>  >  > 
プライバシーポリシーとは|公表するメリットと書き方【雛形付き】
IT・ネット法務 2018.10.2 弁護士監修記事

プライバシーポリシーとは|公表するメリットと書き方【雛形付き】

弁護士法人プラム綜合法律事務所
梅澤康二 弁護士
監修記事
Pixta_35093893_s
「IT・ネット法務」が得意な弁護士に相談して悩みを解決
「IT・ネット法務」が得意な弁護士に相談して悩みを解決!

あなたのお悩みを解決!

Free_consult_btn

プライバシーポリシー(Privacy Policyとは、個人情報取扱事業者が自社における個人情報の取扱いなどについてまとめた規範のことで、取得した個人情報の利用目的や利用の範囲、第三者への提供の条件などをWEBサイトや会社案内に掲載しています。

この記事では以下のことについてご紹介します。

  • プライバシーポリシーを策定し、公表する理由
  • プライバシーポリシーに記載すべきこと

※プライバシーポリシーに類似するものとして「個人情報保護方針」という言葉がありますが、両者に違いはないものとして扱っている場合が多く、本記事ではプライバシーポリシーと表記を統一いたします。

プライバシーポリシーを公表する義務と意味について

プライバシーポリシーを公表する義務および意味とは何なのか、また義務があるとして、どのような法律を根拠としているのか、確認していきましょう。

公表する法令上の義務はない

多くの個人情報取扱事業者がプライバシーポリシーを自社の公式サイトで公表しています。実は、プライバシーポリシーを公表しなければならないという直接的な規定はありませんが、個人情報取扱事業者は個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならないとされています(個人情報保護法35条1項)。

そして、個人情報取扱事業者は、当該目的を達成するために必要な体制整備にも努める必要があるとされています。プライバシーポリシーの策定と掲示は当該体制整備の一貫として、当局の公表するガイドライン上で重要とされているものです。

公表する意味

個人情報取扱事業者がプライバシーポリシーを策定・掲示する意義は上述の通り、当局のガイドラインによりこれが強く求められているためです。

また、個人情報取扱事業者は、上記体制整備以外にも法令上、個人情報の取扱いに関し複数の義務を負います。その一つに、個人情報を取得する場合には、「利用目的について本人へ通知・公表しなくてはならない」というルールがあります。

プライバシーポリシーに、取得した個人情報の利用目的をあらかじめ記載し公表しておくことで、上記の義務を満たすことが可能であり、個々に通知する必要がなくなります。もしもプライバシーポリシーを公表していない場合は、個人情報保護法18条1項に基づき、本人に通知または公表しなければなりません(方法は問わず、口頭でもメールでもよい)。

プライバシーポリシーはガイドラインで求められるものではありますが、同時に法令上の義務を履行する役割も果たしているのです。そのため、プライバシーポリシーを策定・掲示することは個人情報取扱事業者にとって重要といえます。

個人サイトが公表する意味

アフィリエイト広告を掲載している場合、個人サイトでもプライバシーポリシーが必要になります。

理由としては、アフィリエイトをはじめる場合はアフィリエイトサービスプロバイダ(以下、ASP)に登録することになるのですが、多くのASPではアフィリエイト広告を掲載する個人サイトに各ASPが求める事項を含めたプライバシーポリシーを公表しなくてはならないと定めているからです。

プライバシーポリシーはどうやって作るのか

プライバシーポリシーは以下のように自分で作成するか、行政書士などに依頼をして作ってもらうことになります。

行政書士・弁護士に依頼する

行政書士や弁護士に自社の実態に合わせたプライバシーポリシーを作ってもらう方法です。

自分で作る

ネット上のテンプレートや、同業他社のものを参考にしたり、プライバシーポリシーの書き方の書籍を参考に作る方法です。

無料~数千円で作ることができるので安上がりですが、自社の業態に合わせて作らなければいけないため、丸々コピーしてはいけません。それでは自分でプライバシーポリシーを作成する場合、何を書けばよいのでしょうか? 次項でご説明します。

プライバシーポリシーに書くべきこと

プライバシーポリシーに何を書けばよいのかは、業務の実態と必要になる理由で異なりますので、以下の3点で確認していきましょう。

  • 個人情報保護法上の個人情報取扱事業者の義務として書くべきこと
  • プライバシーマーク取得のために書くべきこと
  • ASPを利用する場合に書くべきこと

 

個人情報保護法上の個人情報取扱事業者の義務として書くべきこと

個人情報保護法で定められているいくつかの事項に関しては、あらかじめ公表しておくことで「本人の知りうる状態」になり、その義務を果たしていることになります。

したがってプライバシーポリシーを作成する場合は、最低限、以下のことを含んだものにするといいでしょう。
 

個人情報の利用目的に関すること

個人情報保護法では、取得した個人情報の利用目的について大きく3つのことが定められています。

  • 利用目的を本人へ通知もしくは公表する(第18条)
  • 利用目的をできる限り特定すること(第15条)
  • 本人からの同意を得ずにあらかじめ特定された利用目的の達成のための範囲を越えた個人情報の利用の禁止(第16条)

