法律事務所のプライバシーポリシーを考える（記載例有）

この記事は、裏法務系 Advent Calendar 2021の12月20日(月)のエントリです。今年は、おけいさんからバトンを頂きました。最後の「来年に向けて」が気になりましたが笑、ひとまず転職活動おつかれさまでした。（影響を受けてヘッダの写真をNYで撮ったクリスマスムードのものにしました🎄）

テーマについて

今年の６月、私が所属する兵庫県弁護士会から、弁護士事務所における「プライバシーポリシー」策定における注意点というテーマの講演依頼があり、セミナーを実施しました（最後にスライドのURLも貼っておきます）。

兵庫県弁護士会で、
「個人情報保護法の概要と弁護士事務所におけるプライバシーポリシー策定の注意点」
というテーマでセミナーをしました。
5～60人近い先生方にご覧いただき感謝です！

面白い切り口のテーマで色々考えることも多く、noteにまとめたり他の場所でもお話する機会があればと思います。 pic.twitter.com/CXTKk7ObfO

— 山城 尚嵩　弁護士 (@yamashi_law) June 21, 2021

私は、登録してから５年（*1）ほど個人情報保護法を主として取り扱っており、クライアント企業におけるプライバシーポリシーを策定することは日常業務の一つです。そんな私でも、「法律事務所における」プライバシーポリシー策定の注意点を考える機会はそう多くなく、講演に際しては様々な事務所のプライバシーポリシーをチェックしました（*2）。

本エントリでは、講演にあたって検討した内容を踏まえ、「法律事務所においてプライバシーポリシーを策定するときにはどのような内容にすべきか」ということを書いてみます。

とはいえ、意識の高いことを書くつもりはあまりなく（*3）、むしろ「作るときには、こういうことを考えるのね」というガイドになればと考えています（作っていないと絶対ダメ！ということもありません。詳しくは後述）。

【前提】弁護士業と個人情報保護法

以下では、個人情報保護法の話が中心となりますが、そもそもの大前提として、弁護士に個人情報保護法の適用は・・・あります！
こういうと「何を当たり前のことを・・・（そっ閉じ）」という感じですが、少しだけ僕の話を聞いて下さい。

個人情報保護法は、一言でいうと、個人情報取扱事業者が個人情報を取り扱うにあたってのルールを定める法律です。
この「個人情報取扱事業者」について、2015年の個人情報保護法改正までは、いわゆる「5000件要件」という要件がありました。つまり、保有するデータベース上の個人情報の数が過去６月以内に5000を超えていない事業者は個人情報取扱事業者に該当しないというルールとなっていました。

2015年の個人情報保護法改正前までは、多くの弁護士は5000件も個人情報を保有していないために個人情報取扱事業者に該当せず、個人情報保護法の適用はないといわれていました（*4）。
しかし、2015年の個人情報保護法改正によって5000件要件が撤廃された結果、ほぼすべての弁護士が個人情報保護法の適用を受けることとなった、という経緯があるわけです（*5）。

なお、個人情報保護法のルールの概観については、一昨年のLegal ACで書きましたので、以下をご参照ください。

プライバシーポリシーとは

ウェブサイトを訪問したり、スマホアプリをインストールするときなどに、「プライバシーポリシー」ってよく目にしますよね。では、この「プライバシーポリシー」、いったいどのような性質の文書なのでしょうか。
（利用規約と併せて読まずに同意する文書でしょって？合ってます。涙目）

まず、意外に思われるかもしれませんが、個人情報保護法は、「プライバシーポリシーなる文書を策定せよ」という法的義務を課してはいません。

あくまでも「個人情報保護を推進する上での考え方や方針（いわゆる、プライバシーポリシー、プライバシーステートメント等）」を策定することが重要であると記載されているに留まります（ガイドライン[通則編]75頁・87頁、個人情報に関する基本方針９頁）。

