プライバシーポリシーとは？公表するメリットと書き方【雛形付き】

プライバシーポリシー（Privacy Policy）とは、個人情報取扱事業者が自社における個人情報の取扱いなどについてまとめた規範のことで、取得した個人情報の利用目的や利用の範囲、第三者への提供の条件などをWEBサイトや会社案内に掲載しています。

この記事では以下のことについてご紹介します。

• プライバシーポリシーを策定し、公表する理由
• プライバシーポリシーに記載すべきこと

※プライバシーポリシーに類似するものとして「個人情報保護方針」という言葉がありますが、両者に違いはないものとして扱っている場合が多く、本記事ではプライバシーポリシーと表記を統一いたします。

今すぐ無料相談・電話相談OKの弁護士が見つかる！

ベンナビITで
IT・ネット法務に強い弁護士を探す

北海道・東北	北海道 青森 岩手 宮城 秋田 山形 福島
関東	東京 神奈川 埼玉 千葉 茨城 群馬 栃木
甲信越・北陸	山梨 新潟 長野 富山 石川 福井
東海	愛知 岐阜 静岡 三重
関西	大阪 兵庫 京都 滋賀 奈良 和歌山
中国・四国	鳥取 島根 岡山 広島 山口 徳島 香川 愛媛 高知
九州・沖縄	福岡 佐賀 長崎 熊本 大分 宮崎 鹿児島 沖縄

▶︎あなたの弁護士必要性を診断スタート

▶︎IT問題に関する質問をする

プライバシーポリシーを公表する義務と意味について

プライバシーポリシーを公表する義務および意味とは何なのか、また義務があるとして、どのような法律を根拠としているのか、確認していきましょう。

公表する法令上の義務はない

多くの個人情報取扱事業者がプライバシーポリシーを自社の公式サイトで公表しています。

実は、プライバシーポリシーを公表しなければならないという直接的な規定はありませんが、個人情報取扱事業者は個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならないとされています(個人情報保護法34条2項)。

そして、個人情報取扱事業者は、当該目的を達成するために必要な体制整備にも努める必要があるとされています。

プライバシーポリシーの策定と掲示は当該体制整備の一貫として、当局の公表するガイドライン上で重要とされているものです。

公表する意味

個人情報取扱事業者がプライバシーポリシーを策定・掲示する意義は上述の通り、当局のガイドラインによりこれが強く求められているためです。

また、個人情報取扱事業者は、上記体制整備以外にも法令上、個人情報の取扱いに関し複数の義務を負います。

その一つに、個人情報を取得する場合には、「利用目的について本人へ通知・公表しなくてはならない」というルールがあります。

プライバシーポリシーに、取得した個人情報の利用目的をあらかじめ記載し公表しておくことで、上記の義務を満たすことが可能であり、個々に通知する必要がなくなります。

もしもプライバシーポリシーを公表していない場合は、個人情報保護法21条1項に基づき、本人に通知または公表しなければなりません(方法は問わず、口頭でもメールでもよい)。

プライバシーポリシーはガイドラインで求められるものではありますが、同時に法令上の義務を履行する役割も果たしているのです。

そのため、プライバシーポリシーを策定・掲示することは個人情報取扱事業者にとって重要といえます。

個人サイトが公表する意味

アフィリエイト広告を掲載している場合、個人サイトでもプライバシーポリシーが必要になります。

理由としては、アフィリエイトをはじめる場合はアフィリエイトサービスプロバイダ(以下、ASP)に登録することになるのですが、多くのASPではアフィリエイト広告を掲載する個人サイトに各ASPが求める事項を含めたプライバシーポリシーを公表しなくてはならないと定めているからです。

