今回は、プライバシーポリシーの作り方ということで、その法的意味について見てみたいと思います。
「プライバシーポリシー」というと長いので、以下では「プラポリ」と略します。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
カテゴリー「会社法務」では、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
基本方針やガイドラインで作成が推奨されている
個人情報保護法上、プラポリの作成自体を義務づけている規定は実はないのだが、個人情報保護基本方針(「個人情報の保護に関する基本方針」(▷掲載ページはこちら))では、作成が望ましいとされている。
▽個人情報保護基本方針第6項
6 個人情報取扱事業者等が講ずべき個人情報の保護のための措置に関する基本的な事項
(1)個人情報取扱事業者等が取り扱う個人情報等に関する事項
個人情報取扱事業者等は、法の規定に従うほか、上記2⑵①の民間部門ガイドライン及び認定個人情報保護団体の個人情報保護指針等に則し、例えば、プライバシーを含む個人の権利利益を一層保護する観点から、個人情報保護を推進する上での考え方や方針(いわゆる、プライバシーポリシー、プライバシーステートメント等)を対外的に明確化するなど、個人情報の保護及び適正かつ効果的な活用について自主的に取り組むことが期待されているところであり、体制の整備等に積極的に取り組んでいくことが求められている。その際、事業の規模及び性質、個人データの取扱状況等に応じて、各個人情報取扱事業者等において適切な取組が実施されることが重要である。
また、通則ガイドラインにおいても、安全管理措置(法23条)の一環として、また、保有個人データに関する安全管理措置の公表(法32条1項4号→施行令10条1号)として、基本方針の策定について言及されている。
▽通則ガイドライン10-1
10 (別添)講ずべき安全管理措置の内容
10-1 基本方針の策定
個人情報取扱事業者は、個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である。
具体的に定める項目の例としては、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等が考えられる。
▽通則ガイドライン3-8-1-⑴-④
個人情報取扱事業者は、法第23条の規定により保有個人データの安全管理のために講じた措置の内容を本人の知り得る状態に置かなければならない。
…(略)…
【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】(※7)
(基本方針の策定)
事例)個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定
このように、作成自体は法的義務ではないが、個人情報の一層の保護の観点から、また、安全管理措置義務の具体的な履行例として、プラポリの作成が求められている。
また、以下で見るように、個人情報保護法上の義務の履行(公表義務の履行など)を、プラポリを利用して行っているというのが一般的なやり方になっているので、作成自体を省くというのは現実的にはしっくりきづらい状況になっている。
ただ、個々の記載項目をみた場合、必須の項目は実はそんなに多くないので、そのあたりも眺めつつ、以下、内容を見てみる。
個人情報保護法上の義務の履行
プラポリによる個人情報保護法上の義務の履行としては、主に、公表義務の履行と、本人の同意の取得、の2種類がある。
公表義務の履行
プラポリは、個人情報保護法上、「公表」「明示」あるいは「本人が容易に知り得る状態」「本人が知り得る状態」に置くことが要求されている場合に、その実施方法として利用されている。
代表的なものは、利用目的のあらかじめの公表(法21条1項)、保有個人データに関する事項を本人の知り得る状態に置くこと(法32条1項)、などである。
なお、公表の必要がある場合であっても、プラポリ以外で実施されると思われるものは、本記事では除いています。
例えば、漏洩等事案の発生時に、本人への通知が困難なときの代替措置(法26条2項但書)として、事案の公表によったり、問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象になっているか否かを確認できるようにすることもできるとされていますが(通則ガイドライン3-5-4-5)、これらをプラポリで実施することはあまりないかと思います。
一覧にしてみると、以下のとおりである。
| 分類 | 公表等を要する事項 | 対応条文 |
| 個人情報に関する義務 | 個人情報を取得する際の利用目的の「公表」や「明示」 | 法21条1項・2項 |
| 利用目的を変更した場合の「公表」 | 法21条3項 | |
| 個人データに関する義務 | 個人データをオプトアウト方式で第三者提供する場合に所定事項を「本人が容易に知り得る状態」に置くこと | 法27条2項 |
| 上記の所定事項に変更がある場合に「本人が容易に知り得る状態」に置くこと | 法27条3項 | |
| 個人データを共同利用する場合に所定事項を「本人が容易に知り得る状態」に置くこと | 法27条5項3号 | |
| 上記の所定事項のうち管理責任者等に変更がある場合に「本人が容易に知り得る状態」に置くこと | 法27条6項 | |
| 保有個人データに関する義務 | 保有個人データに関する所定事項を「本人の知り得る状態」(本人の求めに応じて遅滞なく回答する場合を含む)に置くこと | 法32条1項 |
これらを、プラポリへの記載を通じて行っているわけである。
条文も確認してみる。「公表」「明示」「本人が容易に知り得る状態」「本人が知り得る状態」という書きぶりが多数あることが見てとれる。
利用目的の公表