他方、個人情報保護法は、個人情報取扱事業者に対し、利用目的などの一定の事項について、本人への通知や公表等を義務付けています。

このうち、「公表」とは、ガイドライン上「広く一般に自己の意思を知らせること」と定義されており、公表に当たる例として、「自社のホームページのトップページから １回程度の操作で到達できる場所への掲載」が紹介されています。

そこでひとまず、プライバシーポリシーとは、個人情報保護法上の公表等の義務に対応するとともに、上記基本方針に基づき、個人情報保護を推進する上での考え方や方針を対外的に明確化する（ために自社のホームページ上に掲載する）文書と理解しておけばよいでしょう。

プライバシーポリシーには何を書くべきか

ここまででお伝えしたとおり、プライバシーポリシーを策定するのであればは、個人情報保護法上の公表等の義務を負う事項（以下「公表等事項」といいます）を踏まえた内容にする必要があります。

ここで、個人情報保護法上の公表等事項は次のとおりです。ちなみに昨年（令和２年）の個人情報保護法改正で対象が少し増えました。

【個人情報保護法上の公表等事項】（令和２年改正反映）
・個人情報取扱事業者の氏名又は名称及び住所（法人は代表者の氏名も）
・利用目的（取得時／保有個人データ）
・開示、訂正等、利用停止、第三者提供禁止の請求に応じる手続き
・安全管理措置に関する事項
・苦情の申出先
・認定個人情報保護団体の名称及び苦情解決の申出先
・第三者提供のオプトアウトに関する事項（該当する場合）
・共同利用に関する事項（該当する場合）

プライバシーポリシーに、これらの事項をもれなく記載して公表すれば、個人情報保護法上の公表の義務を履行していることになります。

一方、私があえて「公表事項」ではなく「公表"等"事項」と略称しているように、プライバシーポリシーに記載して公表することだけが唯一の手段ではありません。具体的には、保有個人データに関する項目については、公表でなくとも「本人の求めに応じて遅滞なく回答」でもOKとされています。

どういうときに検討すべきかですが、例えば自宅兼事務所で、住所をHP上で公表したくない場合、プライバシーポリシーには住所を記載せず、本人の求めに応じて遅滞なく回答するという運用とすることも可能です（*6）。

このように、運用次第では、すべての公表等事項をプライバシーポリシーに記載して公表するという必要まではありません（*7）。ただし、次項で述べるとおり、個人情報の「利用」のルールを考えると、「利用目的」については、プライバシーポリシーなどで公表しておくことをおすすめします。

個人情報の「利用」のルールと利用目的の記載例

個人情報の「利用」ルールを簡単にまとめると次のとおりです。

【個人情報の「利用」に関するルールの大枠】
①　取得の際、本人に利用目的を通知・公表、または明示することが必要。
②　①の際の利用目的は、できる限り特定しなければならない。
③　取得後は、特定された利用目的の達成に必要な範囲でのみ利用可。

要するに、個人情報取扱事業者が本人から個人情報を取得しようとするときには、きちんと本人がこの事業者に自分の個人情報を預けてよいかどうか判断ができるように、本人に利用目的をわかりやすくお知らせしましょう（上記①②）。そしてお知らせした以上は、その範囲で使いましょう（上記③）というルールです（*8）。

逆に言うと、事業者としては、利用目的を適切に特定して示さなければ、想定していた利用目的で使えないという事態に陥ります。

では、そのような事態に陥らないようにするために、法律事務所における個人情報の利用目的として何を記載すべきなのでしょうか。以下、今回の講演を行うに際し、私が確認した利用目的を一覧にしてみました。

