シード・アーリー段階でのプライバシーポリシー策定のすすめ

はじめに

こんにちは！CGチームインターン生です！

今回は、プライバシーポリシーを作成していない会社に向けて、個人情報保護法遵守の手段の一環として、プライバシーポリシーを作成・公表することをおすすめする記事をお届けします。

個人情報保護法を守る必要性

国から課される罰則

個人情報取扱事業者…が、個人情報保護法の義務規定に違反し、不適切な個人情報…の取扱いを行っている場合には、個人情報保護委員会は、必要に応じて、当該個人情報取扱事業者等その他の関係者に対して報告徴収・立入検査を実施し（法第146条）…、当該個人情報取扱事業者等に対して指導・助言を行い（法第147条）、また、勧告・命令を行う（法第148条）ことができます。
個人情報保護委員会からの報告徴収・立入検査に応じなかった場合や、報告徴収に対して虚偽の報告をした場合等には、刑事罰（50万円以下の罰金）が科される可能性があります（法第182条）。
また、個人情報保護委員会の命令に個人情報取扱事業者等が違反した場合には、個人情報保護委員会は、その旨を公表することができ（法第148条第４項）、加えて、当該命令に違反した者には、刑事罰（１年以下の懲役又は100万円以下の罰金）が科される可能性があります（法第178条）。

「個人情報保護委員会＜お問合せFAQ＜索引＜個人情報取扱事業者等が個人情報保護法に違反した場合、どのような措置が採られるのですか。」

場合によっては懲役刑や公表もありえるという内容になっています。

また、事業の上でヨーロッパと関連がある企業に関しては、ヨーロッパの個人情報保護法であるGDPRにも注意が必要です。
ヨーロッパの個人情報保護法は高額な制裁金制度を採用しています。
2021年以降、ヨーロッパの個人情報保護法に違反した企業に対する制裁金は年々高額化傾向にあります。

確かに、特にスタートアップ企業では、密接に関連する事業を除いて、最初からヨーロッパの個人情報保護法を意識する必要はありません。
しかし、事業を大きくしていく上で海外への展開は欠かせません。日本以外の個人情報保護法を遵守する必要性は必ず出てきます。

スモールステップとして、まずは日本の個人情報保護法を遵守していくことから始めてみるのがよいでしょう。

個人情報が流出した人から損害賠償を受ける可能性

もし個人情報が漏洩した場合、高額な賠償金を負う可能性があります。

本人一人あたりの損害賠償額はそれほど大きくありませんが、数千から数万人分の個人情報が漏洩した場合に仮に全員から請求された場合の 損害賠償合計額は数十億円 になりかねず、企業の存続に影響する事態となります。

「企業法務Online > 情報・データ > 個人情報への対策が不十分である場合の罰則とは？個人情報保護法も含めて弁護士が解説」

個人情報への対策が不十分である場合の罰則とは？個人情報保護法も含めて弁護士が解説 | 経営を強くする顧問弁護士｜企業法務オンライン（湊総合法律事務所）経営を強くする顧問弁護士｜企業法務オンライン（湊総合法律事務所）個人情報への対策が不十分である場合の罰則とは？個人情報保護法も含めて弁護士が解説 | 経営を強くする顧問弁護士｜企業法務オンライン（湊総合法律事務所）

上記のホームページにとても分かりやすく、流出した人からの損害賠償額についてまとめてあります。

ベネッセコーポレーションの顧客情報流出事件では、ベネッセは合計1300万円の損害賠償義務を負うこととなりました。

ベネッセ側に1300万円賠償命令　個人情報流出で東京地裁 - 日本経済新聞

しかしこれは、実際に漏洩した3500万人分のうち、462人しかベネッセを訴えていません。潜在的に訴訟を起こすことができる母数の約0.0013％しかベネッセを訴えていないのにもかかわらず、賠償額は1300万円と高額です。
もし仮に、個人情報が流出した人全員が訴訟を起こした場合には、ベネッセは1156億3200万円分の損害賠償義務を負うことになっていたでしょう。

