頻繁に見聞きする情報漏洩事件やサイバー攻撃の報道など、ユーザがサービスの利用に際して、事業者に預けた自身の個人情報が、その後どのように取扱われているのか、意識せざるを得ないシーンが近年急増しています。世間のプライバシーやセキュリティへの関心の高まりは、関連法の改正や制定にも影響しています。
個人情報保護に関して企業が定める文書は各種存在し、プライバシーポリシーや個人情報保護方針は聞いたことがある方も多いのではないでしょうか。
企業が事業活動において取得した個人情報をどのように取扱うか、方針を示す文書として存在しており、Webサイトなどで公表している企業が多いです。また、ユーザのみならず、求職者、委託先、従業員や役員などの個人情報を社内で適切に扱うためにも、明確なルールが必要であることは言うまでもありません。
この記事では、プライバシーポリシーと個人情報保護方針の違いや、どのような内容を記載すればよいのかを解説します。
プライバシーポリシーと個人情報保護方針の違い
プライバシーポリシーと個人情報保護方針は、厳密に用途や定義が分かれているわけではありません。傾向としては、サービスのユーザや利用者に向けた個人情報の取扱いの文書がプライバシーポリシー、社の内外を問わず組織としての個人情報の取扱いを定義した文書を個人情報保護方針としているケースが多いようです。ただし、用語としてどちらを使用しなければならないという決まりはありません。
プライバシーポリシーとは
Webサービスやスマホアプリなどで収集する情報や利用目的、安全管理、法令遵守、苦情・相談、開示方法などを「利用者に向けて」説明することが主な役割です。企業がどのようなポリシーで利用者の情報を取扱うのかを明確に示すことは、企業への信頼やサービス利用の安心感に繋がります。
個人情報保護方針とは
組織の内部で個人情報をどのように扱うのかを定める指針が個人情報保護方針です。基本的には「組織の規定」であり、従業員や役員に公開され、取引先や委託先、協業相手などの利害関係者も入手できるようになっている必要があります。
法律や認証制度上の要件
個人情報保護法では、プライバシーポリシーや個人情報保護方針の文書そのものを作成し、公開することを事業者の義務としていません。法的に公開が義務づけられている事項があるため、それらを網羅し、多くの企業がプライバシーポリシーとして公表する手段を取っているようです。
一方でJIS Q 15001(プライバシーマーク)取得企業は、プライバシーポリシーの作成と公表が認証制度上の要求事項として定められています。重要な項目の例をいくつか見てみましょう。
①基本方針:個人情報の保護に関する組織の基本方針を定義
②個人情報の取得、利用、提供:個人情報の取得方法、利用目的、第三者提供の方針を定義
③法令遵守:個人情報保護に関する法令等を遵守することを宣言
④安全管理措置:個人情報の漏えい、紛失、改ざんを防ぐために取る安全管理措置を定義
⑤苦情および相談への対応:個人情報に関する苦情や相談の窓口や連絡方法を定義
⑥継続的改善:個人情報保護の管理システムをどのように継続的に改善し運用するかを定義
⑦代表者の氏名:個人情報保護方針の責任の所在を明記
Webサイトでよく見かける個人情報保護方針に共通して記載されている項目であることにお気づきの方もいるかもしれません。JIS Q 15001において、個人情報保護方針に「内部向け」「外部向け」の概念がありましたが、最新の規格(JIS Q 15001:2023)では、記載事項の規定のみとなり、この区別はなくなっているようです。
自社が作成し、公開しているプライバシー関連の文書が、なんらかの法律や認証制度上の要求事項に従うことを目的とした内容になっているのか、法律上、公開が義務付けられている事項を網羅し、プライバシーポリシーという形式をとって公開している文書なのか、公表の目的を知っておくことも大切です。
また、法律や規格は随時改訂されますので、自社のプライバシーポリシーが最新の要件に沿ったものになっているか、有効に機能しているか、定期的に確認することも重要です。
プライバシーポリシーと関連する法令
プライバシー保護を規定している法律の中には、個人情報の取扱いに関する取決めや収集方法や利用目的などの情報をユーザへ公開・提供することを定めているものがあります。ここでは、「GDPR」「電気通信事業法」において、それぞれどのようなルールがあるのかを見てみましょう。