【プライバシーポリシーにおける利用目的の記載例】
１　法律事務に関連するもの
　・法律事務の受付、遂行及びこれに付随する連絡
　・本人確認
　・利益相反の有無の確認
　・お問い合わせ対応
　・不正依頼の防止
　・報酬請求及びこれに付随する事務処理
２　情報提供に関するもの
　・セミナー、講演、シンポジウム、研究会の案内及び受付
　・ニュースレター、事務所報、書籍、論文等の出版物の送付
　・ブログ、メールマガジン、SNS等の発信のご案内
　・案内状、挨拶状、年賀状、クリスマスカードの送付
　・本ポリシー変更の通知
３　採用・雇用等に関するもの(弁護士・スタッフ問わない)
　・採用情報の提供、応募受付
　・事務所説明会、事務所訪問等に関するご連絡
　・選考手続きの遂行、採否の決定及びこれに付随する連絡
　・採用応募者への継続的なコミュニケーション
　・進路選択、希望勤務地等に関する調査
　・司法修習生、司法試験合格者及び学生については事務所内研修の実施
　・採用後の人事労務管理、教育
４　その他
　・集会、署名の依頼
　・当事務所に関するアンケート調査・モニターの実施
　・新規ビジネスや支店開設に関する内容のご案内
　・当事務所グループとの事業承継等のため

冒頭の注釈（*1）で書いたとおり、規模を問わず全国的に100事務所程度チェックした結果として、法律事務所における個人情報の利用目的としては、だいたいこのあたりで網羅できているのではないかと思います。

個人情報の利用目的は事務所によって様々かと思いますが、適宜当てはまるものをピックアップ・改変してお役に立てていただければと思います。

少し補足すると、あくまで記載「例」ですので、上記のとおり記載しなければならないものではありません。例えば、項目３の多くは「採用活動のため」という記載に含めることができ、私としては特定として十分なように思います（*9）。
加えて、１～４の項目分けも整理のために付番したものなので、項目分けなしに箇条書きで列挙していただいても問題ありません。

利用目的を定めていなければ利用できないのか

【再掲】個人情報の「利用」に関するルールの大枠
①　取得の際、本人に利用目的を通知・公表、または明示することが必要。
②　①の際の利用目的は、できる限り特定しなければならない。
③　取得後は、特定された利用目的の達成に必要な範囲でのみ利用可。

ここまでお読みいただいた方の中では、「いやいや、うちの事務所は利用目的とか公表してないし、ややこしいこと言ってくれるなよ・・・。」とお考えの方もいるのではないかと思います。スミマセン。

しかし、「利用目的を公表等していなければ個人情報を一切利用することができない」ということはありません。
というのは、個人情報保護法は、上記に再掲した【個人情報の「利用」のルール】①（取得の際、本人に利用目的を通知・公表、または明示することが必要）の例外規定を設けています。

その中でも、「取得の状況からみて利用目的が明らかであると認められる場合」という例外規定があり、このような場合には利用目的の通知・公表又は明示は不要には利用目的の通知・公表又は明示は不要とされています。

具体例として、ガイドライン[通則編]40頁では、「商品・サービス等を販売・提供するに当たって住所・電話番号等の個人情報を取得する場合で、その利用目的が当該商品・サービス等の販売・提供のみを確実に行うためという利用目的であるような場合」という事例が紹介されています。

また、個人情報保護法ガイドラインを基礎にして公表された医療・介護関係事業者向けのガイダンス16頁では、上記事例が敷衍されて次のとおり記載されています。

医療・介護関係事業者が医療・介護サービスを希望する患者・利用者から個人情報を取得する場合、当該個人情報を患者・利用者に対する医療・介護サービスの提供、医療・介護保険事務、入退院等の病棟管理などで利用することは患者・利用者にとって明らかと考えられる。

これらを前提に考えると、法律事務の受任を受けるに伴い取得した依頼者の個人情報を、受任弁護士が、当該法律事務の遂行に必要な範囲で利用することは「取得の状況からみて明らか」といえると考えます。

したがって、当該法律事務の遂行に必要な範囲で利用することを、利用目的として通知・公表又は明示を行うことは不要であり、当該利用目的の限りにおいて利用することは可能と考えます。