個人情報を取得する際の利用目的の「公表」や「明示」(法21条1項・2項)、利用目的を変更した場合の「公表」(3項)、である。
(取得に際しての利用目的の通知等)
第二十一条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前三項の規定は、次に掲げる場合については、適用しない。
一~四 (略)
オプトアウト方式で第三者提供する場合
オプトアウト方式(本人の求めに応じた提供の停止)で個人データを第三者提供する場合に所定事項を「本人が容易に知り得る状態」に置くこと(法27条2項)、変更がある場合に「本人が容易に知り得る状態」に置くこと(3項)、である。
2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、…(略)…。
一~八 (略)
3 個人情報取扱事業者は、前項第一号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第三号から第五号まで、第七号又は第八号に掲げる事項を変更しようとするときはあらかじめ、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
共同利用する場合
個人データを共同利用する場合に所定事項を「本人が容易に知り得る状態」に置くこと(法27条5項3号)、管理責任者等に変更がある場合に「本人が容易に知り得る状態」に置くこと(6項)、である。
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一~二 (略)
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
6 個人情報取扱事業者は、前項第三号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
保有個人データに関する事項の公表
保有個人データに関する所定事項を「本人の知り得る状態」(本人の求めに応じて遅滞なく回答する場合を含む)に置くこと(法32条1項)、である。
(保有個人データに関する事項の公表等)
第三十二条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一~四 (略)
ただし、この場合は、「本人の求めに応じて遅滞なく回答する場合を含む」とされているので(括弧書き)、そのニュアンスの違いから、「容易に」という文言はなく、「本人の知り得る状態」との文言になっている。
本人の同意の取得
個人情報保護法上、本人の同意を得ることが求められる場合について、プラポリに同意が必要な事項を記載し、プラポリ(あるいは当該事項)を閲覧させて承諾を取る形で同意を得る、というやり方が多い。
本人の同意を要する主な場合は、以下のとおりである。
| 分類 | 本人の同意を要する場合 | 対応条文 |
| 個人情報に関する義務 | 利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合 | 法18条1項 |
| 事業承継前の利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合 | 法18条2項 | |
| 要配慮個人情報に関する義務 | 要配慮個人情報を取得する場合 | 法20条2項 |
| 個人データに関する義務 | 個人データを第三者提供する場合 | 法27条 |
| 個人データを外国にある第三者に提供する場合 | 法28条 | |
| 個人関連情報に関する義務 | 個人関連情報を第三者提供する場合(提供先が個人データとして取得することが想定されるとき) | 法31条 |
例えば、第三者提供を行う場合、本人の同意を得ることが必要であるが、提供する都度の同意は要求されておらず、最初の取得時にあらかじめ包括的に同意を得ておくことも可能なので(ガイドラインQ&A7-7、7-8、7-9等参照)、上記のようなやり方になっている(ただし、第三者に提供することも含めて、利用目的を特定しておかなければならない点に注意が必要)。
なお、同意を要する場合ではあるので、上記でも挙げたが、目的外使用や要配慮個人情報の取得に関しては、その承諾を取るためにプラポリに記載して…というのはあまりないと思う(少なくとも管理人は見かけたことはない)。
その他の記載項目
以上については法的な意味があるが(法的な義務の履行)、その他の記載項目は、法的には任意である。
冒頭で見たように、通則ガイドラインでは、望ましい記載項目として、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等が挙げられている。
また、一般的に、上記の項目も含めつつ、個人情報法保護法上、個人情報取扱事業者が負う義務のカテゴリ(利用目的、共同利用、第三者提供、安全管理措置、開示・訂正・削除請求等)に相当する項目が、ひと通り全部並んでいる場合が多いかと思う。
ただ、法的にプラポリへの記載が必須の事項(義務づけられている事項)というのは、ミニマムに考えた場合、実はそんなに多くない。公表義務の履行と、本人の同意の取得、ぐらいである。
さらにいえば、公表義務の履行であっても、利用目的の公表は、取得の状況からみて利用目的が明らかであると認められる範囲では省略も可能であるし(法21条4項4号)、保有個人データに関する事項の公表(法32条1項)も、求めに応じて遅滞なく回答する場合も含まれるので、網羅的に記載していないとすぐアウトになる、みたいな建付けにはなっておらず、ある程度バッファのある定めになっている。
このように、実は必須の事項は多くないので、長い長いプラポリは、(法的に詰めて見た場合には)任意的な記載が多い。
もちろん、だからといって、それなりの規模の企業や企業グループで、短い簡素なプラポリを作ってそれを掲載して済ませるというのはビジネスユースでない。また、保有データに関する事項の公表は、かなり多岐に渡っているので(事業者名、利用目的、開示等請求に応じる手続、安全管理措置、苦情の申出先、認定個人情報保護団体名)、プラポリに記載してカバーしてしまった方が話は早い。
