同僚から「プライバシーポリシーのひな形ってないですか?」と聞かれたときの回答法【ひな形/Wordで無料ダウンロード可能】
・・・あなたがもしも後輩や同僚から「プライバシーポリシーのひな形ってないですか?」と聞かれたら、どうこたえますか? 最新の法令にもとづいた、企業価値を高めるプライバシーポリシーの作成のために、理想的な回答例と、ひな形を提案します。
以下は、あなたと同僚との会話のイメージです。
おつかれさま!
今日は、プライバシーポリシーをつくりたいんだって?
・・・あれって簡単なようで、いざつくろうとすると難問だよね。僕もよく他社の事例を見るようにしてるけど、意外と間違っていることも多いから、油断ならないよね。
ところで、そもそもプライバシーポリシーって何かは知ってたかな? 法律にそういう定義があるわけじゃないんだけど、会社が「個人情報」をどう扱うかってことを書いて、公開するためのものだよ。
そもそもプライバシーポリシーには何が書いてあるのか?
法律で「プライバシーポリシーとはこういうものだ」って決まってるわけじゃないから、各社が「自由に」つくればいいんだけど、「自由」ってかえって不便なことがあるね。
一般的には、プライバシーポリシーには①その会社がどんな個人情報を収集してるか(取得する情報)っていうことが書いてあるんだ。そして、②その収集した個人情報を会社がどう使うかってこと(利用目的)も書かれている。ようするに「どんな情報を収集して何に使うのか」っていうことが、プライバシーポリシーで最も重要な部分といえるかもしれない。
あとは、③情報を第三者に渡す(第三者提供)ことがあるかや、④他社などと情報を共有する(共同利用)可能性があるかどうかも書かれるべきだろうね。本人にとっては、自分のプライバシーがその会社だけでなく第三者などにも知られる可能性があるのかどうかは、重要だろうから。
さらに付け加えるとすれば⑤どうやって情報を保護するか(安全管理措置)や、クレームや開示請求などをしたいときのためのお問合せ先も書かれるべきだろうね。
なぜプライバシーポリシーを作らなければならないの?
そもそも、どうしてこれらを公開するのか? だけど、ひとことでいえば「個人情報保護法」に対応するためだ。だからプライバシーポリシーを理解するには、まずはこの法律を読むのが一番近道だよ。
さっき、プライバシーポリシーは「法律に定義されてない」って言っちゃったけど、誤解をまねいたかもしれない。何も根拠がないって意味じゃなくて、あくまでも直接の定義ではないってことね。ちゃんと個人情報保護法によって、個人情報を取り扱う際は一定のルールを守らないといけませんよということは、定められている。個人情報の取扱いには厳格なルールが無いと、個人の権利がそこなわれるおそれがあるからね。で、この法律に、あらかじめ周知しておくべき事柄が決められているから、事業者側はプライバシーポリシーによって、主として情報の取扱方法を掲載する必要があるんだ。
他社のコピーではいけないの?
自分でつくろうとするときも、サンプルは各社のプライバシーポリシーを検索すればいくらでも簡単に手に入るのだから、そういう意味では「取り掛かりやすい文書」ではあるよね。もちろん、マネできるところはどんどんマネすればいいと思う。
ただ問題は、オリジナルな部分をどうするかだよね。手紙に間違った住所を書いてしまったら、ちゃんと目的地に届かないのと同じで、こまかい部分だとしても間違っていたらまずいよね。一般公開されるものだから、そう頻繁に変更するわけにもいかないし。もちろんあとで変更すればいいけど・・・結構大変な作業だよね。だから、構造はマネできるけど、オリジナルの部分は注意して変更してほしい。
そもそも「個人情報」ってなに?
思うに「個人情報」という言葉も、初心者にとってはやっかいなしろものだよ。もちろん個人情報保護法を読めば定義は載っているけど、われわれの顧客も含めて誰もが法律の定義なんかを知ってるわけではないし、たぶん「個人情報」っていう言葉に対するイメージに、大きな個人差があると思うんだよね。実は意外に「幅」が広い概念で、一般の人が正確に理解するのは難しいと僕は思う。
ちょっと定義のところだけ読んでみようか?
