プライバシーポリシーとは？必要な理由や項目について解説

企業が個人情報を取得する場合には、その利用目的等を本人へ通知するか、あらかじめ公表しておくことが求められます。あらかじめ利用目的を公表する方法として作成されるのが、プライバシーポリシーです。個人情報の適切な取り扱いが求められる昨今、プライバシーポリシーの作成は会社の信頼のためにも、十分な検討が必要な業務の一つです。そこで本記事では、プライバシーポリシーについて、なぜ必要なのかや記載すべき項目について詳しく解説します。

プライバシーポリシーの作成は義務なのか？なぜ必要？

そもそもプライバシーポリシーの作成は義務なのでしょうか。またなぜ必要なのか疑問を持たれる方も少なくないでしょう。そこで、プライバシーポリシーの作成が義務なのか、またなぜ必要なのかについて解説します。

個人情報保護法上の個人情報取扱事業者の義務

個人情報保護法は個人情報の「利用目的」や「第三者提供」、「共同利用」、「安全管理措置」等について定めを置いています。そして、個人情報保護法上、事業者がユーザーから個人情報を取得し、それを利用する場合には同法で定められた事項について本人に通知、公表等を行うことを定めています。

実務的に取り得る方法としてのプライバシーポリシー

しかし、個人情報の取得方法や取得の態様は取得される個人情報によって様々であり、全ての個人情報を取得する場面で本人の同意を得るというのは、企業が事業に伴い取得する個人情報の数を考慮してもあまり現実的ではありません。
そこで、個人情報保護法で定められた事項についてあらかじめ定めておき公表しておくことが考えられますが、こうした公表のための手段として用いられるのがプライバシーポリシーです。そのため、プライバシーポリシーの作成は実質的には義務に近いものと考えてよいでしょう。

プライバシーポリシーに記載が必要な事項

では、プライバシーポリシーにはどのような事項を記載する必要があるのでしょうか。ここではプライバシーポリシーへの一般的な記載事項について解説します。

個人情報取り扱いに関する基本方針

個人情報の重要性や会社としてそれを認識していること、法令を遵守することなど個人情報を取り扱う上で会社の基本方針を記載します。法的な義務のある記載ではありませんが、記載するのが一般的です。

定義

プライバシーポリシー内で使用する言葉の定義も良く記載される事項の一つです。よく定義として記載される事項としては個人情報の定義や個人データの定義についてです。個人情報と個人データはよく混同されがちなので定義規定を設けて正確に理解しておくと良いでしょう。

事業者の名称、住所、法人代表者氏名

個人情報保護法上、本人が知り得る状態に置かなければならない事項として、個人情報取扱事業者が個人の場合はその氏名と住所を、個人情報取扱事業者が法人の場合は、法人名、住所、代表者氏名が定められています。

個人情報の取得方法

個人情報保護法上、事業者は「偽りその他不正の手段」により個人情報を取得してはならない旨が定められています。そのため、プライバシーポリシーにおいて適正に個人情報を取得する旨を定めておきます。

個人情報の利用目的

個人情報保護法上、事業者が個人情報を取得する場合には利用目的を本人に通知するか公表することが義務付けられています。したがって、プライバシーポリシーには個人情報の利用目的を絶対に記載する必要があります。また、利用目的以外の目的での使用は出来ないのが原則となるため、プライバシーポリシーに記載する目的は個人情報の全ての利用シーンを想定して網羅的に記載することが重要となります。

安全管理措置の内容

個人情報保護法上、事業者は個人データの漏洩や紛失が起きないよう安全管理措置を取ることが義務付けられており、実施した安全管理措置の内容について本人の知りうる状態に置かなければならない旨が定められています。この点についてはどのような措置を取るべきかは個人情報保護法ガイドラインに詳細が記載されていますので、それを参考にすると良いでしょう。

個人データの共同利用について

グループ会社間などで取得した個人データを共同して利用する場合には①個人データを共同利用する旨、②共同して利用される個人データの項目③共同して利用する事業者の範囲④責任者の氏名又は名称を本人に通知するか公表する必要があります。したがって、グループ会社間などでの個人情報の共同利用が想定される場合にはこれらの事項についてプライバシーポリシーに記載しておく必要があります。

個人データの第三者提供について

個人データを本人の同意なく第三者に提供することを予定している場合は、①個人データを第三者に提供すること②第三者に提供する個人データの項目③第三者への提供の方法④本人の求めによる第三者への提供を停止⑤第三者への提供の停止についての手続について本人に通知するか、公表することが義務付けられています。またこの場合には個人情報保護委員会へ届出が必要になるため併せて注意しておきましょう。

個人データの開示等の手続きについて

本人から請求があった場合には保有している個人データの開示や誤りがあった場合の訂正等の手続きについて定め、公表することが義務付けられています。
また、利用停止や消去を求める場合の手続きについても同様に定める必要があります。

個人情報の取扱いに関する相談や苦情の連絡先

個人データに関する苦情の申し出先を本人の知り得る状態に置いておく必要があります。そのため、プライバシーポリシーには苦情や相談のための連絡先を記載します。

プライバシーポリシー作成時に注意すべきポイント

では実際にプライバシーポリシーを作成する際にはどのような点に注意したらよいでしょうか。ここでは注意すべきポイントについて解説します。

利用目的は漏らさず書き起こす

プライバシーポリシーを作成するうえで最も重要ともいえる点がこの利用目的を漏らさず記載するという点です。個人情報や個人データは取得時に通知または公表している利用目的の範囲内でしか利用できないのが原則のため、利用目的に記載漏れがあると、その事業目的のために個人情報は利用できないといった事態に陥ってしまいます。
利用目的を定める際には自社がどのような態様で個人情報を利用するのかよく検討した上で利用目的を余すことなく網羅的に記載しましょう。

グループ会社間で共同利用する場合には共同利用について記載する

グループ会社間での個人情報の共同利用が想定される場合には、プライバシーポリシーを作成する際に必ず共同利用に必要な項目を記載するようにしましょう。特に共同利用者の範囲は後から追加することが原則として認められないため、グループ会社は漏らさずに記載するようにしましょう。

安易なひな形の使用には注意！

プライバシーポリシーは利用目的一つとっても自社の個人情報の利用態様に合わせた内容とする必要があります。そのため安易にひな形を利用すると、自社の個人情報の利用状況や管理状況とアンマッチなものができてしまう可能性もあります。特に利用目的は余さず記載しないと事業で個人情報が利用できないといった事態にもなりかねません。安易なひな形の使用は避ける方が良いでしょう。

まとめ

プライバシーポリシーは記載すべき事項が定められていますが、各企業の個人情報や個人データの利用状況に応じて適切に内容を定める必要があります。本記事を参考にそれぞれの会社の実情に沿ったプライバシーポリシーを作成しましょう。