GDPR
最近では、日本の法律やプライバシーマークに対応したプライバシーポリシーとは別に主にGDPRに対応した文書として、グローバルプライバシーポリシー(またはグローバルプライバシーノーティス)を定める企業が徐々に増えてきました。GDPRでは、データ主体である利用者に対して、収集した個人データの取扱いや収集方法に関する情報提供を定めています。
第12 条 :データ主体の権利行使のための透明性のある情報提供、連絡及び書式
明瞭かつわかりやすい言葉でユーザへ提供する情報を記載し、容易にアクセスできる場所に設置することを求めています。最近では、Webサイトを訪れるとCookie利用に同意するためのバナーが表示されることが珍しくなくなりました。
多くはバナーから直接プライバシーポリシーや個人情報保護方針のページへアクセスできるようになっており、目安が1クリックで到達できる程度とされているため、「容易にアクセスができる」場所に必要な情報を法の要求に沿って掲載できていると考えられています。
また、「明瞭かつわかりやすい言葉で情報提供すること」、「子供に対する格別な配慮」を求めていることから、GDPRに対応したプライバシーポリシー(プライバシーノーティス)においては、多言語対応が重要なポイントとなってきています。
多言語対応と聞くと日本語と英語と安易に考えてしまいがちですが、事業を展開するエリアによっては、当然他の言語の対応も必要になります。
GDPRに基づくプライバシーノーティス
それでは、GDPRに対応したプライバシーポリシーには、どのような項目が網羅されていればよいのでしょうか?専門家の多くがアドバイスしているのは、GDPRの第13条「データ主体から個人データが取得される場合において提供される情報」に沿った内容を網羅することです。重要な項目の例をいくつか見てみましょう。
①管理者の情報:データを管理する組織の名前、住所、連絡先情報を明示。
②データ保護責任者の連絡先:データ保護責任者(DPO)がいる場合、その連絡先情報を記載。
③データ処理の目的と法的根拠:個人データを収集・処理する目的と、その法的根拠を明示。
④データの保存期間:個人データをどのくらい保管するかを明示
※不可能な場合は、保管期間決定の基準を提示。
⑤データ主体の権利:データ主体が持つ権利を明示。
※アクセス権、訂正権、消去権、データポータビリティ権、監督機関への異議申立ての権利など
⑥データの提供先:個人データを第三者に提供する場合、その提供先についての情報を記載。
⑦データの国際移転:データをEU外に移転する場合、その移転先と適切な保護措置を明示。
⑧苦情の申立て先:データ主体が苦情を申し立てることができる監督機関の連絡先を記載。
【関連記事】GDPR対応のポイントは、利用者の利便性の確保とプライバシーの保護!
電気通信事業法
プライバシーポリシーを作成し、それを公表することを定めています。電気通信事業法でもGDPRと同様に「利用者にとってわかりやすく記載する」ことが求められており、利用者の誤解や理解不足を生じさせないことが重要と言えるでしょう。
第十五条(プライバシーポリシー)
電気通信事業者は、プライバシーポリシー(当該電気通信事業者が個人データ等の適切な取扱いを確保する上での考え方や方針をいう。)を定め、公表することが適切である。
【引用】:電気通信事業における個人情報等の保護に関するガイドライン
重要な項目をいくつか見てみましょう。
一 電気通信事業者の氏名又は名称
二 取得される情報の項目
三 取得方法
四 利用目的の特定・明示
五 通知・公表又は同意取得の方法及び利用者関与の方法
六 第三者提供の有無
七 問合せ窓口・苦情の申出先
八 プライバシーポリシーの変更を行う場合の手続
九 利用者の選択の機会の内容、データポータビリティに係る事項
十 委託に係る事項
プライバシー関連法の整備は急ピッチで進んでおり、改正の頻度も高くなってきています。法令遵守にあたり、自社のプライバシーポリシーで定義する必要がある項目を自社の事業に沿って、じっくり検討することが大切です。自社単独での策定が難しいケースも十分に考えられます。定期的に専門家に相談する選択肢も検討しましょう。
【関連記事】改正電気通信事業法とは?概要や企業が行うべき対策をわかりやすく解説!