・利用目的を公表する

プライバシーポリシーを多くの事業者が作成・公表する理由は、第18条の利用目的を本人へ通知もしくは公表するという点において、義務を果たせるからです。

プライバシーポリシーで利用目的を公表しない場合は、口頭・文書・メール・電話・FAXなど本人が認識できる方法で通知する必要があるので、WEBサイトでプライバシーポリシーの一部として公表しておいたほうが個々に利用目的を知らせる必要がなくなり、手間が省けます。

・利用目的をできる限り特定して明示する

プライバシーポリシーに、なぜ個人情報を取得するのかという目的を示すことで、「それ以外の目的で使用しないですよ」という宣言になります。

利用目的をできる限り特定するには、かなり具体性を持たせなければならず、本人が個人情報を何に利用されるのかが予測できる内容にしなければなりません。

例えば、「事業活動に用いるため」「提供するサービスの向上のため」といった曖昧な表現では許されず、「商品の発送のため」「メールでのサービス情報提供のため」など、何に利用されるのかを明確にする必要があります。
 

オプトアウト手続きで公表すべきこと

個人情報を第三者へ提供する場合は、あらかじめ本人から同意を得なければいけません。

しかし、直接的な同意を得なくとも、あらかじめ第三者へ提供することを通知または公表した上で、本人が反対しない場合に限り、第三者への提供を同意したとみなす制度があり、これを「オプトアウト手続き」といいます。

オプトアウト手続きであらかじめ公表すべき事項とは以下の4つです。

  • 第三者への提供を利用目的とすること
  • 第三者に提供する個人情報とはどんなものか(氏名・住所など)
  • 第三者へ提供するときの手段や方法
  • 本人による停止が可能であること

※法改正により、オプトアウト方式による場合には個人情報保護委員会に所定の届け出が必要となりましたので注意しましょう。
 

●第三者ではなく共同利用と認められるために公表すべきこと

個人情報取扱事業者から個人情報の提供を受ける場合であっても、一定の条件を満たすと第三者には該当しないことになっています(第23条)。

その条件の一つとして、取得した個人情報を共同利用する場合に以下のことを通知または公表する必要があります。

  • 共同利用する旨
  • 利用される個人情報の項目
  • 共同利用する者の範囲
  • 利用目的
  • 個人情報の管理責任者の氏名または名称

 

開示や訂正等の請求手続きや苦情の申出先

個人情報のうち、本人が開示・訂正・削除ができる権利を有しているものを保有個人データと言います。

本人からの保有個人データの開示などの手続きや取扱いに関する苦情の申出先を公表する必要がありますので、これら2つもプライバシーポリシーに記載しましょう。

参考:個人情報保護法対策室

プライバシーマーク取得の際に書くべきこと

プライバシーマークとは、付与された事業者が適切な個人情報の取扱いの体制、運用ができていると認められたことを示すマークのことで、取得するためにはプライバシーポリシーの公表が義務付けられています。

内容は何でもいいわけではなく、以下のことをプライバシーポリシーに含める必要があります。

  • 個人情報への不正アクセス・漏えい・滅失または毀損の防止と是正に関すること
  • 適切な個人情報の取得・利用・提供に関すること
  • 個人情報の取扱いに関する法令、国が定める指針・その他の規範を遵守すること
  • クレーム対応に関すること
  • 個人情報保護マネジメントシステム(PMS)の継続的改善に関すること
  • 代表者の氏名

参考:個人情報保護マネジメントシステム-要求事項

ASPを利用する際に書くべきこと

前述しましたが、アフィリエイトを始める際に利用する各ASP(アフィリエイトサービスプロバイダ)が求める事項を含むプライバシーポリシーを公表する必要があります。

ASPによって求めてくる内容が異なりますので、何を書くべきかは利用する予定のASPの規約をご確認ください。

一般的なプライバシーポリシーの雛形

一般的な、個人情報保護法の規定に沿ったプライバシーポリシーのサンプルです。

はじめに各種法令を遵守することを宣言した上で、個人情報の取扱いに関することを記載しています。

サンプル

プライバシーポリシー(または個人情報保護方針) 
当社は、当社が取得した個人情報の取扱いに関し、個人情報の保護に関する法律、個人情報保護に関するガイドライン等の指針、その他個人情報保護に関する関係法令を遵守します。

.個人情報の安全管理
当社は、個人情報の保護に関して、組織的、物理的、人的、技術的に適切な対策を実施し、当社の取り扱う個人情報の漏えい、滅失又はき損の防止その他の個人情報の安全管理のために必要かつ適切な措置を講ずるものとします。

