AZXブログ

プライバシーポリシーについて

~ AZX Coffee Break Vol.13 〜

プライバシーポリシーは、平成17年4月1日に個人情報の保護に関する法律(以下「個人情報保護法」という。)が全面施行されて以来、多くの会社で整備されるようになってきた。ビジネス上も、プライバシーポリシーを適切に定めることは、取引先からの信頼を得るために不可欠なものとなっている。しかしながら、個人情報保護法上のどのような要請に基づくものであるのかについて正確に理解されておらず、会社の実態にそぐわないプライバシーポリシーとなってしまっているものも多く見受けられる。本稿では、プライバシーポリシーを作成するにあたって、個人情報保護法との関係でどのような点に留意したらよいのかについて説明する。個人情報保護法それ自体についての説明については、本メールマガジンvol.1を参照されたい。なお、下記においては会社が個人情報保護法上の個人情報取扱事業者に該当することを前提に個人情報保護法との関係において説明しており、プライバシーマークにおいて求められる水準等については考慮しているものではない。

(1)個人情報保護法とプライバシーポリシー 個人情報保護法上、「プライバシーポリシーを定めなければならない」という明文規定はない。しかしながら、個人情報保護法においては以下に述べるように「利用目的」「第三者提供」「保有個人データに関する事項」等に関する規制があり、これらの事項について、一定事項の公表が義務づけられていたり、予め公表しておくことが有益な場合があるため、これらの事項をプライバシーポリシーとしてまとめて公開しておくのが一般的となっている。以下、プライバシーポリシーの記載内容に関係する個人情報保護法の主要な規制を説明するが、安全管理措置やセキュリティ方針等、同法上明確な義務づけのない記載事項に関しては、監督庁のガイドライン等を適宜ご参照いただくこととし、本稿の対象外とする。

(2)利用目的について  個人情報取扱事業者は、個人情報を取り扱うにあたっては、その利用目的をできる限り特定しなければならず、あらかじめ本人の同意を得ないで特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。また、その後の利用目的の変更も自由に認められるわけではなく、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならず、また変更後の利用目的については本人に通知し、又は公表しなければならない。したがって、プライバシーポリシーに利用目的を定めるにあたっては、現在の利用目的はもちろん将来の変更可能性も考慮する必要があり、かつ、できる限り特定しなければならない。例えば、「事業活動に用いるため」「提供するサービスの向上のため」などという目的は具体的に利用目的を特定していない例として考えられており、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせ」等具体的に利用目的を特定する必要がある。また、利用目的を適切に定めるには、どのような経路で、どのような個人情報を取得することになるかを洗い出したうえで、それぞれの個人情報について「利用目的」の明示が適切になされているかを検討する必要がある。例えば、会社は顧客の個人情報のみならず、株主の個人情報、従業員の個人情報等を保有しているのであり、それぞれの個人情報に適応するようにプライバシーポリシーを定めることが考えられる。株主用、従業員用、顧客用と分けて規定又は作成する場合もある。

(3)第三者提供 個人情報取扱事業者は、原則としてあらかじめ本人の同意を得ないで個人データを第三者に提供してはならない。したがって、第三者に提供をすることを予定している場合には、プライバシーポリシーにおいて明示するのみでは足りず、あらかじめ本人の同意を得なければならないのが原則である。しかしながら、プライバシーポリシーにおいて一定事項を明示しておくことにより、本人の同意なく第三者への提供が例外的に認められる場合があるため、以下説明する。
①オプトアウト 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしているような場合には、一定の事項をあらかじめ本人に通知し、又は本人が容易に知り得る状況に置いているときには、本人の同意がなくとも当該個人データを第三者に提供することができる。この場合、プライバシーポリシーにおいては、(a)第三者への提供を利用目的とすること、(b)第三者に提供される個人データの項目、(c)第三者への提供の手段又は方法、(d)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することを規定する必要がある。
②共同利用 個人データを特定の者と共同して利用する場合において、一定の事項をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときには、当該共同利用者への提供は、個人情報保護法上の「第三者」にあたらない。そこで、この共同利用をしようとする場合は、プライバシーポリシーにおいて(a)共同利用をする旨、(b)共同して利用される個人データの項目、(c)共同して利用する者の範囲、(d)利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について規定したうえで、本人が容易に知り得る状況においておく必要がある。なお、(d)は共同利用者の中で第一次的に苦情の受付、処理、開示、訂正等を行う権限を有する事業者をいい、共同利用者の内部の担当者をいうのではない。この共同利用を行うことがある場合としては、グループ企業で総合的なサービスを提供するために利用目的の範囲内で情報を共同利用する場合や、フランチャイズの本部とフランチャイジーの間で顧客情報を共同利用する場合などが考えられる。
③その他「第三者提供」に該当しない場合 個人情報保護法においては、個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱の全部又は一部を委託する場合(例えば、百貨店が注文を受けた商品の配送のために宅配業者に個人データを渡す場合)や法令に基づく場合などには、本人の同意なくとも第三者への提供が認められている。これらの事項については、あらかじめ公表等をしておくことは個人情報保護法上要求されておらず、記載する場合は法律上認められる提供の範囲を会社側で自主的に制限していると解釈されないよう、記載方法に留意する必要がある。