プライバシーポリシーと個人情報保護方針の記載項目の具体例
多くの企業が自社Webサイトなどでプライバシーポリシーや個人情報保護方針を設置しています。デジタル庁のWebサイトで公開されているプライバシーポリシーと、個人情報保護委員会のWebサイトで公開されている個人情報保護方針を参考にどのような項目が記載されているのかを整理しましょう。
共通して記載されている項目と内容のまとめ
1.基本的考え方
収集する情報の概要と運営に必要な範囲内で適切に扱う方針を記載
2.収集する情報の範囲
フォームに入力された情報を受付した際、どのような情報を収集するかを記載
また、Webサイトの閲覧状況に関する情報が自動で収集される仕組みについて説明
3.利用目的
収集した情報をどのような目的で利用するかについて記載
4.利用及び提供の制限
収集した情報がどのような場合に第三者に提供されるか、また、法的な理由がない限り目的外で利用しない制限について記載
5.安全確保の措置
情報の漏洩や不正アクセスを防ぐためにどのような対策を講じているか、また外部委託時の情報管理に関する方針を説明
6.適用範囲
プライバシーポリシーが適用される範囲を記載
7.クッキーの使用
Webサイトがクッキーを使用する目的と、どのようなツールでクッキーを使っているか、クッキーの無効化方法について記載
8. 本人に関する個人情報の開示請求方法
本人に関する個人情報の開示、請求、お問い合わせ先に関する記載
記載内容が異なる項目
デジタル庁のプライバシーポリシーでは、その他の項目としてSNSや動画コンテンツについて、閲覧者の情報が該当コンテンツの運営企業に送信されることを掲載しています。個人情報保護委員会ではSNSや動画に関する記載はなく、個人情報保護方針の改訂が行われる旨を掲載しています。いずれのプライバシーポリシーもGDPRに対応したグローバルプライバシーポリシーとしての定義ではなく、日本国内法が適用される日本国民を対象としていると考えられます。
プライバシーポリシーや個人情報保護方針を策定する際、誰を対象としたプライバシーポリシーなのか、どの法律や外部認証の要求事項に対応したものなのかなど、目的が明確になっていることが重要です。
具体的な検討に入る前に自社の事業やサービスで取得している情報やデータを棚卸し、個人情報の定義(ポリシー内におけるCookieなどの個人関連情報の取扱い等)、個人情報の入手経路、管理方法、保管場所、第三者提供の有無等、取得から保管、管理、廃棄までのプロセスを整理しておくと後の検討が進めやすくなります。
GDPRに対応したプライバシーポリシーでは、データを取得する際、データの保管期間を明示することが望ましいとされています。不要なデータを長期間保管することが情報漏洩につながるという、最近のセキュリティマネジメントのトレンドとも関係していると言えるでしょう。
【関連記事】個人情報保護法に抵触したら?漏洩の事例、企業や個人の罰則リスクを知ろう
プライバシーポリシーと個人情報保護方針はわかりやすい表現で
プライバシーポリシーと個人情報保護方針は、どちらも企業がどのように個人情報を取り扱うのかを記載する文書です。記載するべき事項や内容にも共通点が多いため、どちらか一方を作成し、利用者向けと社内の規定として兼用することも可能です。
Webサイトやアプリなどで利用者の情報を収集・活用するのであれば、遵守が必要な法律に従って公表が義務付けられている事項をプライバシーポリシーとして公開することは、事実上、事業者としての必須事項になっていると言えるでしょう。
また、法令を遵守しながら利用者の情報を収集するためには適切なツール選定も重要です。Webサイトのアクセス解析を例にとっても、個人関連情報であるクッキーを個人が特定できるデータと突合することを前提に収集しているのかどうか、クッキーを外部送信しているか否かなど、収集しているデータの種類とその利用目的、保管場所、ツールの仕様を理解していなければ、意図せずに法令違反となってしまう恐れもあります。
RTmetricsは、GDPRや改正電気通信事業法など、法令を遵守した運用を構築しやすいアクセス解析ツールです。法的リスクを抑えながらユーザの情報収集を実施し、プライバシーポリシーや個人情報保護方針の記載内容と合致したWeb運営を支援します。
ぜひご検討ください。
