プライバシーポリシーの解説と主要規定
前のページ ITサービス利用規約 ┃ 次のページ ECサイトと消費者契約
プライバシーポリシーとは
プライバシーポリシーとは何か
「プライバシーポリシー」とは、個人情報保護方針とも呼ばれ、個人情報やプライバシー情報を取扱うときの方針・指針を定めたドキュメントです。
ECサイトをはじめとするネットサービス、ウェブ上のサービスにおいては、プライバシーポリシーは、利用規約とともに作成され公開されることが非常に多いといえます。
プライバイシーポリシーの重要性
ネット通販サイトはもちろんのこと、多くのITサービスでは、利用者や顧客の個人情報を扱います。そのため、プライバシーポリシーを適切に定めることは、利用者に安心してサービスを利用していただくためにも重要といえます。
また、個人情報保護法の遵守という観点で考えると、プライバシーポリシーは以下の機能を果たします。
- 法律上、「通知」「公表」「知り得る状態に置く」ことが義務づけられている情報を記載して本人に対して情報提供すること
- 法律上、「同意」を義務づけられている情報を記載し、プライバシーポリシーに同意してもらうことにより、当該同意を取得すること
ひな形をそのまま使わない
インターネットを検索すると、公開されている非常の多くのプライバシーポリシーや個人情報取扱指針が見つかります。また「雛形」を提供するとするサイトもあります。
しかし、他社のものを参考にするとしても、実際にプライバシーポリシーを策定するときは、自社のサービスの特徴や取り扱う個人情報の種類性質、顧客の特徴、会社の方針や業務体制などを考えて、適切な内容にすることは重要といえます。
プライバシーポリシーを設置すべき場所
プライバシーポリシーの設置場所について厳密なルールはありません。しかし、利用者や顧客が容易にアクセスできる場所が重要と考えます。それは、例えば個人情報保護法において個人情報の共同利用が認められる要件である「顧客が容易に知ることができるようにした場合」などを満たすことにもつながるのです。
例えば、トップページから1回のクリックで到達できる場所へ掲載し、また、個人情報の提供を受けるフォームがあるページからもダイレクトにリンクがされていることは望ましいといえます。
また、自社のアプリにおいてユーザ登録を行っていただくような場合、ユーザの個人情報を登録する入力フォームの下に利用目的を記載したプライバシーポリシーを見やすいように掲示したり、入力フォームを表示する前の画面でプライパシーポリシーを表示して同意のボタンを押していただいた後に入力フォームに遷移するなどして、利用目的の明示を行うことも考えられます。
さらに、第三者提供を行うなど、利用者の同意を得る必要がある場合は、個人情報の送信を受ける前に、「個人情報保護方針に同意する」といったチェックボックスやボタンを設置して確実に同意を得るようにすることも重要といえます。
プライバシーポリシーの対象となる個人の種別
ある企業が取り扱う可能性のある個人情報の主体には種々のカテゴリーがあります。
代表的なものを挙げると、(1)企業が販売・提供する商品やサービスの顧客、見込客、潜在的顧客、(2)株主、(3)その企業への求職者や採用候補者、(4)取引先の企業の役員や従業員、(5)自社の役員や従業員、があります。
そしてこれら個人の種類によって、収集する個人情報の範囲や種類、個人情報の利用目的、利用や管理にあたっての留意事項などが相違することがあります。そのため、個人のカテゴリーに応じて別々の規定を設けたり、プライバシーポリシーそのものを別個に作成することが適切な場合もあります。
プライバシーポリシーの規定ポイント
以下、本ページでは、主としてECサイトを念頭に、プライバシーポリシー(個人情報保護方針)の作り方や主要なポイントについてご説明します。なお、この部分については主要条項の一部の説明ですので、今後必要に応じ加筆する予定です。
なお、以下のサンプルはもっぱら主要条項の趣旨・意図の解説を目的としています。それで、網羅性・完全性・条項間の整合性については検証していません。また、各規定の有効性・執行可能性についての保証もありません。それで、本ページのサンプルを「雛形(ひな形)」として使用することはご遠慮ください。
