今回は、プライバシーポリシーの作り方ということで、前文について見てみたいと思います。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
前文の法的意味
前文とは、一般的に、タイトルと本文(第1条~第n条)の間にある文章のことを指します。
前文の法的意味としては、特に記載義務があるわけではないですが、形式面として引き締まった感じになるのと、実質面としてはいくつかの大枠的要素に触れることで、全体の位置づけを明瞭にする効果があります。
プライバシーポリシー(以下「プラポリ」)の前文で記載するべき要素は、
- 用語の定義
- 適用範囲(どの範囲の情報に関してこのプラポリを定めているのか)
- 他の規定との関係
の3点あたりになるかと思います。
これらの要素は、個人情報保護法などの法令で義務づけられているわけでは別にないですが、内容的には触れていないと普通に困るのではないかと思います(単純に、プラポリの内容が明瞭なものでなくなるという意味で)。
前文を考えるときに、他の規定との関係も含めた、プラポリの全体的な建付けを考えておく、という感じがよいと思います。
また、書き方としては、前文でなくても、「はじめに」とか「序」などの項目を別に作ってもよいですし、あるいは、第1条のところ以降で本文の内容として書いても別に問題ありません。
以下、順に見てみます。
前文で記載するべき要素
用語の定義
用語の定義については、まず、①プラポリの中で用語(「個人情報」etc)の定義を書く方法があります。まず普通に思い浮かぶ方法はこれかと思います。
そもそも定義に全く触れられていないケースもありますが、いったんそれは措いておきます。
このやり方は、そのプラポリを見るだけでも内容が目に入ってくるという点で、読者に対する説明機能(わかりやすさ)の点では優れているといえます。
ただ、わかりやすく正確に噛み砕いたつもりでも、微妙に法令の内容とはズレてしまうおそれや(そのズレを特に気にする人もいないとは思いますが)、法改正で若干内容が変わったりすることもあります。
例えば、「個人情報」といったベーシックな用語でも、法律の制定当初に比べると、その後の法改正で「個人識別符号」といった概念が入ったりしています。
なので、法令にある用語については個別に定義しないのが本来は無難であるように思います。
そのためか、用語(「個人情報」etc)の定義については、②個人情報保護法の定めによる旨の内容にとどめているケースが比較的多いのではないかと思います(管理人の感覚)。
法律上の定義に任せる方法で、プラポリのなかで特に定義づけしたい用語がある場合(あるいはそれに備えたい場合)があっても、”このプラポリで特に定義のある用語のほかは…”といった旨の枕詞をつけたり、括弧書きで除いたりすることで対応することが可能です。
さらに、これらの方法の間をとってか、③ある程度の用語説明を施したうえで、個人情報保護法上の「個人情報」に該当するもの、といった書きぶりにしているものもあります。
まとめると、用語の定義の仕方としては、
- プラポリの中で定義を書く方法
- 個人情報保護法上の定義に任せる旨だけ書く方法
- ある程度の用語説明をしたうえで、個人情報保護法上の定義に任せる旨を書く方法
といった方法があるかと思います。
説明機能(わかりやすさ)と正確性のバランスで、どうするか、という感じです。
プライバシーポリシーの適用範囲
誰の個人情報を対象としているか
前文がある場合、誰の個人情報を対象としているかについて、前文中で触れることになります。
一般的なパターンとしては、前文で、お客様の個人情報について、とするか、単に、個人情報について、としているパターンが多いように思います。
単に個人情報とするパターン
まず、前文で単に「個人情報」とするパターンです。この場合、誰の個人情報かは特に限定していないので、そのプラポリは、取り扱う個人情報全般を対象にしようとしていることになります。
個人情報取扱事業者が取り扱う個人情報は、外部や内部を問わないので(外部的なもの=顧客・取引先etc、内部的なもの=役職員・採用応募者etc)、本来の筋としても、この書きぶりは正しいといえます。
ただ、実際には、その後の本文で利用目的などの内容を書いていくときに、多くの場合は顧客情報を念頭において書くことになるので、結局このプラポリってお客様の個人情報を対象にしているよね、という意識になって、結局、前文から「お客様の個人情報…」と書くようになっているように思います(あえて言語化するとそういう感じ)。
雑感
ある程度くわしく利用目的を書く場合、誰の個人情報なのかも一緒に書かないと、見た目が違和感のある感じになります。
例えば、誰の個人情報についてなのかを書かないで、利用目的について、
・”〇〇商品や〇〇サービスの提供”
・”アフターサービスの提供”
・”新商品・サービスに関する資料や情報等のお届け”
(↑ これらはお客様の個人情報を想定)
などと書いたあとで、突然、
・”採用可否の判断や採用業務に関する連絡”
(↑ これは採用応募者の個人情報を想定)
と出てきたら、何となく想像はつくものの、違和感のある感じになります。
利用目的のところだけ「お客様の個人情報」としておいて、他は「個人情報」で揃える、という形も考えられますが、それはそれで違和感があり、実際あまり見かけないように思います。
なので、前文で単に「個人情報」としたうえで、全体的にも単に「個人情報」で一貫させることができる場合というのは、利用目的も含めて内容が非常に簡潔なもので済む場合、であるように思います。
お客様の個人情報とするパターン
次に、前文で「お客様の個人情報」としているパターンはかなり多いと思います。おそらく一番多いかも(統計的に見たことはないですが)。
”お客様”の部分は、同じような内容で別の表現になっている場合ももちろんありますが、本記事による説明上は、”お客様”で統一することにします。
「お客様の」と書いているパターンが多いのは、
- 上記のように、本文で利用目的などの内容を書いていくときのことをイメージすると、「お客様の個人情報」で全体を一貫させた方が何となく作りやすい
- ホームページに掲載するにあたって、「お客様の個人情報」について、ということでお客様向けに書いていた方が見た目がいい(ビジネスユースである)
ということではないかと思います(管理人の個人的意見)。
前文で「お客様の個人情報」としたうえで、全体的にも「お客様の個人情報」で一貫させたときは、そのプラポリは「お客様の個人情報」のみを対象にしようとしているもの、ということになります。
お客様以外の個人情報は?
