付けるサービスの提供のため個人情報を保有していた事業者が、新たに始めた「高齢者見守りサービス」について、既存の顧客に当該サービスを案内するためのダイレクトメールを配信する場合もこれに含まれ得ると考えられます。)
○「当社が取り扱う商品・サービスの提供」という利用目的について、「当社の提携先が提供する関連商品・サービスに関する情報のお知らせ」を追加する場合(例えば、住宅用太陽光発電システムを販売した事業者が、対象の顧客に対して、提携先である電力会社の自然エネルギー買取サービスを紹介する場合もこれに含まれ得ると考えられます。)
変更が認められない事例としては、例えば、次のような場合が考えられます。
○ 当初の利用目的に「第三者提供」が含まれていない場合において、新たに、法第 23条第2項の規定による個人データの第三者提供を行う場合
○当初の利用目的を「会員カード等の盗難・不正利用発覚時の連絡のため」としてメールアドレス等を取得していた場合において、新たに「当社が提供する商品・サービスに関する情報のお知らせ」を行う場合
プライバシーポリシーの記載例
以上のルールについて、プライバシーポリシーに記載することは法的に必須ではありませんが、ユーザーフレンドリーなポリシーとする観点から、たとえば以下のように記載することが考えらます。
プライバシーポリシーの変更
当社は、必要に応じて、このプライバシーポリシーの内容を変更します。この場合、変更後のプライバシーポリシーの施行時期と内容を適切な方法により周知または通知します。
お問合せ先(開示請求への対応方法等)
なぜお問い合わせ先を書くのか?
どんなプライバシーポリシーを見ても、必ず、「お問い合わせ先」や「連絡先」が書かれていると思います。
これは、なぜかというと、個人情報保護法が、ユーザーに、個人情報の開示、情報の訂正、利用停止、削除の権利を認め、さらに事業者に対して、ユーザーから苦情があった場合適切に対応するよう定めているからです。この権利を行使し、あるいは苦情を受け付けるためためには当然お問合せ先がわからなければいけない、というわけです。
個人情報保護法
(保有個人データに関する事項の公表等)
第二十七条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一 当該個人情報取扱事業者の氏名又は名称
三 次項の規定による求め又は次条第一項、第二十九条第一項若しくは第三十条第一項若しくは第三項の規定による請求に応じる手続(第三十三条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
(開示)
第二十八条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。
(訂正等)
第二十九条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。
(利用停止等)
第三十条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているとき又は第十七条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
(個人情報取扱事業者による苦情の処理)
第三十五条 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
どこまで書けばよいのか?
では、お問い合わせ先には、どこまでの情報を書けばよいのでしょうか。
上記の趣旨からすれば、一般的なユーザーが、情報開示請求などの問い合わせをすることが可能になるレベルの情報を記載すべき、ということになります。
その趣旨に照らせば、たとえば最近の事業者が備え付けていないことの多い、「固定電話番号」を記載することは必須ではないと考えられます。
シンプルに、問い合わせ先をメールアドレスとし、これに事業者の名称と所在地を記載するだけでも、事業者情報の特定としては十分であると考えられます。
手数料を明記しよう
ユーザーから個人情報の開示請求を受けると、実際に対応するのは結構手間がかかります。
そこで、個人情報保護法は、開示請求に対応する場合に手数料を徴収することを認めています。
ただし、プライバシーポリシーに手数料の金額などを明示しておく必要があります。
個人情報保護法
(手数料)
第三十三条 個人情報取扱事業者は、第二十七条第二項の規定による利用目的の通知を求められたとき又は第二十八条第一項の規定による開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる。
2 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
「実費を勘案して合理的であると認められる範囲」ですが、1,000円程度であれば許容されるものと考えられています。
なお、この手数料は「開示請求」の場合にのみ徴収でき、訂正、追加、削除、利用停止の請求の場合には適用されませんので、ご注意下さい。
記載例
以上を踏まえたプライバシーポリシーの記載例はこちらです。
お問い合わせ
お客様の情報の開示、情報の訂正、利用停止、削除をご希望の場合は、以下のメールアドレスにご連絡ください。info@xxxxx.co.jp
この場合、必ず、運転免許証のご提示等当社が指定する方法により、ご本人からのご請求であることの確認をさせていただきます。なお、情報の開示請求については、開示の有無に関わらず、ご申請時に一件あたり1,000円の事務手数料を申し受けます。
事業者の名称
株式会社xxxxx住所
大阪市中央区xxx
プライバシーポリシーの配置場所
プライバシーポリシーは、ウェブサイトのできるだけアクセスしやすく、わかり易い場所に配置するようにしてください。
個人情報保護委員会は、この点について、以下のとおりガイドラインで説明しています(個人情報の保護に関する法律についてのガイドライン(通則編)2-11)。
「公表」とは、広く一般に自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること)をいい、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法によらなければならない。
【公表に該当する事例】
事例1)自社のホームページのトップページから1回程度の操作で到達できる場所への掲載
事例2)自社の店舗や事務所等、顧客が訪れることが想定される場所におけるポスター等の掲示、パンフレット等の備置き・配布
事例3)(通信販売の場合)通信販売用のパンフレット・カタログ等への掲載
プライバシーポリシーの雛形
ここまで読んでくださったみなさんは「プライバシーポリシーには記載する事項が多くて作るのが大変そうだ」という印象をお持ちになられたかもしれません。
たしかに、法律知識の無い方が、プライバシーポリシーを自作するのはなかなか骨が折れます。
ではネットに落ちている雛形をコピペして使うのはどうかというと、これはオススメできません。以上説明してきたとおり、事業者ごとにプライバシーポリシーに記載すべき事項は異なりますし、あなたが選んだ雛形があなたの事業に適切なものかどうか、判断がつきません。
他方で、弁護士のような法律専門家に作成を依頼すると、数万円単位の費用が発生することになり、特に事業立ち上げ段階の事業者様には負担が大きいのではないかと思います。
そこでオススメなのが、KIYAC(キヤク)という法律文書生成サービスです。
KIYACを使うと、無料で1枚、プライバシーポリシーを生成することができ、オススメです。
KIYACは、いくつかの質問に答えるだけ、わずか数分で法律文書を生成することができるウェブサービスです。弁護士が監修しており、この記事の中で触れられているトピックについても網羅的にフォローされています。是非活用してみてください。