プライバシーポリシーはどうやって作るのか

プライバシーポリシーは以下のように自分で作成するか、行政書士などに依頼をして作ってもらうことになります。

行政書士・弁護士に依頼する

行政書士や弁護士に自社の実態に合わせたプライバシーポリシーを作ってもらう方法です。

自分で作る

ネット上のテンプレートや、同業他社のものを参考にしたり、プライバシーポリシーの書き方の書籍を参考に作る方法です。

無料～数千円で作ることができるので安上がりですが、自社の業態に合わせて作らなければいけないため、丸々コピーしてはいけません。

それでは自分でプライバシーポリシーを作成する場合、何を書けばよいのでしょうか？ 次項でご説明します。

プライバシーポリシーに書くべきこと

プライバシーポリシーに何を書けばよいのかは、業務の実態と必要になる理由で異なりますので、以下の3点で確認していきましょう。

• 個人情報保護法上の個人情報取扱事業者の義務として書くべきこと
• プライバシーマーク取得のために書くべきこと
• ASPを利用する場合に書くべきこと

個人情報保護法上の個人情報取扱事業者の義務として書くべきこと

個人情報保護法で定められているいくつかの事項に関しては、あらかじめ公表しておくことで「本人の知りうる状態」になり、その義務を果たしていることになります。

したがってプライバシーポリシーを作成する場合は、最低限、以下のことを含んだものにするといいでしょう。 

個人情報の利用目的に関すること

個人情報保護法では、取得した個人情報の利用目的について大きく3つのことが定められています。

• 利用目的を本人へ通知もしくは公表する(第21条)
• 利用目的をできる限り特定すること(第17条)
• 本人からの同意を得ずにあらかじめ特定された利用目的の達成のための範囲を越えた個人情報の利用の禁止(第21条2項)

・利用目的を公表する

プライバシーポリシーを多くの事業者が作成・公表する理由は、利用目的を本人へ通知もしくは公表するという点において、義務を果たせるからです。

プライバシーポリシーで利用目的を公表しない場合は、口頭・文書・メール・電話・FAXなど本人が認識できる方法で通知する必要があるので、WEBサイトでプライバシーポリシーの一部として公表しておいたほうが個々に利用目的を知らせる必要がなくなり、手間が省けます。

・利用目的をできる限り特定して明示する

プライバシーポリシーに、なぜ個人情報を取得するのかという目的を示すことで、「それ以外の目的で使用しないですよ」という宣言になります。

利用目的をできる限り特定するには、かなり具体性を持たせなければならず、本人が個人情報を何に利用されるのかが予測できる内容にしなければなりません。

例えば、「事業活動に用いるため」「提供するサービスの向上のため」といった曖昧な表現では許されず、「商品の発送のため」「メールでのサービス情報提供のため」など、何に利用されるのかを明確にする必要があります。 

オプトアウト手続きで公表すべきこと

個人情報を第三者へ提供する場合は、あらかじめ本人から同意を得なければいけません。

しかし、直接的な同意を得なくとも、あらかじめ第三者へ提供することを通知または公表した上で、本人が反対しない場合に限り、第三者への提供を同意したとみなす制度があり、これを「オプトアウト手続き」といいます。

オプトアウト手続きであらかじめ公表すべき事項とは以下の4つです。

• 第三者への提供を利用目的とすること
• 第三者に提供する個人情報とはどんなものか(氏名・住所など)
• 第三者へ提供するときの手段や方法
• 本人による停止が可能であること

オプトアウト方式による場合には個人情報保護委員会に所定の届け出が必須となっているので注意しましょう。
 

●第三者ではなく共同利用と認められるために公表すべきこと

個人情報取扱事業者から個人情報の提供を受ける場合であっても、一定の条件を満たすと第三者には該当しないことになっています。

その条件の一つとして、取得した個人情報を共同利用する場合に以下のことを通知または公表する必要があります。

• 共同利用する旨
• 利用される個人情報の項目
• 共同利用する者の範囲
• 利用目的
• 個人情報の管理責任者の氏名または名称

開示や訂正等の請求手続きや苦情の申出先

個人情報のうち、本人が開示・訂正・削除ができる権利を有しているものを保有個人データと言います。

本人からの保有個人データの開示などの手続きや取扱いに関する苦情の申出先を公表する必要がありますので、これら2つもプライバシーポリシーに記載しましょう。

プライバシーマーク取得の際に書くべきこと

プライバシーマークとは、付与された事業者が適切な個人情報の取扱いの体制、運用ができていると認められたことを示すマークのことで、取得するためにはプライバシーポリシーの公表が義務付けられています。

