同僚から「プライバシーポリシーのひな形ってないですか?」と聞かれたときの回答法【ひな形/Wordで無料ダウンロード可能】
・・・あなたがもしも後輩や同僚から「プライバシーポリシーのひな形ってないですか?」と聞かれたら、どうこたえますか? 最新の法令にもとづいた、企業価値を高めるプライバシーポリシーの作成のために、理想的な回答例と、ひな形を提案します。
以下は、あなたと同僚との会話のイメージです。
おつかれさま!
今日は、プライバシーポリシーをつくりたいんだって?
・・・あれって簡単なようで、いざつくろうとすると難問だよね。僕もよく他社の事例を見るようにしてるけど、意外と間違っていることも多いから、油断ならないよね。
ところで、そもそもプライバシーポリシーって何かは知ってたかな? 法律にそういう定義があるわけじゃないんだけど、会社が「個人情報」をどう扱うかってことを書いて、公開するためのものだよ。
そもそもプライバシーポリシーには何が書いてあるのか?
法律で「プライバシーポリシーとはこういうものだ」って決まってるわけじゃないから、各社が「自由に」つくればいいんだけど、「自由」ってかえって不便なことがあるね。
一般的には、プライバシーポリシーには①その会社がどんな個人情報を収集してるか(取得する情報)っていうことが書いてあるんだ。そして、②その収集した個人情報を会社がどう使うかってこと(利用目的)も書かれている。ようするに「どんな情報を収集して何に使うのか」っていうことが、プライバシーポリシーで最も重要な部分といえるかもしれない。
あとは、③情報を第三者に渡す(第三者提供)ことがあるかや、④他社などと情報を共有する(共同利用)可能性があるかどうかも書かれるべきだろうね。本人にとっては、自分のプライバシーがその会社だけでなく第三者などにも知られる可能性があるのかどうかは、重要だろうから。
さらに付け加えるとすれば⑤どうやって情報を保護するか(安全管理措置)や、クレームや開示請求などをしたいときのためのお問合せ先も書かれるべきだろうね。
なぜプライバシーポリシーを作らなければならないの?
そもそも、どうしてこれらを公開するのか? だけど、ひとことでいえば「個人情報保護法」に対応するためだ。だからプライバシーポリシーを理解するには、まずはこの法律を読むのが一番近道だよ。
さっき、プライバシーポリシーは「法律に定義されてない」って言っちゃったけど、誤解をまねいたかもしれない。何も根拠がないって意味じゃなくて、あくまでも直接の定義ではないってことね。ちゃんと個人情報保護法によって、個人情報を取り扱う際は一定のルールを守らないといけませんよということは、定められている。個人情報の取扱いには厳格なルールが無いと、個人の権利がそこなわれるおそれがあるからね。で、この法律に、あらかじめ周知しておくべき事柄が決められているから、事業者側はプライバシーポリシーによって、主として情報の取扱方法を掲載する必要があるんだ。
他社のコピーではいけないの?
自分でつくろうとするときも、サンプルは各社のプライバシーポリシーを検索すればいくらでも簡単に手に入るのだから、そういう意味では「取り掛かりやすい文書」ではあるよね。もちろん、マネできるところはどんどんマネすればいいと思う。
ただ問題は、オリジナルな部分をどうするかだよね。手紙に間違った住所を書いてしまったら、ちゃんと目的地に届かないのと同じで、こまかい部分だとしても間違っていたらまずいよね。一般公開されるものだから、そう頻繁に変更するわけにもいかないし。もちろんあとで変更すればいいけど・・・結構大変な作業だよね。だから、構造はマネできるけど、オリジナルの部分は注意して変更してほしい。
そもそも「個人情報」ってなに?
思うに「個人情報」という言葉も、初心者にとってはやっかいなしろものだよ。もちろん個人情報保護法を読めば定義は載っているけど、われわれの顧客も含めて誰もが法律の定義なんかを知ってるわけではないし、たぶん「個人情報」っていう言葉に対するイメージに、大きな個人差があると思うんだよね。実は意外に「幅」が広い概念で、一般の人が正確に理解するのは難しいと僕は思う。
ちょっと定義のところだけ読んでみようか?