前文
規定例
当社は、お客様の個人情報の保護について、以下のとおりプライバシーポリシー(以下「本ポリシー」といいます)を定め、これに従って適法かつ適正に個人情報を取り扱います。 |
条項のポイント~前文の位置づけ
前文においては、プライバシーポリシーの対象として、どういったカテゴリーの個人に関する個人情報を対象とするのかを明らかにすることがあります。
プライバシーポリシーの名宛人としては、顧客、取引先、従業員、求職者、株主、ウェブサイトの閲覧者等が想定されます。
個人情報の利用目的
規定例
(個人情報の利用目的)
(1)商品に関する問い合わせの対応、カタログ等の資料送付 |
条項のポイント~「利用目的」の具体的明示
個人情報保護法法21条1項は、個人情報を取得した場合に、あらかじめ利用目的を公表している場合を除き、速やかに、利用目的を本人に通知し、または公表しなければならないと定めています。
提供を受けた個人情報等の利用目的をできる限り具体的に特定します。この点、単に「当社が提供するサービスの向上のため」「当社事業活動のため」といった記載では、具体的に特定できていないと考えられるおそれが無視できません。
そこで、自社の業務フローを踏まえ、実際にどのように個人情報を利用するのかを検討してできるかぎり具体的に記載します。また、今後のビジネス展開を考えて、ある程度広い範囲で利用目的を定めておくことも重要といえます。
取得する情報項目
規定例
(取得する個人情報の項目) |
条項のポイント~収集する情報の項目の記載
少なくとも現状の日本法では、取得する個人情報の種類について、本人への通知や公表は義務づけられていません。そのため、プライバシーポリシーに記載していない例も多くあります。
もっとも、本人の便宜のため、また個人情報の収集と取扱に関する透明性の観点から、プライバシーポリシーに明示する例も少なくありません。
個人情報の第三者提供
規定例1~第三者提供の際の方針を示す例
(第三者提供) |
条項のポイント1~第三者提供についての方針の明示
提供を受けた個人情報を第三者に提供する場合の方針を明示します。オプトアウトによる第三者提供も、法律上許されていないわけではありませんが(個人情報保護委員会への届出や公表などが必要となることがあります)、基本的には同意を得る方針が望ましいといえます。
条項のポイント2~第三者への業務委託と個人情報
商品の配送を宅配業者に委託するなど、委託が発生することは少なくありません。この点、自社の業務の一部を第三者に委託する場合に委託先に個人情報を提供する場合は「第三者提供」に該当せず、同意は不要です。しかし、利用者に無用な疑義が生じないよう、きちんと明示しておくことは望ましいといえます。
なお、個人情報保護法22条は、個人情報の取扱いを委託する場合は、個人情報の安全管理が図られるよう、委託先に対する必要かつ適切な監督を行う義務を課しています。それで、委託先を監督する義務に注意を払う必要があります。
規定例2~プライバシーポリシーにおいて第三者提供の同意を得る例
(第三者提供)
|
条項のポイント1~第三者提供についての同意取得
個人情報の第三者提供についての同意を取得するためには、顧客等の個人情報の主体から都度同意を得るほか、プライバシーポリシーにおいて第三者提供についての情報を記載の上、プライバシーポリシーへの同意を取得することで同意を得るという方法もあります。
そして、第三者提供の同意を取得するにあたっては、提供先の名称を個別具体的に明示することまでは求められていません。しかし、想定される提供先の範囲や属性を示すことが望ましいとされています。
上のサンプルは、そのような視点からいくつかの例を挙げています。なお、上のサンプルに列挙したものは単なるサンプルであって、各項目相互間には整合性等がない場合もあります。
規定例3~外国にある第三者への提供
(外国にある第三者への提供)
(1)当該外国の名称
(2)当該国における個人情報の保護に関する制度の概要 前記のほか、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」として法律上認められている英国に所在する第三者対しても個人データの提供又は保管等を行う可能性があります。 |
