見出し画像

I ウエブサイトのプライバシー対策 御社のプライバシーポリシーは大丈夫?

Privacy JP note(STEKWIRED)

御社のプライバシーポリシーは大丈夫?


このページはウエブサイトの経営・運営・開発などの担当者の方が個人情報を利用する際のプライバシー対策についていくつかのテーマでご紹介しています。ページの最後には、お立場ごとへのアドバイスを載せております。専門すぎる内容や実務的な内容や技術的な記載はありません。このテーマに関することについて気になっていることがあれば、ウエブサイト運営事業者むけの無料で相談の対応をしておりますのでご利用ください。

ご覧の皆様が利用するサイトにはほぼ必ずプライバシーポリシーのページがあると思います。プライバシーポリシーのページをご覧になるかどうかはともかくプライバシーポリシーが存在しないウエブサイトは怪しい印象を持ちますよね。ウエブサイトでよく見かけるプライバシーポリシーについて考えてみましょう。

-書いているのはSTEKWIREDプライバシーコンサルタント
国内で唯一のプライバシー認証TRUSTeと個人情報保護資格CPAの認定機関として、OECDのプライバシー8原則の自己情報コントロール権のコンサルティングやプライバシー意識があがるわかりやすい研修、クライアント相談のソリューションとしてGDPRのプライバシー7原則のプライバシーリスク分析やちょうど良いフォーム改善やGDPR対応プライバシーステートメントを支援しています。急激な社会変化に適応できるようクライアント担当者を中心としたプライバシー対策を心がけています。-

1.プライバシーポリシーが無いサイトはヤバい?

プライバシーポリシーの公表の義務はありません

個人情報保護法が2005年に施行されており、企業には個人情報保護の義務があります。プライバシーポリシーは代表者の経営方針なので個人情報保護法では公表の義務はありません。(※義務ではありませんが、政府の基本方針でプライバシーポリシーの公表は推奨されています。)

公表の義務があるのは、個人情報の取り扱いで本人以外から収集した個人情報がある場合や本人の個人情報の開示や訂正などの方法などです。プライバシーポリシーは法的に不要ですが、プライバシー保護の意識がない企業だとするとヤバい可能性があります。

炎上したらプライバシーポリシーもチェックされます

仮に企業の炎上があった場合には、SNSの拡散やワイドショーなどでも即日に取り上げられ国民の関心があつまります。炎上に関連した不祥事を探す国民の目によりウェブサイトのプライバシーポリシーもチェックされます。

具体例は差し控えますが、炎上している組織が利用目的を明記しないで個人情報を収集している場合などにウエブサイトにプライバシーポリシーが存在しないことが追加の炎上の要素になったりします。

ユーザーのプライバシー意識は高まっているようです

個人情報保護の意識が高いユーザーは、プライバシーポリシーの有無をチェックして、サイトの選考をしている可能性もあります。この場合にプライバシーポリシーがないサービスにことについて問い合わせフォームで連絡することはないのですがSNSなどで拡散することがあると聞きます。炎上系のニュースは社会を監視している人たちの投稿がきっかけになります。

過去にあった「個人情報とおしっこはもらしません」

炎上になりませんでしたが、十数年前にあるIT事業者のプライバシーポリシーが“個人情報とおしっこはもらしません”としていました。(※名称も忘れてしまいましたが、現在は変更されていると思います。)

企業名は忘れてしまいましたが、あまりにふざけているので覚えています。個人情報のトラブルがあったときにその会社のプライバシーポリシーがおしっこはもらしませんであれば確実に炎上しているでしょう。

プライバシーマーク事業者であっても事故を防げない

プライバシーマークの登録事業者も17 ,555社は(2023年9月30日時点)あるのですが年間2000件あまりの個人情報の事故を起こしています。JIS規格のマネジメントシステムを経営方針に組み入れて運用している会社でも事故を起こすことがあります。個人情報流出した際には防ぐための安全管理があったかどうかに注目が集まります。

安全管理をしていても防げない内容であったのか、安全管理がずさんであったのかは義務違反の判断になります。プライバシーポリシーがないならば、安全管理の不備があったとして行政指導や訴訟に発展した場合には慰謝料の金額が高くなる可能性があります、ヤバいですね。