.個人情報の取得等の遵守事項
当社による個人情報の取得、利用、提供については、以下の事項を遵守します。

(1)個人情報の取得
当社は、当社が管理するインターネットによる情報提供サイト(以下「本サイト」といいます。)の運営に必要な範囲で、本サイトの一般利用者(以下「ユーザー」といいます。)又は本サイトに広告掲載を行う者(以下「掲載主」といいます。)から、ユーザー又は掲載主に係る個人情報を取得することがあります。

(2)個人情報の利用目的
当社は、当社が取得した個人情報について、法令に定める場合又は本人の同意を得た場合を除き、以下に定める利用目的の達成に必要な範囲を超えて利用することはありません。

①本サイトの運営、維持、管理

②本サイトを通じたサービスの提供及び紹介

③本サイトの品質向上のためのアンケート

(3)個人情報の提供等
当社は、法令で定める場合を除き、本人の同意に基づき取得した個人情報を、本人の事前の同意なく第三者に提供することはありません。なお、本人の求めによる個人情報の開示、訂正、追加若しくは削除又は利用目的の通知については、法令に従いこれを行うとともに、ご意見、ご相談に関して適切に対応します。

4 .個人情報の利用目的の変更
当社は、前項で特定した利用目的は、予め本人の同意を得た場合を除くほかは、原則として変更しません。但し、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲において、予め変更後の利用目的を公表の上で変更を行う場合はこの限りではありません。

.個人情報の第三者提供
当社は、個人情報の取扱いの全部又は一部を第三者に委託する場合、その適格性を十分に審査し、その取扱いを委託された個人情報の安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行うこととします。

.個人情報の取扱いの改善・見直し
当社は、個人情報の取扱い、管理体制及び取組みに関する点検を実施し、継続的に改善・見直しを行います。

.個人情報の廃棄
当社は、個人情報の利用目的に照らしその必要性が失われたときは、個人情報を消去又は廃棄するものとし、当該消去及び廃棄は、外部流失等の危険を防止するために必要かつ適切な方法により、業務の遂行上必要な限りにおいて行います。

.苦情や相談の担当窓口
当社は、個人情報の取扱いに関する担当窓口及び責任者を以下の通り設けます。

【株式会社○○】
〒 ○○○-○○○○
東京都新宿区1-2-3 ○○ビル10階
Tel:○○-○○○○-○○○○
個人情報苦情・相談窓口責任者 IT太郎

事業者によってはもう少し具体性をもった内容が書かれることもあり(サービスとは具体的になにか、提供する第三者とは誰かなど)、会社のサービスの実態に合わせて作成する必要があります。

そのため、次項でも詳しくお伝えしますが、自分で作ったプライバシーポリシーは一度弁護士や行政書士にチェックしてもらい、自社が使用するものとして、よりふさわしい内容のプライバシーポリシーを用意するといいでしょう。

プライバシーポリシーの作成やチェックは専門家への依頼が有効

弁護士・行政書士にプライバシーポリシーの作成もしくはチェックを依頼できます。以下ではその場合のメリットや費用についてご紹介していきます。

専門家に作成やチェックを依頼するメリット

作成もしくはチェックを弁護士や行政書士に依頼するメリットは、事業実態に合わせた内容のプライバシーポリシーを作ることができる点です。

アフィリエイターだけでなく、中小の事業者でも、プライバシーポリシーを本やネットの雛形、同業他社のものを参考にして作ることがあるそうですが、自力で作ったプライバシーポリシーが、必ずしも個人情報保護法の義務を満たしていたり、事業実態に合っていたりするとは限りません。

同業他社を参考にしたのであれば、その会社とまったく同じサービスを提供しているわけではないでしょうから、余計に内容の正しさに不安があります。

作成やチェックを依頼する際の費用

プライバシーポリシーの作成依頼にかかる費用は1万5,000円~2万円程度ですが、相談先の事務所によってもちろん異なりますし、ボリュームによっても異なります。

チェックするだけであればもう少し安く、1万円ほどです。ただしチェックした結果、構成から作り直すようなレベルのものであった場合は、作成をお願いしたときと同じぐらいの費用になる可能性があります。

まとめ

プライバシーポリシーについては、書籍や雛形を参考に、書き方を押さえた上で自分で作ることも手段としてはあり得ます。ただし、1万5,000円程度でより適切なプライバシーポリシーを作成してもらえることを考えると、依頼も検討してみたほうがいいでしょう。

この記事の監修者
弁護士法人プラム綜合法律事務所
梅澤康二 弁護士 (第二東京弁護士会)
アンダーソン・毛利・友常法律事務所を経て2014年8月にプラム綜合法律事務所を設立。企業法務から一般民事、刑事事件まで総合的なリーガルサービスを提供している。

SNSで記事をシェアする

相護士ナビ編集部

本記事はIT弁護士ナビを運営する株式会社アシロの編集部が企画・執筆を行いました。 ※IT弁護士ナビに掲載される記事は弁護士が執筆したものではありません。
Icon_column_white カテゴリからコラムを探す
Sidebar_writer_recruit