また、別に厳密な意味を考えなくても、類例を検索して調べながら作ることができるし、そうしている人も多い。
ということで、実際には、全体的にまとまりを持った一定ボリューム以上のものが作られている、という感じである。
公表義務の履行にせよ、本人の同意取得にせよ、プラポリへの記載でなくとも、他の何らかの方法でもいいですが(そこに法令上の制限はない)、一般的にはプラポリに記載することでこれらの義務を履行していることが多いかと思いますので、本記事ではこの通常の実務を前提にして書いています(本記事でいう”プラポリへの記載が必須”の意味)。
なお、特定のサービスに関して、プロパーで必要な利用目的や本人の同意の取得については、その利用規約に記載するケースもありますが、その場合でも、最大公約数的な内容のプラポリは別途存在する場合が多いだろうと思います。
利用規約上の義務の履行
また、利用する外部サービスによっては、利用規約上、何らかの事項の通知や開示などが求められている場合があり、これにプラポリで対応している場合もある。
利用規約上の義務は、法令上の義務ではなく私人同士の契約上の義務であり、法令上の義務とは性質の違うものであるが(=違反した場合は、法令違反ではなく、契約違反)、ルールとして対応が必要になる点では同じといえる。
例えば、Googleアナリティクスを利用している場合、Googleアナリティクス利用規約には以下のような記載があり、プラポリの作成・公開や、Cookie等に関する使用や仕組みの開示などが求められている。
▽Google アナリティクス利用規約(本記事公開日2023/10/19時点)
7.プライバシー
…お客様は適切なプライバシーポリシーを用意したうえでそれに準拠し、ユーザーから情報を収集するうえで、適用されるすべての法律、ポリシー、規則を遵守するものとします。お客様はプライバシーポリシーを公開し、Cookie、モバイル デバイスの識別子(例: Androidの広告ID、iOSの広告ID)、またはデータの収集に使われる類似技術の使用について、そのプライバシーポリシーで通知する必要があります。また、Googleアナリティクスの使用と、Googleアナリティクスでデータが収集および処理される仕組みについても開示する必要があります。こうした情報は、「Googleのサービスを使用するサイトやアプリから収集した情報のGoogleによる使用」のサイト(www.google.com/policies/privacy/partners/や、Googleが随時提供するその他のURL)へのリンクを目立つように表示することで開示できます。…
また、例えば、Amazonアソシエイトプログラムを利用している場合、Amazonアソシエイト・プログラム運営規約では、Amazonのアソシエイトである旨を目立つように明示することが求められており(「5.乙がアソシエイトであることの表示」)、プラポリでも対応している場合が多い。
外部送信規律上の義務の履行
上記のGoogleアナリティクスの話とも関連するが、Cookie等にも関連するルールとして、明確に法律上の義務として出来たのが、電気通信事業法による外部送信規律(電気通信事業法27条の12)である。
Cookie等の識別子については、個人を特定できない情報であるため、個人情報保護法の定義上は「個人情報」には当たらない。なので、個人情報、個人データ、保有個人データに関する個人情報保護法上の義務はかかってこない。
しかし、Cookie等の識別子を含めて、利用者の情報に関し、利用者の端末に外部送信のプログラムを送る場合(=情報送信指令通信を行う場合)は、所定事項の通知または公表が義務づけられるようになった(2023年6月16日施行)。どこに、どんな目的で、どんな情報が送信されるのか、利用者に確認の機会を付与する趣旨である。
(情報送信指令通信に係る通知等)
第二十七条の十二 電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信(利用者の電気通信設備が有する情報送信機能(利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通信の送信をいう。以下この条において同じ。)を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。ただし、当該情報が次に掲げるものである場合は、この限りでない。
一~四 (略)
この外部送信規律への対応を、プラポリにその記載項目を設けて行っている場合もある(プラポリとは別立てにしている場合も多い)。
プライバシーマークの取得のため
プライバシーマークを取得する場合は、JIS Q 15001マネジメントシステム要求事項を満たすために記載項目に違いが出てくるので(取得する個人情報の項目が必要など)、また別途検討が必要である。
プライバシーマークなど規格関連については、一般の事業会社で広くあてはまることではないので、本記事では割愛する。
結び
今回は、プライバシーポリシーの作り方ということで、プラポリの法的意味について見てみました。
上記までの整理と少し見方を変えて、性質的な側面から見てみると、要するに、プラポリの法的意味には、
- 法令上の義務の履行
- 契約上の義務の履行
- プライバシーマークを取得するために必要
の3種類がある、ということになるかと思います。
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
プライバシーポリシーの作り方に関するその他の記事
参考文献・主要法令等
参考文献
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)