  • プライバシーポリシーの公表は法的義務はない。(ただしプライバシー取扱いの公表は必要)

  • 不祥事があるとウエブサイトに注目が集まる

  • 個人情報の事故があると経営責任が問われるその際にポリシーが確認される

  • ふざけたポリシーはかなり危険

2.プライバシーポリシーが他社と似ている問題

理想とする経営方針であるならば見習うのは良いかも

他社からコピーしたプライバシーポリシーを自社の経営方針とする価値があるかどうかと公表してその内容にコミットできるのかという点が問題です。事業内容が異なれば扱う個人情報も変わります。

同業他社であっても個人情報の取り扱いの完全一致はないでしょうし、運営体制も異なります。理想とする会社があって、経営方針も取り入れたいというケースの場合は取り入れてよいかもしれませんが、コピーもとのプライバシーポリシーが特段に優れたものでなければやめておいたほうが良いです。

同じプライバシーポリシーで問題ないのはグループ会社

グループ企業で主たる事業を持つ親会社のプライバシーポリシーを傘下の会社が持つのは当然のことです。ホールディングのように資産管理の会社は事業活動をしていないのでそこと一緒にすることは必要はありません。

同一のプライバシーポリシーは経営の支配関係があるものは同一内容で事業ごとの代表者の署名のみが異なるというのはガバナンスとして正しいですね。

プライバシーマーク事業者はプライバシーポリシーが似てしまう

また、他社とのプライバシーポリシーが似てしまうケースといえばプライバシーマーク登録事業者になった場合です。プライバシーマークはJISQ15001:2017の規定によって公表すべき項目と内容が決まっています。プライバシーマークの取得をする際に外部のコンサルティング会社を利用することもあると思います。

プライバシーマーク登録事業者のプライバシーポリシーはどうしても似通ってしまいます。ただ、プライバシーマーク取得する事業者の事業内容の記載があるため、他社と完全な文書に一致にはなりません。
・理想とする企業を見習ってプライバシー経営方針を取り入れるのは有りでしょう
・グループ会社は経営方針が同一なのは問題なし
・プライバシーマーク登録事業者はJISQ規格によって似てしまう

3.プライバシーポリシーの他社のコピーの危険性

ウェブサイト制作会社へのプライバシーポリシーの用意を無茶ぶり

以前にプライバシーポリシーが無いクライアントがウエブサイト制作会社にプライバシーポリシーのひな形のテキストを用意させるケースがあると聞いたことがあります。案件を受注した後にプライバシーポリシーのテキスト原稿をクライアントに依頼したところなかった場合にあるようです。(当社の場合はプライバシーポリシー支援事業として受注しているので、プライバシー支援のない会社の例です。)

経営方針は代表者の使用者責任を含んでいるため、プライバシーコンサルティングではなく、制作している方に用意をしてもらうのは無茶ぶりで、且つ、用意されたテキストが経営方針として合致するかどうかなどを考えると問題がありそうです。

ウエブサイト制作会社にまかせる案件ではありません。では、個人情報保護をしている会社のプライバシーポリシーであれば問題ないのでしょうか。

プライバシーマーク事業者のプライバシーポリシーのコピーは危険

クライアントからプライバシーポリシーがないため、プライバシーポリシーのテキストを依頼されて、ウエブサイト制作会社がプライバシーマーク登録事業者のプライバシーポリシーを持ってきたとします。

実際に17000サイトがほぼ同じようなプライバシーポリシーですし、どこの企業からとっても同じような感じです。

プライバシーマークをとらずにJISQ15001準拠は不自然

プライバシーマーク登録事業者のプライバシーポリシーは、社内の個人情報保護経営をするという経営方針になっています。かならず、根拠としてのJISQ15001:2017への準拠を宣言しています。経営方針としては、プライバシーマーク制度にのっとることは良いことですが、JISQ規格の審査合格のための仕組みや運用の取り組みは、プライバシーマークを取得していない企業が自然に実現することは不自然です。

やってないことを宣言するとだましたことになる

プライバシーポリシーのテキスト依頼したクライアント企業は、プライバシーマーク水準の実態のない経営方針を公表していることになり、世の中にうそをついていることになります。

