個人情報法務

プライバシーポリシー|前文

著作者:pressfoto/出典:Freepik

今回は、プライバシーポリシーの作り方ということで、前文について見てみたいと思います。

ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。

メモ

 このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
 ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。

前文の法的意味

前文とは、一般的に、タイトルと本文(第1条~第n条)の間にある文章のことを指す。

前文の法的意味としては、特に記載義務があるわけではないが、形式面として引き締まった感じになるのと、実質面としてはいくつかの大枠的要素に触れることで、全体の位置づけを明瞭にする効果がある。

プライバシーポリシー(以下「プラポリ」)の前文で記載するべき要素は、

  • 用語の定義
  • 適用範囲(どの範囲の情報に関してこのプラポリを定めているのか)
  • 他の規定との関係

の3点あたりになるかと思う。

これらの要素は、個人情報保護法などの法令で義務づけられているわけでは別にないのだが、内容的には触れていないと普通に困ると思われる(単純に、プラポリの内容が明瞭なものでなくなるという意味で)。

前文を考えるときに、他の規定との関係も含めた、プラポリの全体的な建付けを考えておく、という感じがよいと思う。

また、書き方としては、前文でなくても、「はじめに」とか「序」などの項目を別に作ってもよいし、あるいは、第1条のところ以降で本文の内容として書いても別に問題ない。

以下、順に見てみる。

前文で記載するべき要素

用語の定義

用語の定義については、まず、①プラポリ内で用語(「個人情報」etc)の定義を記述する方法がある(そもそも全く触れられていないケースもあるが)。

このやり方は、そのプラポリを見るだけでも内容が目に入ってくるという点で、読者に対する説明機能(わかりやすさ)の点では優れているといえる。

ただ、わかりやすく正確に噛み砕いたつもりでも、微妙に法令の内容とはズレてしまったり(そのズレを特に気にする人もいないとは思うが)、法改正で若干内容が変わったりすることもある。

例えば、「個人情報」といったベーシックな用語でも、法律の制定当初に比べると、その後の法改正で「個人識別符号」といった概念が入ったりしています。

なので、法令にある用語については個別に記述しないのが本来は無難であるように思う。

そのためか、用語(「個人情報」etc)の定義については、②個人情報保護法の定めによる旨の内容にしているケースが比較的多いのではないかと思う(管理人の感覚)。

法律上の定義に任せる方法でも、プラポリのなかで特に定義づけしたい用語がある場合(あるいはそれに備えたい場合)には、このプラポリで特に定義のある用語のほかは…といった旨の枕詞をつけたり、括弧書きで除いたりすればよい。

さらに、これらの方法の間をとってか、③ある程度の用語説明を施したうえで、個人情報保護法上の「個人情報」に該当するもの、といった書きぶりにしているものもある。

まとめると、用語の定義の仕方としては、

  • プラポリ内で定義を記述する方法
  • 個人情報保護法上の定義に任せる方法
  • ある程度の用語説明をしたうえで個人情報保護法上の定義に任せる方法

といった方法があるかと思う。

説明機能(わかりやすさ)と正確性のバランスで、どうするか、という感じである。

プライバシーポリシーの適用範囲

誰の個人情報を対象としているか

前文がある場合、誰の個人情報を対象としているかについて、前文中で触れることになる。

一般的なパターンとしては、前文で、お客様の個人情報について、とするか、単に、個人情報について、としているパターンが多いように思う。

単に個人情報とするパターン

まず、単に「個人情報」とするパターンである。この場合、誰の個人情報かは特に限定していないので、そのプラポリは、取り扱う個人情報全般を対象にしようとしていることになる。

個人情報取扱事業者が取り扱う個人情報は、外部や内部を問わないので(外部的なもの=顧客・取引先etc、内部的なもの=役職員・採用応募者etc)、本来の筋としても、この書きぶりは正しいといえる。

ただ、実際には、その後の本文で利用目的などの内容を書いていくときに、多くの場合は顧客情報を念頭において記述することになるので、結局このプラポリってお客様の個人情報を対象にしているよね、という意識になって、結局、前文から「お客様の個人情報…」と書くようになっているように思う(あえて言語化するとそういう感じ)。

memo

 ある程度詳しく利用目的を書く場合、誰の個人情報なのかも一緒に書かないと、見た目が違和感のある感じになります。

 例えば、誰の個人情報についてなのかを書かないで、利用目的について、
・”〇〇商品や〇〇サービスの提供”とか、
・”アフターサービスの提供”とか、
・”新商品・サービスに関する資料や情報等のお届け”(以上はお客様の個人情報を想定)、
 などと書いたあとで、突然、
・”採用可否の判断や採用業務に関する連絡”(採用応募者の個人情報を想定)、
と出てきたら、何となく想像はつくものの、違和感のある感じになります。

 利用目的のところだけ「お客様の個人情報」としておいて、他は「個人情報」で揃える、という形も考えられますが、それはそれで違和感があり、実際あまり見かけないように思います。