(4)保有個人データに関する事項 保有個人データとは、個人情報取扱事業者が開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データを意味し、この保有個人データについては、一定の事項を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)におかなければならない。そこで、プライバシーポリシーにおいては、(a)当該個人情報取扱事業者の氏名又は名称、(b)全ての保有個人データの利用目的、(c)個人情報保護法上の開示等の求めに応じる手続、(d)個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先等について定め、本人の知り得る状態においておかなければならない。(c)に関しては、開示等の求めを受け付ける方法として一定の事項を定めることができるため、プライバシーポリシーにおいて(i)開示等の求めの申出先、(ii)開示等の求めに際して提出すべき書面の様式、その他開示等の求めの受付方法、(iii)開示等の求めをする者が本人又はその代理人であることの確認の方法、(iv)保有個人データの利用目的の通知、又は開示をする際に徴収する手数料の徴収方法を定めておき、本人確認を十分行うことができるようにしておくことが考えられる。

(5)プライバシーポリシーの設置場所 プライバシーポリシーは、個人情報保護法第18条第1項による個人情報の利用目的の「公表」や、同法第24条第1項に基づき保有個人データの利用目的を「本人の知り得る状況」におく必要がある関係上、広く一般的に自己の意思を知らせる方法、例えば会社のウェブ画面中のトップページから1回程度の操作で到達できる場所へ掲載しておくべきと考えられる。なお、利用目的の点については、本人との契約締結に伴う場合など直接本人から書面や電磁的方法で個人情報を取得する場合には、「あらかじめ、本人に対し、その利用目的を明示」しなければならないとされるため(同法第18条第2項)、サイト上で個人情報の登録等を受けるような場合は、その登録の過程で登録者が利用目的を閲覧するように、その登録画面からも1回程度の操作で到達できる場所にもプライバシーポリシーを掲示するなどして、プライバシーポリシーの配置やリンク設定を工夫する必要がある。また、上記(3)①のオプトアウト以外の第三者提供の場合のように本人の「同意」を要する場合は、プライバシーポリシーに第三者に提供する旨を記載しているだけでは不十分であり、同意事項をプライバシーポリシーに明記した上で同ポリシーに同意させるプロセスをとったり、プライバシーポリシーとは別に明確な同意のプロセスをとるなどの対応が必要となる点、留意する必要がある。

以上のように、プライバシーポリシーの作成にあたっては、個人情報保護法との関連を意識して規定をすることにより、適法かつ円滑な個人情報の活用が可能となるため、自社のプライバシーポリシーについてもあらためて本稿の観点から検討をされるのが良いと考える。

以 上

(文責:弁護士 雨宮 美季)

* AZX(エイジックス)は、ベンチャー・ビジネスに最高の品質の法務、特許、税務、会計、労務その他の専門サービスを提供するプロフェッショナル・グループです(詳しくは、 https://www.azx.co.jp )。本メールマガジンはAZX Professionals Group が発行しております。
* 本記事記載の文面につきまして、許可なく転載することを禁止致します。 Copyright©2003 AZX Professionals Group

そのほかの執筆者
AZX Professionals Group
弁護士 パートナー
高橋 知洋
Takahashi, Tomohiro
AZX Professionals Group
弁護士 パートナー
池田 宣大
Ikeda, Nobuhiro
執筆者一覧