今回は、プライバシーポリシーの作り方ということで、苦情・問合せ先条項について見てみたいと思います。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
苦情・問合せ先条項の法的意味
苦情・問合せ先条項の法的意味は、あまり気にせず連絡先を淡々と記載しておけばよいという話もあるかもしれませんが、実は結構いろいろあります。
ざっくりいうと、
- 保有個人データに関する所定事項の公表(法32条1項)として
- 安全管理措置(法23条)の具体的内容として、ガイドライン上、基本方針の策定が挙げられており、その基本方針の記載項目のひとつとして
- 苦情処理に関する努力義務(法40条)として
といった意味があります。
保有個人データに関する所定事項の公表としての意味
まず、①個人情報取扱事業者には、保有個人データに関する所定事項の公表義務があり(法32条1項)、苦情の申出先もその公表事項のひとつになっています(施行令10条2号)。
そこで、これをプライバシーポリシーに記載しておく、という意味があります。
▽法32条1項4号
(保有個人データに関する事項の公表等)
第三十二条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
↓ 施行令10条2号
(保有個人データの適正な取扱いの確保に関し必要な事項)
第十条 法第三十二条第一項第四号の政令で定めるものは、次に掲げるものとする。
二 当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
安全管理措置の具体的内容としての意味
次に、②安全管理措置義務(法23条)の具体的内容として、ガイドライン上、基本方針の策定が挙げられており、その基本方針の記載項目のひとつとして「質問及び苦情処理の窓口」が推奨されています。
▽通則ガイドライン10-1
10 (別添)講ずべき安全管理措置の内容
10-1 基本方針の策定
個人情報取扱事業者は、個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である。
具体的に定める項目の例としては、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等が考えられる。
苦情処理に関する努力義務としての意味
さらに、③努力義務ではありますが、一般論として、個人情報取扱事業者は、個人情報に関して、苦情処理と必要な体制整備を講じる義務を負うため(法40条)、その一環でもあります。
(個人情報取扱事業者による苦情の処理)
第四十条 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
苦情・問合せ先条項の記載内容
記載内容としては、上記①の保有個人データに関する所定事項の公表(法32条1項)に関して、ガイドライン上、
- 苦情を受け付ける担当窓口名・係名
- 郵送用住所
- 受付電話番号
- その他の苦情申出先(個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合は、その団体の名称及び苦情解決の申出先を含む)
といった具体例が掲載されています。
▽通則ガイドライン3-8-1-⑴
⑤保有個人データの取扱いに関する苦情の申出先
(例)苦情を受け付ける担当窓口名・係名、郵送用住所、受付電話番号その他の苦情申出先(個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合は、その団体の名称及び苦情解決の申出先を含む。)
なお、「本人の知り得る状態」とは、本人の求めに応じて遅滞なく回答する場合も含みますので、法文の定め方だけ見ると、所定事項のひとつである苦情の申出先も”遅滞なく回答”で行うこともできるはずです。ただ、現実問題として、問合せ窓口は、表示されていないとそもそも問い合わせができませんので、それは分かりやすく記載しておくのがよいと思われます。
▽ガイドラインQ&A 9-1
法第32条第1項第3号は、開示等の請求等に応じる手続を本人の知り得る状態に置かなければならないと定めていますが、必ずホームページに掲載しなければいけませんか。
必ずしもホームページに掲載しなければならないわけではありません。開示等の請求等に応じる手続については、本人の知り得る状態に置かなければなりませんが、本人の求めに応じて遅滞なく回答する場合も含むとされています(法第32条第1項)。
例えば、問合せ窓口を設け、問合せがあれば、口頭又は文書で回答できるよう体制を構築しておけば足ります(ガイドライン(通則編)3-8-1-⑴(※1)参照)。
なお、問合せ窓口(保有個人データの取扱いに関する苦情の申出先。施行令第10条第2号)については、分かりやすくしておくことが望ましいと考えられます。
結び
今回は、プライバシーポリシーの作り方ということで、苦情・問合せ先条項について見てみました。
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
プライバシーポリシーに関するその他の記事
参考文献・主要法令等
参考文献
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)