プライバシーポリシーがプライバシーマーク事業者と同じで、プライバシーマークの要求事項がない場合には、個人情報保護の取り組みを実際よりも良くみせようとしていて、実際の取り組みがない場合にはだましたことになります。個人情報保護の取り組みは事業者ごとに異なりますが、方針が立派でも実際と乖離があるのは問題です。

個人情報保護法の義務を記載したプライバシーポリシー

また、ウエブサイトにプライバシーポリシーくらいは無いと形とならないのでウェブサイト制作会社によっては、クライアントにプライバシーポリシーが無い場合用にプライバシーポリシーのひな形を用意しているかもしれません。

個人情報保護法の義務は守らなければならない内容なので、個人情報保護法の義務を記載したプライバシーポリシーであればプライバシーマーク事業者用よりは実際の乖離を防ぐことができます。個人情報保護法を最低限は守るという経営方針としてどうなんでしょう。

日本の個人情報保護法は事業者配慮で最低限の義務

個人情報保護法の義務をプライバシーポリシーにするのは一見合理的に見えます。義務は守らないといけないですししなければならないことですから。個人情報保護法がGDPRのように人権配慮の基準でつくられていればそうなりますが、個人情報保護法の義務は最低限の内容で、できていなければトラブルにつながるような内容です。

基準が低すぎるとルール外のトラブルは防げない

プライバシーポリシーが個人情報保護法を順守するという経営方針は、デジタル社会の最新の個人データを活用をしたい企業にとっては安全基準が低すぎます。冷静に考えて、最低の基準しか定めていない個人情報保護法を信頼しすぎています。法律は社会環境に遅れてつくられますし、日本では個人よりも事業者に過重な負担を与えない内容になっています。

お客様のプライバシーに関わる個人情報をどこまで利用して、どこまで保護するのか?プライバシーに関わる経営問題を回避するプライバシーポリシーはどのようなものなのでしょうか。

・ウエブサイト制作会社にプライバシーポリシーテキストの準備依頼は無茶ぶり
・他社のプライバシーポリシーをコピーすると公表と実態の差がうそになる
・プライバシーマーク登録していないのに当該事業者のプライバシーポリシーの利用は危険
・個人情報保護法の義務のみのプライバシーポリシーは最低限対応の経営方針
・デジタル社会で最新のテクノロジーを利用する場合は最低限対応ではトラブルは防げない

4.プライバシーポリシーは代表者の経営方針

プライバシーポリシーは経営方針のこと

プライバシーポリシーは、事業者の代表が経営方針の個人情報保護についての文書です。無借金経営や従業員満足経営、売り上げ至上主義など事業者は収益を拡大させる命題があるためそれらの経営方針が一般的ですが、売上をあげるための顧客のプライバシーに関わる情報をどこまで扱うのかプライバシーポリシーです。

プライバシーデータが価値を産む業界

理解をしやすいことろでいうとホテル事業経営があります。ホテル事業者は、客に施設での宿泊が売上ですが、 カプセルホテル、民宿、ビジネスホテル、リゾートホテル、コンドミニアム、ヴィラなどによって価格が大きくことなります。ホテルが設定するプライバシー空間や行動の範囲が価格に応じて決められており、価格が高額になるほどプライバシー情報から付加価値へ転換しています。ビジネスに適した個人情報の取り扱い内容があり経営と密接な関わりがあります。ホテル業界に限らず、デジタル社会ではあらゆる分野でプライバシーデータによる価値創造の可能性があります。

データビジネスこそプライバシーの経営方針が役にたつ

事業者として個人情報保護法は順守を当然として、マーケティングや顧客データから価値をつくりあげるためには、法律がカバーしていない領域のプライバシーについてどこまで保護してどこまで利益にするのかの経営方針が必要になります。それができれば、デジタル市場でデータ価値とプライバシーのバランスをとることができます。

AIによる内定辞退率販売炎上事件とプライバシーポリシー

新卒採用のサービスを提供していたR社は、顧客企業が内定辞退に困る現状を解決するために、新卒の会員の行動情報をAI処理にてスコアリングした内定辞退率を導き出しました。クライアントの課題を手持ちのデータをAIで解決し、それが高い価値として販売できる素晴らしいソリューションのはずでした。