なので、前文で単に「個人情報」としたうえで、全体的にも単に「個人情報」で一貫させることができる場合というのは、利用目的も含めて内容が非常に簡潔なもので済む場合、であるように思う。

お客様の個人情報とするパターン

次に、お客様の個人情報、としているパターンはかなり多いと思う。おそらく一番多いかもしれない(統計的に見たことはないけど)。

”お客様”の部分は、同じような内容で別の表現になっている場合ももちろんありますが、本記事による説明上は、”お客様”で統一することにします。

「お客様の」と書いているパターンが多いのは、上記のように、本文で利用目的などの内容を書いていくときに違和感がある(「お客様の個人情報」で全体を一貫させた方が何となく作りやすい)、というのと、ホームページに掲載するにあたって、「お客様の個人情報」について、ということでお客様向けに書いていた方が見た目がいい(ビジネスユースである)、ということではないかと思う(管理人の個人的意見)。

前文で「お客様の個人情報」としたうえで、全体的にも「お客様の個人情報」で一貫させたときは、そのプラポリは「お客様の個人情報」のみを対象にしようとしているもの、ということになる。

お客様以外の個人情報は?

 素朴な疑問として、では、お客様以外の個人情報についてはどうなるのだろう?という疑問も湧きます。

 理屈からすると、そのプラポリは、お客様以外の個人情報には言及していないので、これらの個人情報は対象にしていない(利用目的や、保有個人データに関して公表すべき事項などの記載がない)ことになるように思われるからです。

 この点について特に問題視している話は見聞きしませんが、一応理屈で考えてみると、

  • プラポリで記載が必須の事項というのは意外と少なく(▷参考記事:プラポリの法的意味)、任意的な記載をしていないだけである、
  • 利用目的については、やり取りのなかで個別の通知がある(法21条1項)とか、取得の状況からみて利用目的が明らかとして省略が可能である(法21条4項4号)、
  • 保有個人データに関して公表すべき事項については、公表はしていないが、遅滞なく回答することができる(法32条1項本文括弧書き)、

といったことで説明可能な範囲・運用になっていれば問題ない(義務違反にはならない)、ということになるだろうと思います(管理人の私見)。

なお、前文で変に絞られる表現にしたうえで、それを全体にも一貫させた場合、それ以外の対象者についてはそのプラポリで対象にされていないことになるので(例えば、「会員」と記述すると、非会員であるライトユーザーは含まれないことになるなど)、意図しているものと比べて、変に特定した表現になっていないか、留意するのがよいと思う。

前文では単に個人情報としたうえで、本文で必要に応じて記述するパターン(プライバシーマークを取得している場合)

最後に、前文を含めて全体的には単に「個人情報」(あるいは個人データ、保有個人データ)としたうえで、本文の中で誰の個人情報か記述する必要がある部分だけそのように書く、というパターンがある。

プライバシーマークを取得している場合は、取得する個人情報の項目(顧客情報、取引先情報、役職員情報、採用応募者情報etc)を記述しないといけないので、これと一緒に各項目ごとの利用目的を併せて記述する部分などで、誰の個人情報かについて網羅的に触れることになる。

この場合、誰の個人情報かについては、本文の中の必要な部分で必要に応じて書くスタイルになるので、前文では、本来の筋どおり、単に「個人情報」について、となっているケース(=取り扱う個人情報全般を対象にしようとする書きぶり)が多い。

なお、プライバシーマークを取得していない場合でも、自主的にこのような書きぶり(取得する個人情報の項目を書くやり方)にしても勿論構わない。自主的に、より精度の高いプラポリにしているということになる。

が、あんまり自主的にやっているケースはないように思う。

個人情報以外の情報も対象とするか

「個人情報」は、個人情報保護法上、特定の個人を識別できる情報に限られるので、個人に関連する何らかの情報であっても、個人を特定できない情報は含まれない。

典型的には、Cookieなどの識別子に紐づけられたアクセス履歴(ネット上での行動履歴)や、位置情報、メールアドレス(個人を識別できない内容のメアド)などがこれにあたるが、これらも含めてプラポリに取扱い内容を記述することも考えられる。

任意の・自主的な(つまり、法令上義務づけがされていないような)内容も取り込んでおり、よりレベルの高いプラポリ、利用者情報保護の意識の高い企業だ、ということになると思う。

この方針でいく場合は、個人情報ではなく、「利用者情報」とか「ユーザー情報」といった用語を設けたうえで、その内容を定義づけしておくことになる。

が、そこまでしている企業は、割とガッチリ大きめの企業でもない限り、なかなかないように思う。

一般的には、プラポリの対象はあくまでも個人情報としつつ、Cookie等について記述が必要な部分(例えばGoogleアナリティクス等、利用規約上必要な場合など)は、個別の項目を設けて必要な分だけ書いている、というケースが多い。

