企業のWebサイトには必ず「プライバシーポリシー」というページが設置されています。これは何のために設けられているのでしょうか?
ここではプライバシーポリシーの目的や作り方のポイント、必ず明記したい記載事項について解説します。これからコーポレートサイトやネットショップをオープンしようとご検討中の方は、ぜひご覧ください。
プライバシーポリシーとは?
プライバシーポリシーは「第三者の個人情報を保護するための方針」という意味です。
実際にはおもにWebサイト、Web関連の取引においてこのプライバシーポリシーが用いられるケースが多いでしょう。
プライバシーポリシーには「個人情報保護法」という法律が大きく関わっています。
個人情報保護法とは、人の個人情報を不当に要求したり、転用・悪用・流出させたりしないための法律です。
よってプライバシーポリシーは「個人情報を守るために企業や個人がどのような方針をとっているか」を示すもの、ともいえるでしょう。
プライバシーポリシー設置は義務ではない?その目的・役割とは?
プライバシーポリシーの目的は「個人情報保護法で決められた義務(個人情報を守る)を遂行し、かつそれを周知すること」です。
プライバシーポリシーは法律で義務化されているものではありません。
しかし実際には「個人情報を守る企業・個人」であることをアピールするツールとして、実質的に義務として設置されています。
プライバシーポリシーの目的・役割
- 「個人情報を法令にのっとって扱う」という意思表示のツール
- 「個人情報を不当に扱わない=クリーンな企業である」というアピールになる
- プライバシーポリシーページの存在そのものによって安心感を与える
たとえば自分がWebサイト経由で資料請求をしたとき、「個人情報がどのように扱われるのか?」「他の事業者に電話番号などを横流しされないか?」というふうに、不安がよぎることもあるでしょう。
しかし、プライバシーポリシーで「提供された個人情報の扱い」について明記されていれば安心できますし、扱われる範囲・使用目的などを納得のうえで申し込みができます。
プライバシーポリシーと「Pマーク」
Pマーク(プライバシーマーク)は、第三者機関の認定によって「個人情報管理が一定の水準を超えている」と認められた企業に付与されるマークです。
プライバシーポリシーは、このPマークの取得に必要な「個人情報保護マネジメントシステム(PMS)」の構築をする際の“指標、企業の方針”となるものです。
よってPマークを取得したいときは、プライバシーポリシーを設定し、それを達成するための目標(個人情報保護目標)、および目標達成のための計画を策定・実行しなくてはなりません。
Pマーク認定された企業は「個人情報の取り扱いに長けていて、信頼性が高い」という印象を与えられます。
取得することで、取引においても有利にはたらく可能性が高まるでしょう。
参考リンク:プライバシーマーク制度|一般財団法人日本情報経済社会推進協会(JIPDEC)
プライバシーポリシーと利用規約はどう違う?
プライバシーポリシーと混同されやすいのが「利用規約」です。
企業などのWebサイトではこの2つが別々に掲載されていたり、1つのページに併記されていたりするのを見かけたことがあるかと思います。
先述のとおり、プライバシーポリシーとは「作成元が第三者の個人情報を保護するための方針」を明らかにしたものです。
いっぽう利用規約は、「サービスの利用に関するルール」を指します。
順守するのはあくまでも「利用者」であり、利用条件や利用料金、禁止事項、トラブル発生の際の解決方法など“利用者に守ってほしい・知っていてほしいルール”を記載します。
似ているようでその性質、対象者はまったく異なりますので、覚えておきましょう。
プライバシーポリシーの作り方は?流れや記載事項をチェック
プライバシーポリシーを作成する場合、まったくのゼロから作成するとなると多くの時間を要します。
そのため、多くの企業ではひな形をもとに自社へ沿った内容、方針へと変更していく形式が一般的です。
ひな形には特定の様式がありませんので、他社のプライバシーポリシーを参考にするほか、一般配布されているひな形を活用する方法もあります。
ここでは参考として、経済産業省の「個人情報の取り扱い方針(ひな形)」を掲載します。
参考:個人情報の取扱方針(ひな形) – 経済産業省
経済産業省のひな形には記載例なども掲示されていますので、参考にしてみてください。
プライバシーポリシーのベースとなるひな形を準備したら、以下の流れで作成を進めていきましょう。
- 社内保有の個人情報の把握
- 自社サービス内における「個人情報の利用目的」をはっきりさせる
- ひな形をもとに作成、変更を加える
- 重要事項が含まれているか確認する
社内保有の個人情報の把握
プライバシーポリシーには扱うすべての個人情報についての保護方針を記載する必要があります。
そのため、まずは社内で扱っている個人情報の種類、および提供者をチェックしましょう。
【個人情報の例】
- 氏名
- 住所