学生には行動情報は提供しないというプライバシーポリシーを表明

新卒の方は行動情報のAI評価が応募先に提供されたために採用選考に影響が及ぶこの仕組みがプライバシー侵害であることが報道によって明らかになり、炎上し、社長の謝罪会見になりました。新卒募集サイトでは、行動情報が採用企業に提供されることはないことや影響を与えることがないというプライバシーポリシーに同意をいただいておりました。

社長の謝罪会見で学生の気持ちに言及

新卒募集サイトのプライバシーポリシーは、実態と真逆となったために詐欺のようになってしまいました。謝罪会見で社長は学生の気持ちを考えていなかった旨の後悔をしていました。GDPRではAI評価はプライバシー侵害とならない影響評価をする義務とプライバシー設計が義務付けられています。

もしも、経営方針で新卒ビジネスのAI導入時にプライバシー評価をし、影響がでない方法を模索する経営指示があれば防げたかもしれません。

個人情報を資源として見ていると人権を見失う

無料で個人を集めて、法人から報酬を得るビジネスモデルは個人のプライバシーを軽視しがちであるため、プライバシー評価をする部門の役職の高さや経営陣のプライバシーの理解がないと炎上を前に対策をとることは実際には難しかったかもしれません。データを価値に換える資源としてみているうちに資源を効果的に利用する際に単なる数字でそこに人がいることを見失ってしまうのです。

代表者はプライバシー炎上で全てを失う

経営者は経営方針が個人情報保護法の義務の基準であると、内定辞退率のケースのような炎上して責任をとらされるだけになります。経営者がプライバシーのリテラシーを持つことを推奨しますが、継続成長にはプライバシーということでGDPRのプライバシー設計を指示して、専門性の高い事業者に依頼をしていれば、GDPR原則ベースで問題は事前に指摘はできました可能性はあります。

新テクノロジーにはプライバシーの罠がひそんでいる

データビジネスになるほど個人情報のトラブルで経営責任をとられるため、利益第一やプライバシーへの関心の欠如は、経営者にとっては危険だと思います。デジタル技術は個人のプライバシーを価値に換えるものがどんどんでてくるため、飛びつかずにプライバシー侵害とならない利用ができるような経営方針を立てられればチャンスはひろがるのではないでしょうか。

当社はウェブサイト制作会社にプライバシー支援部門がある珍しいケースで、プライバシーポリシーの制作そのもののコンサルティングを受注するので、リニューアル案件などの見積もりに参加することがあります。プライバシーポリシーの相談はプライバシー支援部門が受けますので、プライバシーポリシーが無い場合は、リニューアル予算に組み入れて併せて制作するほうが合理的です。

  • プライバシーポリシーは代表者の経営方針

  • プライバシー情報から付加価値をつくりだすには経営方針が必要

  • 個人データを資源としてみていると人権を見失ってしまう

  • 経営者はプライバシートラブルで全てを失う

  • 新テクノロジーがもたらす効果にはプライバシー侵害の負の側面がある

5.ウエブサイトと一緒にプライバシーポリシーもリニューアルしてみませんか

ウエブサイトにはプライバシーポリシーはあった方が良い

ウェブサイトの担当部門にとって、プライバシーポリシーはサイトに無いといけない必要なページであるけれども経営方針という感覚で扱うことがなかったかもしれません。また、プライバシーポリシーは経営企画部門や法務や総務が用意した場合には、個人情報保護法の記載があればOK程度の認識だったかもしれません。

データ利用と保護のバランスは事業部門のほうがわかる

プライバシーポリシーが経営方針だからといって、代表者がデータ活用のアイディアを持つタイプの方であるとは限りません。経営者にウエブサイトのデータ取り扱いのチェックをされるのも厳しいことがあるかもしれません。顧客のデータから収益を得ることとプライバシーの配慮をおくことは、データの取り扱いの管理者が最適な方針を提示するほうが、バランスがとれると思います。

利益至上主義の方針は倫理的なリスク

全社ぐるみで不正が発覚した中古車販売のBIGMOTORのように、利益至上主義の経営方針であると顧客のプライバシー保護はされません。組織の意思決定にプライバシー配慮をいれるには経営者が意図的にプライオリティを高めなければいけません。個人情報保護法は欧米に比べてプライバシー保護が低く設定されています。