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
どうかな。長くて、すごくわかりづらいよね! まあ最低限「幅広くいろんな情報が個人情報に該当しうる」んだなってことは分かってもらえたと思うけど。なにがいいたいかというと、プライバシーポリシーは情報の取扱いについて公開するものだけど、対象となる個人情報ひとつとってもこれだけややこしいから、起案にあたってはくれぐれも注意したいねってこと。僕もこの話を具体的にし始めると結構長くなってしまうんだ。
忙しいだろうから、今日はこの点はいったん置いて、先にすすめるね。
企業価値を高める、ブランディングとしてのプライバシーポリシー
もうひとつプライバシーポリシーの特徴を挙げておくよ。さっきは個人情報保護法への対応だっていう話をしたけど、もうひとつ、プライバシーポリシーの策定は、企業にとって「ブランディング」の側面がある、と僕は思ってる。
コンプライアンスとブランディングって一見関係がなさそうだけど、近年、個人の権利を擁護すべきだという意識は高まっているし、デジタル社会におけるプライバシー保護という論点は、国際的な潮流でもあるんだよね。
たとえば法律的にはまったく問題がない規定だったとしても、世間からみたら、どうも印象が悪い手法に見えちゃう、みたいな可能性があり得る。昔セーフだったけど今はアウト、という時代の空気みたいなものはやっぱりあってさ、よく「レピュテーションリスク」なんて呼ばれているよね。
つまり、ときには法的なニーズを超えた、より丁寧な情報の保護を行うべきケースも出てくるかもしれない。企業の評価を守り、積極的な取り組みをアピールして価値を高めるためにも、正確で配慮されたプライバシーポリシーが求められるといえるかも。プライバシーポリシーの作成って案外奥が深いね・・・。
具体的な作成方法は
具体的な作り方だけど、先ほど挙げたポイントを今一度整理すると、記載しなければならないことはおおむね以下のようになる。
①その会社がどんな個人情報を収集してるか(取得する情報)
②その収集した個人情報を会社がどう使うか(利用目的)
③情報を第三者に渡す場合(第三者提供)があるかどうか
④他社などと情報を共有する(共同利用)可能性があるかどうか
⑤どうやって情報を保護しているか(安全管理措置等)
+お問合せ先等
このなかでも、おそらく作成で一番手間に感じられるのは個人情報の「利用目的」を特定し、公表することじゃないかな。
利用目的の特定は、個人情報保護法に定められている義務だから、欠かせないんだ。
第十七条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
第二十一条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
そのため、企業側は個人情報を取得する前に「利用目的」を正確に特定しておく必要がある。利用目的は原則として「あらかじめ」公表する(=プライバシーポリシーに書いておく)か、本人に通知する必要があるためだ。
利用目的は具体的に特定
この、「利用目的の特定」というルールがやっかいなのは、具体性が要求されるところだ。法改正の流れやガイドラインなどを読んでいくと、近年「利用目的」にはかなり具体的な表現が求められる傾向がある。
たとえば「マーケティングのために利用します」「運営のために利用します」みたいな抽象的な記載は適さないといわれているんだ。そんなわけで、作成するには自社の場合の情報の利用目的をよく確認しておく必要があるし、その記載方法(表現)についてもよく検討する必要あるね。
例えば
✕「マーケティングに用いるため。」という抽象的表現は適さないとされている。
→〇「取得したメールアドレスを用いて○○事業における新商品のお知らせのために利用します。」
ビジネスに配慮した記載の検討
利用目的の特定義務は「個人情報」に限ってのルールなんだけど、さっきもいったとおり、そもそも何が「個人情報」にあたるかは複雑で、一般には分かりにくいと考えられるし、仮に「個人情報」にあたらない情報であっても世間(本人)が不安に思うような取扱いをしている企業だと認識されてしまえば、法的にはOKでもビジネス的にはマイナスになりかねないよね。
だから、あえてプライバシーポリシー上は「個人情報」に絞らず、取得した情報全般についての利用目的を公表して安心してもらう、という戦略も、考慮に値すると思うな。
個人データの第三者提供とは?
