プライバシーポリシーとは?作成義務は?
- 2022/3/2
- 法令コラム
会社に入社すると必ず耳にする「プライバシーポリシー」という言葉で、なんとなく個人情報に関する取り決めのようなものであることは知っているかもしれませんが、正確な定義が言える方は意外と少ないかもしれません。
今回は、「プライバシーポリシー」について解説します。
プライバシーポリシーとは?作成義務は?
プライバシーポリシーとは、「企業の個人情報保護方針」のことです。
そして企業は、個人情報保護法を根拠に、その作成義務を負っています。
具体的には、①個人情報の利用目的を本人に伝える義務、②個人データの開示や訂正の手続きを公表する義務になります。
根拠条文はこちら:個人情報保護法第18条、個人情報保護法第27条
企業は事業を行うにあたり、必ずと言っていいほど個人情報を取得する場面に出くわします。
社内において従業員の氏名や顧客名簿を管理しているという場合は個人情報を取得しているといえますし、近年導入者数を爆発的に増やしている電子契約サービスを提供している企業や、社内の管理フローを効率的に取りまとめるためのクラウドサービスを提供している企業であれば、サービスの契約相手である利用者企業の従業員の氏名やメールアドレス、場合によっては住所などの個人情報を取得します。
こういった実情に照らすと、企業は個人情報保護方針つまり「プライバシーポリシー」を作成する義務を負っているといえます。
世界的にもGDPR(General Data Protection Regulation:一般データ保護規則)をはじめ、個人情報の取り扱いに関する規定が強化されてきている昨今。企業は、自社のレピュテーションリスクという観点からもプライバシーポリシーを個人情報保護法やガイドラインに準拠した形式で明確に規定する必要があります。
プライバシーポリシーを作成する際の一般的な記載事項と注意点
【一般的な記載事項】
弁護士法人の推奨している一般的な記載事項は以下の通りとされています。
(1)個人情報取り扱いに関する基本方針
(2)定義
(3)事業者の名称、住所、法人代表者氏名
(4)個人情報の取得方法
(5)個人情報の利用目的
(6)個人データを安全に管理するためにとった措置の内容
(7)個人データの共同利用について
(8)個人データの第三者提供について
(9)個人データの開示、訂正等の手続きについて
(10)個人データの利用停止等について
(11)個人情報の取扱いに関する相談や苦情の連絡先
(12)SSLセキュリティについて
(13)Cookie(クッキー)について
引用元:https://kigyobengo.com/media/useful/1354.html#i-4
【注意点】
プライバシーポリシーを作成する際は上記事項を網羅しているかという点に加えて、個人情報の利用目的が本当に自社の事業と適合しているかといった内容面にも気を付ける必要があります。
プライバシーポリシーを作成することとなった担当者は、事業内容と、個人情報の利用目的や、第三者提供の有無、セキュリティ対策などを会社の幹部や事業担当者にしっかりヒアリングをし、実態を反映するようにしましょう。
さらに会社の事業分野によっては、上記以外においても、金融や医療分野をはじめ、業界によっては独自の法律やガイドラインが存在する場合がありますので、自身の事業分野に応じて「遵守しなくてはならない規制がないか」という目線で常にアンテナを張っておく必要があります。
具体的な例だと、ビジネスチャットを運営する企業であれば、個人情報保護法以外にも電気通信事業法が関与することもありますし、動画配信をするのであれば、放送法が問題になる可能性もあります。
プライバシーポリシーを作成する担当者になった方は、個人情報保護法だけでなく、自社の事業内容を把握したうえで必要な法律やガイドラインに目を向けるようにしましょう。
プライバシーポリシーを作成するうえで参考になるサイト
プライバシーポリシーを作成するには、インターネット上で掲載されている雛形を使うことをお勧めします。
記載例についてはさまざまな弁護士事務所が雛型や解説を出していますが、さまざまなサイトがありますので、弁護士などの法律の専門知識をもつ方が作成しているか、解説がしっかりと書かれているかということをチェックしたうえで使用しましょう。
・トップコート国際法律事務所 HPにて解説
・プライバシーポリシーとは?作成ポイントは?【ひな形付】(弁護士法人 直法律事務所運営のHPより)
・【ひな形あり】プライバシーポリシーを作成する場合の留意点(TF法律事務所事務所の運営HPより)
プライバシーポリシーを作成した後の注意点
雛形を利用することでプライバシーポリシーを効率的に作成することができますが、プライバシーポリシーは作成してそれで終わりではありません。
新規サービスを開始する場合や、会社を分割したりと組織再編を行う場合など、事業の動きに合わせて、作成したプライバシーポリシーが実態を反映したものになっているかという点を常に確認しておく必要があります。
せっかくプライバシーポリシーを作成しても、範囲外になっていたのでは意味がありません。例えばですが、「新規事業をはじめたが、対応した記載になっていなかった」、あるいは「事業部を子会社としてスピンアウトした際に、利用範囲にその新しい子会社が含まれていないまま個人情報を取り扱ってしまった」などというミスがないように、事業が動く際は常にプライバシーポリシーを意識するようにしましょう。