プライバシーポリシーとは？

「一般的に「個人情報等の取得，利用，管理，提供，本人の権利行使等の取扱いの方針を明文化したもの」などと説明されます」

プライバシーポリシー作成のポイント2頁

プライバシーポリシー策定のメリット

特にシード・アーリー段階ではプライバシーポリシーを策定していない企業も多いでしょう。
その中で、プライバシーポリシーをあえて策定するメリットを挙げてみました。

法令遵守をすることで、リスクを低減できる

「プライバシーポリシーは,実務上,個人情報保護法またはその関連法令の遵守のための手段として用いられています。具体的には,個人情報保護法またはその関連法令において,①「通知」「公表」「容易に知り得る状態に置く」「知り得る状態に置く」こと等が義務づけられている事項をプライバシーポリシーに記載して本人に対して情報提供をするとともに,②「同意」を取得することが求められている事項について記載したプライバシーポリシーに同意させることで,本人の同意を得ることが行われています。」

プライバシーポリシー作成のポイント5頁

プライバシーポリシー自体の作成は法律上の義務ではありません。
しかし、個人情報を取得・利用する場面においてはその目的を通知・公表することは個人情報保護法上の義務です。
これに違反した場合、法人であれば1億円以下の罰金が課される可能性があります。

プライバシーポリシーをHPで公開しなくても、情報の取得場面で都度、法令に定められている事項を通知し、同意を取得すれば法律違反にはなりません。
しかし、特にシード・アーリー期のスタートアップ企業にとっては大企業のように十分な法律的支援が行われているとは限りません。
そのような中で、情報の取得場面で都度、法令に定められている事項を通知し、同意を取得することは現実的ではないでしょう。

結果的に、業態に合わせたプライバシーポリシーをHPで公開しておくことが一番手間がかからず、リスクが低い手段となると考えられます。

IPOに備えて、いずれしなければならない準備に早くから着手できる

「先般個人情報は非常にセンシティブになっていることから、漏洩が発覚してしまうと、社会的な信用問題ともなり損害賠償につながる恐れもあります。特に事業運営上個人情報を多く取り扱っている企業は、IPO審査において個人情報管理の整備・運用状況は重点的に審査されることになります。
予め個人情報管理に関する規程やマニュアルを整備し、個人情報関連の対応部署を定めて運用する、という体制を構築することが望まれます。」

失敗しないIPO 第7回「コンプライアンス強化の必要性」

「上場を意識した法務DDにおいては、顧客向けのサービス利用規約やプライバシーポリシー等の規約・規程類の…確認など、M&Aの際に通常行われるDDよりも一歩踏み込んだ調査を行うこともあります。」

第6回 「レイター期」における法務コンプライアンスのポイント

2023年11月15日、個人情報保護委員会により、「個人情報保護法　いわゆる3年ごと見直し規定に基づく検討」（以下「本検討」といいます）が公表されました。

ここでは、2027年ごろがに予想される個人情報保護法の改正についての議論がされています。
(以下の記事が、次回の改正までのスケジュールを詳しく予想してくださっています。)

現状でまだヒアリングの段階ですが、事業者による自主的な取組を促す仕組みを作ることの提言も見受けられ、現状からアップデートされた規制が行われる可能性が高いです。
またこちらのヒアリングでも述べられているとおり、現状の個人情報保護法は「個人情報」がそもそも何かという、情報区分が非常に複雑であり(個人情報、個人データ、保有個人データ、個人識別 符号、要配慮個人情報…)、早い段階からキャッチアップして対応していくことが望ましいでしょう。

最終的にはIPOを目標とするのであれば、まずはプライバシーポリシーを作成することをスモールステップとして、個人情報保護法を順守した経営を意識していくのがよいと考えられます。

おわりに

自社の業態に合わせてプライバシーポリシーを自作してみるのもひとつの手段です。
しかし個人情報保護法は複雑であることから、一度専門家に相談してみるのが安心でしょう。