内容は何でもいいわけではなく、以下のことをプライバシーポリシーに含める必要があります。

• 個人情報への不正アクセス・漏えい・滅失または毀損の防止と是正に関すること
• 適切な個人情報の取得・利用・提供に関すること
• 個人情報の取扱いに関する法令、国が定める指針・その他の規範を遵守すること
• クレーム対応に関すること
• 個人情報保護マネジメントシステム(PMS)の継続的改善に関すること
• 代表者の氏名

参考：個人情報保護マネジメントシステム-要求事項

ASPを利用する際に書くべきこと

前述しましたが、アフィリエイトを始める際に利用する各ASP(アフィリエイトサービスプロバイダ)が求める事項を含むプライバシーポリシーを公表する必要があります。

ASPによって求めてくる内容が異なりますので、何を書くべきかは利用する予定のASPの規約をご確認ください。

一般的なプライバシーポリシーの雛形

一般的な、個人情報保護法の規定に沿ったプライバシーポリシーのサンプルです。

はじめに各種法令を遵守することを宣言した上で、個人情報の取扱いに関することを記載しています。

事業者によってはもう少し具体性をもった内容が書かれることもあり(サービスとは具体的になにか、提供する第三者とは誰かなど)、会社のサービスの実態に合わせて作成する必要があります。

そのため、次項でも詳しくお伝えしますが、自分で作ったプライバシーポリシーは一度弁護士や行政書士にチェックしてもらい、自社が使用するものとして、よりふさわしい内容のプライバシーポリシーを用意するといいでしょう。

プライバシーポリシーの作成やチェックは専門家への依頼が有効

弁護士・行政書士にプライバシーポリシーの作成もしくはチェックを依頼できます。

以下ではその場合のメリットや費用についてご紹介していきます。

専門家に作成やチェックを依頼するメリット

作成もしくはチェックを弁護士や行政書士に依頼するメリットは、事業実態に合わせた内容のプライバシーポリシーを作ることができる点です。

アフィリエイターだけでなく、中小の事業者でも、プライバシーポリシーを本やネットの雛形、同業他社のものを参考にして作ることがあるそうですが、自力で作ったプライバシーポリシーが、必ずしも個人情報保護法の義務を満たしていたり、事業実態に合っていたりするとは限りません。

同業他社を参考にしたのであれば、その会社とまったく同じサービスを提供しているわけではないでしょうから、余計に内容の正しさに不安があります。

作成やチェックを依頼する際の費用

プライバシーポリシーの作成依頼にかかる費用は1万5,000円～2万円程度ですが、相談先の事務所によってもちろん異なりますし、ボリュームによっても異なります。

チェックするだけであればもう少し安く、1万円ほどです。

ただしチェックした結果、構成から作り直すようなレベルのものであった場合は、作成をお願いしたときと同じぐらいの費用になる可能性があります。

まとめ

プライバシーポリシーについては、書籍や雛形を参考に、書き方を押さえた上で自分で作ることも手段としてはあり得ます。

ただし、1万5,000円程度でより適切なプライバシーポリシーを作成してもらえることを考えると、依頼も検討してみたほうがいいでしょう。

今すぐ無料相談・電話相談OKの弁護士が見つかる！

ベンナビITで
IT・ネット法務に強い弁護士を探す

北海道・東北	北海道 青森 岩手 宮城 秋田 山形 福島
関東	東京 神奈川 埼玉 千葉 茨城 群馬 栃木
甲信越・北陸	山梨 新潟 長野 富山 石川 福井
東海	愛知 岐阜 静岡 三重
関西	大阪 兵庫 京都 滋賀 奈良 和歌山
中国・四国	鳥取 島根 岡山 広島 山口 徳島 香川 愛媛 高知
九州・沖縄	福岡 佐賀 長崎 熊本 大分 宮崎 鹿児島 沖縄