ただ、素朴な疑問として、では、お客様以外の個人情報についてはどうなるのだろう?という疑問も湧きます。
理屈からすると、そのプラポリは、お客様以外の個人情報には言及していないので、これらの個人情報は対象にしていない(利用目的や、保有個人データに関して公表すべき事項などの記載がない)ことになるようにも思われるからです。
この点について特に問題視している話は見聞きしませんが、一応理屈で考えてみると、
- プラポリで記載が必須の事項というのは意外と少なく(▷参考記事:プラポリの法的意味)、任意的な記載をしていないだけである、
- 利用目的については、やり取りのなかで個別の通知がある(法21条1項)とか、取得の状況からみて利用目的が明らかとして省略が可能である(法21条4項4号)、
- 保有個人データに関して公表すべき事項については、公表はしていないが、遅滞なく回答することができる(法32条1項本文括弧書き)、
といったことで説明可能な範囲・運用になっていれば問題ない(義務違反にはならない)、ということになるのではないかと思います(管理人の私見での整理)。
なお、前文で変に絞られる表現にしたうえで、それを全体にも一貫させた場合、それ以外の対象者についてはそのプラポリで対象にされていないことになりますので(例えば、「会員」と記述すると、非会員であるライトユーザーは含まれないことになるなど)、意図しているものと比べて、変に特定した表現になっていないか、気をつけた方がよいと思います。
前文では単に個人情報としたうえで、本文で必要に応じて記述するパターン(プライバシーマークを取得している場合)
最後に、前文を含めて全体的には単に「個人情報」(あるいは個人データ、保有個人データ)としたうえで、本文の中で「誰の個人情報か」を書く必要がある部分でその都度書く、というパターンがあります。
この書き方になるのは、主として、プライバシーマークを取得している場合です。
プライバシーマークを取得している場合は、取得する個人情報の項目(顧客情報、取引先情報、役職員情報、採用応募者情報etc)を記述しないといけないので、これと一緒に各項目ごとの利用目的を併せて書く部分などで、「誰の個人情報か」について網羅的に触れることになります。
この場合、誰の個人情報かについては、本文の中の必要な部分でその都度書くスタイルになるので、前文では、本来の筋どおり、単に「個人情報」について、となっているケース(=取り扱う個人情報全般を対象にしようとする書きぶり)が多いです。
なお、プライバシーマークを取得していない場合でも、自主的にこのような書きぶり(取得する個人情報の項目を書くやり方)にしても勿論OKです。自主的に、より精度の高いプラポリにしているということになると思います。
が、自主的にそこまで丁寧にやっているケースはあんまりないように思います。
個人情報以外の情報も対象とするか
「個人情報」は、個人情報保護法上、特定の個人を識別できる情報に限られるので、個人に関連する何らかの情報であっても、個人を特定できない情報は含まれません。
典型的には、Cookieなどの識別子に紐づけられたアクセス履歴(ネット上での行動履歴)や、位置情報、メールアドレス(個人を識別できない内容のメアド)などがこれにあたりますが、これらも含めてプラポリに取扱い内容を記述することも考えられます。
任意の・自主的な(つまり、法令上義務づけがされていないような)内容も取り込んでおり、よりレベルの高いプラポリ、利用者情報保護の意識の高い企業だ、ということになると思います。
この方針でいく場合は、個人情報ではなく、「利用者情報」とか「ユーザー情報」といった用語を設けたうえで、その内容を定義づけしておくことになります。
が、そこまでしている企業は、割とガッチリ大きめの企業でもない限り、なかなかないように思います。
一般的には、プラポリの対象はあくまでも個人情報としつつ、Cookie等について記述が必要な部分(例えばGoogleアナリティクス等、利用規約上必要な場合など)は、個別の項目を設けて必要な分だけ書いている、というケースが多いかと思います。
Cookieポリシーなどとして、比較的大きめの項目を設けたり、あるいは、プラポリとは別立てにしているケースもあります。
また、外部サービスの利用にあたって、Cookie等の識別子を含め利用者の情報を外部に送信している場合は、外部送信規律(電気通信事業法27条の12)がかかるようになったので、そこで求められる所定事項の公表のために、これもプラポリに個別の項目を設けて書いているケースもあります(外部送信規律についてプラポリとは別立てにしているケースも多くある)。