説明はこの辺にしておいてもいいんだけど・・・
あ、そうだ。さらにもうひとつ、「個人データの第三者提供」というポイントが、ちょっと分かりにくいけれど今後かなり重要になってきそうだから、ついでに説明しておくよ。
いきなり「個人データ」なんて専門用語を出してしまったけど、個人情報保護法では情報をいくつかのカテゴリーに分類して定義し、それぞれに若干ちがったルールを適用できるようにしているんだ。情報の性質に応じて規制の厳しさにグラデーションをつけるためだね。
で、「個人データ」とは「個人情報」の一種なんだけど、たとえばパソコンでつくった「顧客名簿」みたいなものをイメージしてもらうと一番わかりやすい。正確な定義は、個人情報保護法第16条をみてほしいけど、ようするに「個人情報データベース等」を構成する個人情報のことを指す用語だよ。
第十六条 この章及び第八章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
2 この章及び第六章から第八章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一 国の機関
二 地方公共団体
三 独立行政法人等
四 地方独立行政法人
3 この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
ほら、よく「不正に入手した名簿データをつかってアポイントセールスに悪用」した、みたいな事件がニュースになるでしょう? データベース化された個人情報は、それ自体が高い価値を持つことがあるから、悪用されないように特に注意が必要だ。だから、個人データの取扱いに対しては個人情報保護法上もルールが強化されているわけ。たとえば、企業側は「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」(個人情報保護法第27条)などとされている。
第三者提供の有無による論点
プライバシーポリシーに話を戻すけど、もし企業が「個人データ」を「第三者提供」する予定があれば、プライバシーポリシー上でも先ほど説明した「利用目的」に(第三者に提供すると明確に分かるように)書いておく必要があるよね。(また、定義上は「個人データ」ではない情報であっても、第三者に提供する場合に、法的な規制はなくてもビジネス上の配慮から、やはり利用目的に含めることがあるよ。)もちろん、第三者提供の予定がないのなら、なしと記載することでかまわないよ。
第三者提供をするにあたっては、同意の取得の他トレーサビリティ規制(確認・記録義務)があるから、やるとすれば別の議論が必要だね。とにかくこの論点があることだけは意識しておいて。
それと、これは具体的な情報の定義や法解釈の問題にもつながるけど業務の「委託」や企業の「合併等」や情報の「共同利用」は、そのプロセスが、個人データの第三者提供によく似た取扱いになるよね。でも、個人情報保護法の定義上は、第三者には該当しないことになるから、そこで理解がごっちゃにならないように気を付けてね。
第三者提供については、あまり深追いすると説明が中途半端になってしまうね。いったんここまでにしておこう。他にも指摘したいポイントはあるけど、個人情報保護法については論点が多いから、また不明点がでてきたらその都度聞いて・・・
え? 「いいからひな形をくれ」だって?
・・・だと思って、今回も用意してあるよ。
Wordでもダウンロードできるようにしておくから、ちょっとでも参考になればいいな。文面は必ずしもこのとおりとは限らないけど、たたき台くらいにはなると思うよ。
プライバシーポリシーのひな形
〇〇社 プライバシーポリシー
「個人情報取扱事業者」である、〇〇○○株式会社(以下「弊社」といいます。)は、お客様のプライバシー等の情報の保護に対して高い意識を持ち続け、個人情報の保護に関する法律(以下「個人情報保護法」といいます。) を遵守すると共に、弊社が「〇〇〇〇サービス」と称して提供するサービス(以下「弊社サービス」といいます。)に関連して、お客様から収集する個人情報(個人情報保護法第2条第1項)及び個人に関する情報(以下合わせて「お客様の情報」といいます。)について、適切に取扱うために、このプライバシーポリシー(以下「本プライバシーポリシー」といいます。)を定め、お客様の情報の適切な取扱いとその保護に努めます。
第1条(本プライバシーポリシーの適用)