プライバシーポリシーを攻めのリニューアル

ウエブサイトは、デザインの一新やセキュリティの強化などの目的でリニューアルを定期的におこなう必要があります。経営方針は社会環境の変化によって見直しをするものですが、個人情報保護とプライバシーデータの活用による付加価値を考えるならば、そのバランスについてもリニューアルをする価値があると思います。

時代と世界に適合するにはGDPRプライバシー原則をベースに

GDPRを全て対応するのは厳しすぎて予算もかかるので、GDPRのプライバシー原則ベースでできるところを配慮すれば、したぶんだけ顧客とのプライバシートラブルが予防され、うまくいけばプライバシーデータが利用できます。経営方針なのでプライバシーデータを利用できるようにするための方針のほうが価値がありますよね。

6.ポジション別のアドバイス

代表者や役員の方

これをお読みになっている方が経営者であった場合に、経営方針であるでのプライバシーポリシーを時代にあわせて見直しをお勧めします。個人情報保護法が低レベルなものであることを認識できれば、いくつかの競合企業は危ない基準をもっているとほくそ笑むことができます。

情報化社会で権利意識の高い欧州の人権保護がベースのGDPRのプライバシー原則をポリシーにすることをお勧めします。ポリシーの策定には、データビジネスのキーパーソンを数人指名していただければ文書作成そのものは代表者がしなくても大丈夫です。

ウエブサイト部門の方

これを読まれた方がウエブサイトの部門の方であった場合、プライバシーポリシーは他社のコピーのようなものやプライバシーマーク登録事業者の複製だった場合には問題であることを身近な上長に伝え、プライバシーポリシーの掲出はやめておきましょう。ウエブサイトに必要なのはプライバシーステートメントという取扱いの公表であるため、それらの準備をしましょう。

ウエブサイトのリニューアル計画があれば、超重要優先順位事項としてプライバシー対策の予算を確保し、サイトリニューアルの予算でプライバシーステートメントと余力があればプライバシーポリシーのリニューアルもしてしましょう。

広告代理店・ウエブ制作会社の方

これを読まれた方が、広告代理店やウェブサイト制作会社などでウェブサイトリニューアルの制作の案件がある場合には、サイトリニューアルの提案のオプションでプライバシーポリシーのリニューアルを提示すると競合他社からはないアプローチになると思います。

STEKWIRED PRIVACY Divisionにご相談いただければ、実務は全てこちらがおこない、広告代理店経由の請求で対応します。サイトリニューアルそのものSTEKWIRED CREATIVEがデザインおよび運用も担当します。

ウエブサイトの個人情報の責任がある方

自社のプライバシーポリシーが実態とあってなくて、嘘っぽいとか不安がある方については、当社のプライバシー支援部門がオンラインで個別相談会を実施しますので、ご相談内容をお送りください。オンラインにてご相談をお受けします。

note読者法人向け プライバシーリスク個別相談会

プライバシーリスク個別相談会フォーム

note読者法人向け プライバシーリスク個別相談会フォーム

note読者法人向け プライバシーリスク メール相談

プライバシーリスクメール相談フォーム

note読者法人向け プライバシーリスク メール相談フォーム


一般ユーザーの方

当社では一般ユーザーの方向けの支援をしていないので個別のアドバイスを行うことができませんが、お読みいただいたご縁がありましたので少しだけ。
企業が個人情報保護をどれだけ真剣に考えているかは企業によって異なります。BIGMOTORのような利益至上主義では個人情報保護は両立しません。ユーザーのプライバシーに対してきちんと考えのない会社であれば、プライバシーポリシーは法律の義務だけ記載するしかありません。

今回のテーマはプライバシーポリシーで下の他、ご利用しているサービスのプライバシーポリシーはあなたのプライバシーを尊重していると判断できるかどうか。企業はマーケティングでは顧客の心をつかむためにあらゆる努力をしています。その数パーセントでもプライバシー保護に向けていれば、何か伝わると思います。ユーザーがプライバシーポリシーを実際に読んでいることを企業が認識すれば、企業は変わると思います。みなさんのプライバシーに関心を持つことがみなさんを守ることなのかもしれません。

法人向けなのでご了承ください。

次の記事はこちら

けっこう怖い個人情報のトラブルの現実

この記事が参加している募集

#企業のnote

with note pro

13,199件

この記事が気に入ったらサポートをしてみませんか?