まとめると、やり方としては、
- プラポリ全体の対象はあくまでも「個人情報」としつつ、個別に必要に応じて、「個人情報」に該当しない利用者情報に関しても記載項目を設ける
- プラポリ全体として、「個人情報」にとどまらない範囲での、利用者情報の取り扱いのルールメイキングをする(より高いレベルのプラポリ)
という2つの方向性があるということです。
プライバシーポリシーと他の規定との関係
ひとつの会社で、ある程度限られた商品・サービスを提供している場合は、あまり気になりませんが、ひとつの会社で幅広い商品・サービスを展開していたり、あるいはグループ会社が多い場合には、全体の建付けをどうするかはひとつの悩みどころです。
例えば、ひとつの会社で複数のサービスを展開する場合に、特定のサービスについて固有の内容(典型的には、利用目的や、第三者提供に関する本人の同意の取得などの関係)を盛り込む必要がある場合、そのサービス専用のプラポリを作成したり、あるいは、そのサービスの利用規約のなかで必要事項を手当てする、といった形があり得ます。
その場合、会社自体のプラポリにも、前文で、上記のような専用プラポリや利用規約の関係項目との関係を記載しておくべきだと思います(前文でなくても構わないが)。他に固有の規定があってそれが優先されるときは、その旨を書いておく、ということです。
また、グループ企業の場合は、もっとバリエーションが多いと思われます。
例えば、
- グループ全体に共通するプラポリをかなり抽象的に作成しておいて、それにプラスする建付けで個社ごとにもプラポリを作成する、
- グループ全体のプラポリを標準的な内容で作成しておいて、それで問題ない個社ではそのまま採用し、内容的にフィットしない個社のみ別のプラポリを作成する、
- グループ全体のプラポリを標準的な内容で作成しておいて、個社でも基本的にはそれを採用しつつ、特定のサービスに関して固有に必要な内容がある場合にスポット的に上記のような手当て(専用プラポリあるいは利用規約での言及など)をする、
といった形があり得ます。また、2つ目と3つ目を混ぜた形もあり得ますし、他にもあり得ると思います。
例えば、楽天グループ株式会社の個人情報保護方針では、
1.はじめに
本方針は、楽天または本方針を採用する楽天グループの会社(以下「私たち」*といいます。)が提供するサービス(関連する付帯サービス、アプリケーション、ツール等を含み、以下「対象サービス」といいます。)をお客様がご利用になる場合に適用されます。なお、私たちおよびその他の楽天グループの会社は、サービスの内容等に応じて、本方針に付加して、または本方針とは別に、個人情報の取扱いに関して定める場合があり、この場合、当該定めが適用されますので、ご留意ください。
といった記載があり(本記事公開日2023/10/20時点)、読者がいま読んでいるプラポリの全体的な建付け、つまり、楽天グループ株式会社のプラポリであることや、これをそのまま採用するグループ会社があること、また、他の規定の有無や優先関係がわかるようになっています。
なお、上記はひとつの例として挙げただけで、内容はこの書き方で決まり、みたいな意味ではありませんので、念のため。こういうことを気にしながら全体の交通整理を考えておき、前文にさらっと書くのがよいと思われる、という意味です。
なお、前文ではなく、本文中の利用目的や第三者提供といった個々の記載項目のなかで、他の規定がある場合はそちらが優先する旨の言及をしておく、といった形も考えられます。
要は、どのような形であれ、他の規定との関係性は整理しておくべきということです。
結び
今回は、プライバシーポリシーの作り方ということで、前文について見てみました。
本記事の内容は、管理人が経験したり書籍を読んだりして頭の中にある「型」みたいなもので、そうしないといけないといった話ではないですので、もし部分的にでも納得感があって参考になるところがあればと思います。
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
プライバシーポリシーの作り方に関するその他の記事
主要法令等・参考文献
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)
参考文献
当サイトではアフィリエイトプログラムを利用して商品・サービスを記載しています