シード・アーリー段階でのプライバシーポリシー策定のすすめ
はじめに
こんにちは!CGチームインターン生です!
今回は、プライバシーポリシーを作成していない会社に向けて、個人情報保護法遵守の手段の一環として、プライバシーポリシーを作成・公表することをおすすめする記事をお届けします。
個人情報保護法を守る必要性
国から課される罰則
場合によっては懲役刑や公表もありえるという内容になっています。
また、事業の上でヨーロッパと関連がある企業に関しては、ヨーロッパの個人情報保護法であるGDPRにも注意が必要です。
ヨーロッパの個人情報保護法は高額な制裁金制度を採用しています。
2021年以降、ヨーロッパの個人情報保護法に違反した企業に対する制裁金は年々高額化傾向にあります。
確かに、特にスタートアップ企業では、密接に関連する事業を除いて、最初からヨーロッパの個人情報保護法を意識する必要はありません。
しかし、事業を大きくしていく上で海外への展開は欠かせません。日本以外の個人情報保護法を遵守する必要性は必ず出てきます。
スモールステップとして、まずは日本の個人情報保護法を遵守していくことから始めてみるのがよいでしょう。
個人情報が流出した人から損害賠償を受ける可能性
もし個人情報が漏洩した場合、高額な賠償金を負う可能性があります。
上記のホームページにとても分かりやすく、流出した人からの損害賠償額についてまとめてあります。
ベネッセコーポレーションの顧客情報流出事件では、ベネッセは合計1300万円の損害賠償義務を負うこととなりました。
しかしこれは、実際に漏洩した3500万人分のうち、462人しかベネッセを訴えていません。潜在的に訴訟を起こすことができる母数の約0.0013%しかベネッセを訴えていないのにもかかわらず、賠償額は1300万円と高額です。
もし仮に、個人情報が流出した人全員が訴訟を起こした場合には、ベネッセは1156億3200万円分の損害賠償義務を負うことになっていたでしょう。
プライバシーポリシーとは?
プライバシーポリシー策定のメリット
特にシード・アーリー段階ではプライバシーポリシーを策定していない企業も多いでしょう。
その中で、プライバシーポリシーをあえて策定するメリットを挙げてみました。
法令遵守をすることで、リスクを低減できる
プライバシーポリシー自体の作成は法律上の義務ではありません。
しかし、個人情報を取得・利用する場面においてはその目的を通知・公表することは個人情報保護法上の義務です。
これに違反した場合、法人であれば1億円以下の罰金が課される可能性があります。
プライバシーポリシーをHPで公開しなくても、情報の取得場面で都度、法令に定められている事項を通知し、同意を取得すれば法律違反にはなりません。
しかし、特にシード・アーリー期のスタートアップ企業にとっては大企業のように十分な法律的支援が行われているとは限りません。
そのような中で、情報の取得場面で都度、法令に定められている事項を通知し、同意を取得することは現実的ではないでしょう。
結果的に、業態に合わせたプライバシーポリシーをHPで公開しておくことが一番手間がかからず、リスクが低い手段となると考えられます。
IPOに備えて、いずれしなければならない準備に早くから着手できる
2023年11月15日、個人情報保護委員会により、「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討」(以下「本検討」といいます)が公表されました。
ここでは、2027年ごろがに予想される個人情報保護法の改正についての議論がされています。
(以下の記事が、次回の改正までのスケジュールを詳しく予想してくださっています。)
現状でまだヒアリングの段階ですが、事業者による自主的な取組を促す仕組みを作ることの提言も見受けられ、現状からアップデートされた規制が行われる可能性が高いです。
またこちらのヒアリングでも述べられているとおり、現状の個人情報保護法は「個人情報」がそもそも何かという、情報区分が非常に複雑であり(個人情報、個人データ、保有個人データ、個人識別 符号、要配慮個人情報…)、早い段階からキャッチアップして対応していくことが望ましいでしょう。
最終的にはIPOを目標とするのであれば、まずはプライバシーポリシーを作成することをスモールステップとして、個人情報保護法を順守した経営を意識していくのがよいと考えられます。
おわりに
自社の業態に合わせてプライバシーポリシーを自作してみるのもひとつの手段です。
しかし個人情報保護法は複雑であることから、一度専門家に相談してみるのが安心でしょう。
この記事が気に入ったらサポートをしてみませんか?