どうかな。長くて、すごくわかりづらいよね! まあ最低限「幅広くいろんな情報が個人情報に該当しうる」んだなってことは分かってもらえたと思うけど。なにがいいたいかというと、プライバシーポリシーは情報の取扱いについて公開するものだけど、対象となる個人情報ひとつとってもこれだけややこしいから、起案にあたってはくれぐれも注意したいねってこと。僕もこの話を具体的にし始めると結構長くなってしまうんだ。
忙しいだろうから、今日はこの点はいったん置いて、先にすすめるね。
企業価値を高める、ブランディングとしてのプライバシーポリシー
もうひとつプライバシーポリシーの特徴を挙げておくよ。さっきは個人情報保護法への対応だっていう話をしたけど、もうひとつ、プライバシーポリシーの策定は、企業にとって「ブランディング」の側面がある、と僕は思ってる。
コンプライアンスとブランディングって一見関係がなさそうだけど、近年、個人の権利を擁護すべきだという意識は高まっているし、デジタル社会におけるプライバシー保護という論点は、国際的な潮流でもあるんだよね。
たとえば法律的にはまったく問題がない規定だったとしても、世間からみたら、どうも印象が悪い手法に見えちゃう、みたいな可能性があり得る。昔セーフだったけど今はアウト、という時代の空気みたいなものはやっぱりあってさ、よく「レピュテーションリスク」なんて呼ばれているよね。
つまり、ときには法的なニーズを超えた、より丁寧な情報の保護を行うべきケースも出てくるかもしれない。企業の評価を守り、積極的な取り組みをアピールして価値を高めるためにも、正確で配慮されたプライバシーポリシーが求められるといえるかも。プライバシーポリシーの作成って案外奥が深いね・・・。
具体的な作成方法は
具体的な作り方だけど、先ほど挙げたポイントを今一度整理すると、記載しなければならないことはおおむね以下のようになる。
このなかでも、おそらく作成で一番手間に感じられるのは個人情報の「利用目的」を特定し、公表することじゃないかな。
利用目的の特定は、個人情報保護法に定められている義務だから、欠かせないんだ。
そのため、企業側は個人情報を取得する前に「利用目的」を正確に特定しておく必要がある。利用目的は原則として「あらかじめ」公表する(=プライバシーポリシーに書いておく)か、本人に通知する必要があるためだ。
利用目的は具体的に特定
この、「利用目的の特定」というルールがやっかいなのは、具体性が要求されるところだ。法改正の流れやガイドラインなどを読んでいくと、近年「利用目的」にはかなり具体的な表現が求められる傾向がある。
たとえば「マーケティングのために利用します」「運営のために利用します」みたいな抽象的な記載は適さないといわれているんだ。そんなわけで、作成するには自社の場合の情報の利用目的をよく確認しておく必要があるし、その記載方法(表現)についてもよく検討する必要あるね。
ビジネスに配慮した記載の検討
利用目的の特定義務は「個人情報」に限ってのルールなんだけど、さっきもいったとおり、そもそも何が「個人情報」にあたるかは複雑で、一般には分かりにくいと考えられるし、仮に「個人情報」にあたらない情報であっても世間(本人)が不安に思うような取扱いをしている企業だと認識されてしまえば、法的にはOKでもビジネス的にはマイナスになりかねないよね。
だから、あえてプライバシーポリシー上は「個人情報」に絞らず、取得した情報全般についての利用目的を公表して安心してもらう、という戦略も、考慮に値すると思うな。
個人データの第三者提供とは?
説明はこの辺にしておいてもいいんだけど・・・
あ、そうだ。さらにもうひとつ、「個人データの第三者提供」というポイントが、ちょっと分かりにくいけれど今後かなり重要になってきそうだから、ついでに説明しておくよ。
いきなり「個人データ」なんて専門用語を出してしまったけど、個人情報保護法では情報をいくつかのカテゴリーに分類して定義し、それぞれに若干ちがったルールを適用できるようにしているんだ。情報の性質に応じて規制の厳しさにグラデーションをつけるためだね。
で、「個人データ」とは「個人情報」の一種なんだけど、たとえばパソコンでつくった「顧客名簿」みたいなものをイメージしてもらうと一番わかりやすい。正確な定義は、個人情報保護法第16条をみてほしいけど、ようするに「個人情報データベース等」を構成する個人情報のことを指す用語だよ。
ほら、よく「不正に入手した名簿データをつかってアポイントセールスに悪用」した、みたいな事件がニュースになるでしょう? データベース化された個人情報は、それ自体が高い価値を持つことがあるから、悪用されないように特に注意が必要だ。だから、個人データの取扱いに対しては個人情報保護法上もルールが強化されているわけ。たとえば、企業側は「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」(個人情報保護法第27条)などとされている。
第三者提供の有無による論点
プライバシーポリシーに話を戻すけど、もし企業が「個人データ」を「第三者提供」する予定があれば、プライバシーポリシー上でも先ほど説明した「利用目的」に(第三者に提供すると明確に分かるように)書いておく必要があるよね。(また、定義上は「個人データ」ではない情報であっても、第三者に提供する場合に、法的な規制はなくてもビジネス上の配慮から、やはり利用目的に含めることがあるよ。)もちろん、第三者提供の予定がないのなら、なしと記載することでかまわないよ。
第三者提供をするにあたっては、同意の取得の他トレーサビリティ規制(確認・記録義務)があるから、やるとすれば別の議論が必要だね。とにかくこの論点があることだけは意識しておいて。
それと、これは具体的な情報の定義や法解釈の問題にもつながるけど業務の「委託」や企業の「合併等」や情報の「共同利用」は、そのプロセスが、個人データの第三者提供によく似た取扱いになるよね。でも、個人情報保護法の定義上は、第三者には該当しないことになるから、そこで理解がごっちゃにならないように気を付けてね。
第三者提供については、あまり深追いすると説明が中途半端になってしまうね。いったんここまでにしておこう。他にも指摘したいポイントはあるけど、個人情報保護法については論点が多いから、また不明点がでてきたらその都度聞いて・・・
え? 「いいからひな形をくれ」だって?
・・・だと思って、今回も用意してあるよ。
Wordでもダウンロードできるようにしておくから、ちょっとでも参考になればいいな。文面は必ずしもこのとおりとは限らないけど、たたき台くらいにはなると思うよ。
Wordファイルダウンロードはこちら。
追伸
実例に基づく推奨ひな形を多数ご提供しています。ぜひこの機会にあわせてご覧ください。
もしこの記事が少しでも「役に立ったな」「有益だな」と思っていただけましたら、サポートをご検討いただけますと大変嬉しいです。どうぞよろしくお願いいたします。