本プライバシーポリシーは、弊社サービスに適用されますが、お客様の情報の取扱いに関して、本プライバシーポリシーと弊社サービスの利用規約(付随する書面や案内がある場合はこれらも含みます。)との間に齟齬がある場合には、特に明確に定めない限り、本プライバシーポリシーの定めが優先するものとします。
第2条(情報の適正な取得)
弊社は、個人情報保護法その他法令を遵守し、適正にお客様の情報を取得し、取得経緯が明確となるように努め、偽りその他不正の手段により取得しません。弊社は、個人情報を取得する際には、利用目的を明示し、かつ、必要な範囲内で取得します。
第3条(利用目的)
弊社は、お客様の氏名、住所、メールアドレスその他お客様の情報を取得し、次の利用目的の達成に必要な範囲で取り扱います。
⑴ 弊社サービスの提供に関する広告を配信してお知らせするため
⑵ 弊社サービスのアフターサービスを必要に応じて提供するため
⑶ 弊社サービスに関するお問い合わせに対応するため
⑷ 弊社サービスに関連する新サービスのお知らせのため
⑸ ○○○のため
第4条(情報の提供・共有)
弊社は、お客様の情報を第三者に提供または共有することはありません。ただし、以下の場合にはお客様の同意を得た上で、必要な範囲内で第三者に提供することがあります。この場合弊社は、当該委託先が、お客様の情報を適切に管理するよう監督するものとします。
⑴ 法令に基づく場合
⑵ お客様の生命、身体または財産の保護のために必要な場合であって、お客様の同意を得ることが困難である場合
⑶ 弊社が業務を委託する業者に対して、本プライバシーポリシー(第3条)に定める利用目的の達成及び業務遂行に必要な範囲でお客様の情報の全部又は一部の情報を提供する場合
第5条(情報の管理)
弊社は、お客様の情報を適切に管理し、情報の紛失、破壊、改ざん、漏えい等を防止するための適切な措置を講じます。また、弊社は、従業員に対して、お客様の情報の取扱いに関する適切な指導・監督を行います。
第6条(情報の開示・訂正・利用停止等)(開示等)
弊社は、個人情報保護法の定めに基づき保有個人データ及び第三者提供の記録について、本人又は代理人から、利用目的の通知の請求又は開示、訂正・追加・削除、利用停止・消去若しくは第三者提供の停止(以下合わせて「開示等」といいます。)を請求された場合は、本人に対し、遅滞なく当該個人情報の開示を行います。ただし、個人情報保護法その他の法令により開示の義務を負わない場合はこの限りではありません
第7条(プライバシーポリシーの変更)
弊社は、お客様の情報の取扱いについて継続的な改善に取り組むものとし、必要があると認めた場合には、本プライバシーポリシーを変更する場合があります。
2 前項の定めにかかわらず、法令上、本人の同意が必要な本プライバシーポリシーの変更を弊社が行う場合には、別途、弊社が適切と判断する方法で本人の同意を取得します。
3 変更後の本プライバシーポリシーは、弊社サービスのウェブサイト又は弊社ホームページ(URL:http://www.○○○sample.co.jp/information_protection )上へ掲載する方法により公表し周知をいたします。
第8条(個人情報に関するお問い合わせ)
弊社は、弊社サービスを通じてお客様の情報をお預かりする責任を深く受け止め、引き続き厳重な管理体制を構築・維持してまいります。個人情報の開示等、苦情、ご意見、ご質問その他個人情報の取扱いに関するお問い合わせは、お問い合わせフォーム又はまたは以下より最新の情報をご確認の上、該当する住所に書面にて弊社にご連絡いただけます。
お問い合わせ窓口〇〇〇〇〇〇〇
〇〇○○株式会社 情報セキュリティ部門
○○○ 〇〇市〇〇町1-1-1
個人情報管理責任者:山田太郎
連絡先:0120-XXXX-XXXX
E-mail: privacy@〇〇○○.co.jp
個人情報管理責任者は、個人情報の取扱いに関する法令及び本プライバシーポリシーの遵守を監督するとともに、個人情報の取扱いに関する苦情及び相談に対応し、適切な対応を行います。また、個人情報の取扱いに関する取り組みを継続的に見直し、改善に努めます。
以上が〇〇○○株式会社のプライバシーポリシーになります。ご利用にあたっては、お客様の情報の取扱いに関する規定を十分にご理解いただき、同意いただいた上でご利用いただきますようお願いいたします。
(以上)
Wordファイルダウンロードはこちら。
追伸
実例に基づく推奨ひな形を多数ご提供しています。ぜひこの機会にあわせてご覧ください。
もしこの記事が少しでも「役に立ったな」「有益だな」と思っていただけましたら、サポートをご検討いただけますと大変嬉しいです。どうぞよろしくお願いいたします。