- 電話番号
- メールアドレス
- 振込先の金融機関情報
- クレジットカード情報 など
【個人情報の提供者】
- 顧客
- 取引先(外注先も含む)
- 従業員
- 求職者
これらを全て洗い出して整理し、それぞれを適切に管理するにはどうすればよいのか決めていきます。
自社サービス内における「個人情報の利用目的」をはっきりさせる
個人情報の種類や提供者がわかったら、「取得してどのような目的で利用したいのか」を明確にします。
たとえば「新作商品のお知らせ」のためにメールアドレスを取得したい場合には、その旨を利用目的としてプライバシーポリシーに記載します。
このとき、取得した個人情報を、プライバシーポリシーに記載していない目的に使うことはできません。
利用目的は必ずプライバシーポリシーに記載しなくてはならない事項ですので、あやふやにしたり、過不足があったりといったことのないよう気をつけましょう。
ひな形をもとに作成、変更を加える
プライバシーポリシーに記載する内容が固まってきたら、ひな形を適宜変更しつつ作成していきます。
ひな形はあくまでもベースとなるものであり、自社の事情に応じて変更してもかまいません。
また追加、削除などもできます。自社にとって必要な内容をすべて盛り込めるよう、内容を精査・記入していきましょう。
重要事項が含まれているか確認する
プライバシーポリシーに欠かせない項目として「利用目的」を挙げましたが、それ以外にもさまざまな項目が必要になります。
- 個人情報の利用目的
- オプトアウトによる第三者提供
- 保有する個人データの開示義務
- 個人データの共同利用
- 個人データの安全管理措置
- 保有個人データの取扱いに関する相談・苦情の連絡先
- 匿名加工情報
個人情報の利用目的
先述のとおり、プライバシーポリシーには「個人情報を何の目的で利用するのか」を明記する必要があります。
オプトアウトによる第三者提供
個人情報を本人の同意なく、勝手に第三者へ提供することはできません。
ただし個人情報保護法では、「オプトアウト」を利用することで、同意なく第三者への個人情報提供が可能になる規定があります。
オプトアウトを利用する場合、本人の請求で提供をストップするのを前提とし、かつ個人情報保護委員会に届け出を出すなどの条件をクリアする必要があります。
オプトアウトを利用する場合は、プライバシーポリシーにもその旨を盛り込みましょう。
保有する個人データの開示義務
「保有する個人データ」とは、企業側が保有し、扱う権限を持っている個人データです。
ネットショップでたとえると、通販を利用した人の個人情報やネット会員情報、問い合わせをしてきた人の個人情報などが該当します。
保有個人データは企業側に扱う権限があるため、本人に代わって企業が開示、訂正、追加、消去、利用停止などができます。
ただしそのためには、企業の名称、および保有個人データの利用目的を公表する必要があるのです。
なお、企業が保有する個人データは、本人が開示請求、利用停止、消去を求められるようになっています。
個人データの共同利用
提供された個人データを提携先、グループ会社等と共有する場合は、以下を公表、または通知する必要があります。
- 個人データの共同利用する旨
- 共同利用する個人データ項目の詳細
- 共同利用先の事業者とその範囲
- 事業者住所、代表者氏名
個人データの安全管理措置
個人データを扱う場合、その漏洩、滅失を防ぐため、サイバーセキュリティ対策を行う必要があります。
プライバシーポリシー内でも、漏洩や滅失を防ぐ「安全管理措置」について公表しましょう。
保有個人データの取扱いに関する相談・苦情の連絡先
プライバシーポリシーには、企業が保有する個人データの開示、および取り扱いへの相談、苦情の連絡先を公表します。
- 企業の名称
- 連絡先(部署や担当者名、電話番号、メールアドレス等)
匿名加工情報
匿名加工情報とは、個人情報を加工して“特定の個人であること”が分からなくなった情報です。
匿名加工情報は個人情報保護法において「個人情報」として扱われなくなり、一般的・かつ不特定多数に当てはまる「情報」として処理されるようになります。
企業において匿名加工情報を作成した場合、加工情報の項目を公表する義務があります。
また匿名加工情報を作成する可能性がある場合は、あらかじめプライバシーポリシーに「加工後は公表する」という旨を記載する必要があるのです。
プライバシーポリシーで適切な運営を目指そう
ビジネスにおいてWebサイトが必須の現代、Webサイトに掲載するプライバシーポリシーの目的、および個人情報保護法についても理解を深める必要があります。
またプライバシーポリシーは“作りっぱなし・掲載しっぱなし”では意味がありません。プライバシーポリシーの内容に沿った、適切な運営が求められるからです。
プライバシーポリシーを作成する際は、ひな型を使うほか、法律の専門家に相談しながら作成するのがベストです。いま一度理解を深めるとともに、プライバシーポリシーに沿った正しい運営を続けていきましょう。