ただ、あくまでも当該「取得の状況からみて明らか」な利用目的にしか利用できませんので、それ以外の目的（たとえば、受任する法律事務とは無関係の、提携サービスの案内や社会的活動への参加依頼など）にも利用したい場合には、前記【個人情報の「利用」のルール】に則った取扱いが必要です。

おわりに

以上、本エントリでは、利用目的の点を中心に、法律事務所におけるプライバシーポリシーの内容を検討してきました。

本エントリの基となった講演では、もう少し幅広にプライバシーポリシー全般について触れられたのですが、今回はここまでとしたいと思います（*10）。
講演時のスライドは以下にURLを貼っておきますので、本エントリを見てご興味を持った方は、ご覧いただければと思います。

【講演時のスライドのURL】

また、もしご関心があれば、他の弁護士会でもお話できるかと思いますので、ご遠慮なご連絡いただければと思います（その他、プライバシーポリシーの作成依頼や相談なども承っておりますのでお気兼ねなくどうぞ）。

最後になりましたが、興味深いテーマでの講演の機会をくださった兵庫県弁護士会に心よりお礼申し上げます。

それでは、明日は同じ事務所の後輩の坂田弁護士です！お楽しみに！

＝＝＝＝＝＝

（*1）ちょうど昨日で丸5年でした！振り返りの記事なんかも書きたいですね。
（*2）ジュリナビさんの都道府県別法律事務所ランキングなどを参考に、規模問わず、全国47都道府県・合計100事務所程度チェックしました。そのおかげで(?)、都道府県ごとの法律事務所の構成の傾向などにも詳しくなりました。あと、うちの事務所も兵庫県で載っていることに気が付きました(遅)。
（*3）記事中にも紹介した一昨年の記事でも書きましたが、自分の周りの同業者からも「個人情報保護法ってとっつきにくい、というかコワイ・・・」という声をよく聞きます。本エントリでは意識の高いことを書いてそうした不安を煽るつもりは毛頭なく、なるべく平易な文章で考え方の大枠や記載のポイントをお伝えできたらと思っています。
（*4）個人情報保護法と弁護士業務の関係については日弁連e-learningの「対策は万全ですか？改正個人情報保護法の施行とマイナンバー利用開始１年を迎えて」という牧田先生・水町先生の講演が示唆に富む内容です。私の登録時には既に2015年改正法は成立後施行直前でしたので、従前、弁護士が5000件要件で個人情報取扱事業者に該当しなかったということもこの講演で知りました。
（*5）当事務所が個人情報取扱事業者に該当するかにかかわらず、という前提に立った上で、相談者の安心確保の観点からプライバシーポリシーを定める、と明記する事務所もありました（当時のことに思いを馳せて、先回りした良い対応だなあと思いながら読みました）。
（*6）「一問一答　令和2年改正個人情報保護法」(商事法務・2020)の70頁においても次の記載があり、参考になります。

自宅が事業所となっている事業者の場合においても、本人の知り得る状態に置くことが義務付けられますが、公表等の方法については、本人の求めに応じて遅滞なく回答する場合も含むこととされているため、必ずしも常時掲載することが求められるものではなく、事業者の規模や個人事業主等の個人情報保護の必要性に鑑みて、問い合わせがあった場合に本人に対し遅滞なく回答する体制を整備しておくことも可能です。

（*7）プライバシーポリシーを定めつつ、公表事項の内容については当事務所までお問い合わせ下さい、とだけ記載する例もありました。
（*8）公表というより、明示の場面のようなアプローチで説明をしていますが、わかりやすさ重視ということで。
（*9）利用目的の特定の程度は、「個人情報取扱事業者において、最終的にどのような事業のように供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」とされています（ガイドライン[通則編]26頁）。
　その観点から、なるべく具体的な記載で列挙してみましたが、本文に記載のとおり、もう少し包括的なレベルでまとめることも可能と考えます。
（*10）その他にも検討すべきトピックはありますが、できれば、利用目的の示し方（通知・公表か明示か）については、今回の内容と関連しますので、書けたら書きたいと思います。

以上