条項のポイント1~外国にある第三者提供の範囲
個人データを外国にある第三者に提供する場合には、原則として、あらかじめ本人の同意を取得する必要があります。この点、外国にある第三者への提供の場合、国内なら「第三者提供」に該当しない、委託や事業承継についても、第三者提供として同意が必要です。
条項のポイント2~同意取得にあたって提供すべき情報
本人の同意に基づいて外国にある第三者に個人データを提供する場合には、参考となる情報をあらかじめ提供する必要があります。具体的には以下のとおりです(個人情報保護法28条2項[カーソルを載せて条文表示])。
- 当該外国の名称
- 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
- 当該第三者が講ずる個人情報の保護のための措置に関する情報
条項のポイント3~EU・英国にある第三者提供
外国であっても、わが国と同等の水準の個人情報保護制度を有しているとして規則により定められた国にある第三者に対して提供する場合には、日本国内にある第三者に対する個人データの提供と同様に考えることができます(個人情報保護法28条1項)。
当該国については、本稿作成時点には、EU加盟国、欧州経済領域(EEA)の一部であるアイスランド、ノルウェー及びリヒテンシュタイン、並びに英国が該当します。
上のサンプルでは、英国にある第三者提供についても念のため触れています。
個人情報の共同利用
規定例
(共同利用) ・共同で利用される個人情報の項目 ・個人情報を共同利用する企業名 ・共同して利用する者の利用目的 ・個人情報の管理について責任を有する者の名称 |
条項のポイント~共同利用についての方針の明示
顧客などの個人情報を、関連会社などで共同して利用する必要が生じる場合が考えられます。
そして、以下の項目につき、顧客が容易に知ることができるようにした場合などには、顧客から「同意」を得なくても、共同利用が認められています(個人情報保護法23条4項3号)。
・共同利用をすること
・共同利用する個人データの項目
・共同利用者の範囲
・利用目的
・個人情報の管理について責任を有する者の名称等
個人情報の開示・訂正・利用停止等
規定例
(個人情報の開示・訂正・利用停止) |
条項のポイント~個人情報の開示・訂正・利用停止の手続方法の明示
個人情報の本人からの求めに応じ、個人情報の開示・訂正・利用停止等の手続に関する事項を明記する必要があります。
具体的には、規約に具体的に手続を記載する方法と、サンプルのように、窓口を案内し詳細は個別に案内する方法があります。
前のページ ITサービス利用規約 ┃ 次のページ ECサイトと消費者契約
弊所と法律相談等のご案内
弊所へのご相談・弊所の事務所情報等については以下をご覧ください。
契約法務 弁護士費用自動見積のご案内
弊所の弁護士費用のうち、以下のものについては、オンラインで自動的に費用の目安を知ることができます。どうぞご利用ください。
- 英文契約・和文契約のチェック・レビュー
- 英文契約・和文契約の翻訳(和訳、英訳)
メールマガジンご案内
弊所では、メールマガジン「ビジネスに直結する判例・法律・知的財産情報」を発行し、比較的最近の判例を通じ、ビジネスに直結する法律知識と実務上の指針を提供しております。 学術的で難解な判例の評論は極力避け、分かりやすさと実践性に主眼を置いています。経営者、企業の法務担当者、知財担当者、管理部署の社員が知っておくべき知的財産とビジネスに必要な法律知識を少しずつ吸収することができます。 主な分野として、知的財産(特許、商標、著作権、不正競争防止法等)、会社法、労働法、企業取引、金融法等を取り上げます。メルマガの購読は無料です。ぜひ、以下のフォームからご登録ください。
バックナンバーはこちらからご覧になれます。 https://www.ishioroshi.com/biz/mailmag/topic/ |
ご注意事項
本ページの内容は、執筆時点で有効な法令に基づいており、執筆後の法改正その他の事情の変化に対応していないことがありますので、くれぐれもご注意ください。