Cookieポリシーなどとして、比較的大きめの項目を設けたり、あるいは、プラポリとは別立てにしているケースもある。

また、外部サービスの利用にあたって、Cookie等の識別子を含め利用者の情報を外部に送信している場合は、外部送信規律(電気通信事業法27条の12)がかかるようになったので、そこで求められる所定事項の公表のために、これもプラポリに個別の項目を設けて書いているケースもある(外部送信規律についてプラポリとは別立てにしているケースも多くある)。

まとめると、やり方としては、

  • プラポリ全体の対象はあくまでも「個人情報」としつつ、個別に必要に応じて、「個人情報」に該当しない利用者情報に関しても記載項目を設ける
  • プラポリ全体として、「個人情報」にとどまらない範囲での、利用者情報の取り扱いのルールメイキングをする(より高いレベルのプラポリ)

ということである。

プライバシーポリシーと他の規定との関係

ひとつの会社で、ある程度限られた商品・サービスを提供している場合は、あまり気にならないが、ひとつの会社だが幅広い商品・サービスを展開していたり、グループ会社が多い場合に、全体の建付けをどうするかはひとつの悩みどころである。

例えば、ひとつの会社で複数のサービスを展開する場合に、特定のサービスについて固有の内容(典型的には、利用目的や、第三者提供に関する本人の同意の取得などの関係)を盛り込む必要がある場合、そのサービス専用のプラポリを作成したり、あるいは、そのサービスの利用規約のなかで必要事項を手当てする、といった形があり得る。

その場合、会社自体のプラポリにも、前文で、上記のような専用プラポリや利用規約の関係項目との関係を記載しておくべきと思う(前文でなくても構わないが)。他に固有の規定があってそれが優先されるときは、その旨を書いておく、ということである。

また、グループ企業の場合は、もっとバリエーションが多いと思われる。

例えば、

  • グループ全体に共通するプラポリをかなり抽象的に作成しておいて、それにプラスする建付けで個社ごとにもプラポリを作成する、
  • グループ全体のプラポリを標準的な内容で作成しておいて、それで問題ない個社ではそのまま採用し、内容的にフィットしない個社のみ別のプラポリを作成する、
  • グループ全体のプラポリを標準的な内容で作成しておいて、個社でも基本的にはそれを採用しつつ、特定のサービスに関して固有に必要な内容がある場合にスポット的に上記のような手当て(専用プラポリあるいは利用規約での言及など)をする、

といった形があり得る。また、2つ目と3つ目を混ぜた形もあり得るし、他にもあり得ると思う。

具体的には、例えば、楽天グループ株式会社の個人情報保護方針では、

1.はじめに
本方針は、楽天または本方針を採用する楽天グループの会社(以下「私たち」*といいます。)が提供するサービス(関連する付帯サービス、アプリケーション、ツール等を含み、以下「対象サービス」といいます。)をお客様がご利用になる場合に適用されます。なお、私たちおよびその他の楽天グループの会社は、サービスの内容等に応じて、本方針に付加して、または本方針とは別に、個人情報の取扱いに関して定める場合があり、この場合、当該定めが適用されますので、ご留意ください。

といった記載があり(本記事公開日2023/10/20時点)、読者がいま読んでいるプラポリの全体的な建付け、つまり、楽天グループ株式会社のプラポリであることや、これをそのまま採用するグループ会社があること、また、他の規定の有無や優先関係がわかるようになっている。

なお、上記はひとつの例として挙げただけで、内容はこの書き方で決まり、みたいな意味ではないので念のため。こういうことを気にしながら全体の交通整理を考えておき、前文にさらっと書くのがよいと思う、という意味である。

なお、前文ではなく、本文中の利用目的や第三者提供といった記載項目のなかで、他の規定がある場合はそれによる旨の言及をしておく、といった形も考えられます。

要は、他の規定との関係性を整理しておくべきということです。

結び

今回は、プライバシーポリシーの作り方ということで、前文について書いてみました。

本記事の内容は、管理人が経験したり書籍を読んだりして頭の中にある「型」みたいなもので、そうしないといけないといった話ではないですので、部分的にでも納得感があって参考になるところがあればと思います。

[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。

プライバシーポリシーの作り方に関するその他の記事

個人情報法務

2023/11/15

プライバシーポリシー|Cookie条項

個人情報法務

2023/11/6

プライバシーポリシーの作り方|第三者提供条項

個人情報法務

2023/10/24

プライバシーポリシー|利用目的条項

個人情報法務

2023/11/1

プライバシーポリシー|苦情・問合せ先条項

個人情報法務

2023/10/31

プライバシーポリシー|開示等の請求手続条項

参考文献・主要法令等

主要法令等

リンクをクリックすると、e-Gov又は個人情報保護委員会HPの掲載ページに遷移します
  • 個人情報保護法(「個人情報の保護に関する法律」)
  • 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
  • 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
  • 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
  • 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
  • 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
  • ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
  • 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
【特定分野ガイドライン】

-個人情報法務
-