- 企業が消費者から取得する情報の取扱いについて定める「プライバシーポリシー」は、法令上の要請から作成されるものですか。また、作成・公表に関して注意すべき点はなんですか。
- わが国の法令上、プライバシーポリシーを作成しなければならない義務はありません。ただし、個人情報保護法の保有個人データに関する事項の公表等(27条)の手段として、プライバシーポリシーが利用される場合や、プライバシーポリシーに個人データの第三者提供について記載し、これを示して同意を得ることで、同法が求める本人同意取得の手段として利用される場合があります。
(1)プライバシーポリシーの作成義務
プライバシーポリシーは、企業が必ず作成しなければならない法令上の要請があるものではありません。そのため、企業によって、作成意図、様式、内容は区々です。企業が取得する情報についてその本人や、社会全般に対して情報取扱いの透明性を担保することや、以下のとおり、個人情報保護法の要請に対応するために利用されることがあります。
(2)個人情報保護法とプライバシーポリシー
よく見かけるものとして、自らが取り扱う保有個人データの利用目的、ご本人様からの開示、訂正・消去、利用停止・提供停止請求に対応する手続、苦情相談窓口を含めたプライバシーポリシーがあります。これは、個人情報保護法第27条の「保有個人データに関する事項の公表」義務に対応するとともに、自社のデータ利用の透明性を確保する目的で定められるものです。
また、契約書、約款、利用規約において、個人情報の取扱いが規定されることがありますが、この中で「個人情報の取扱いについては、弊社プライバシーポリシーに定めるものとします」等とのみ規定し、詳細をプライバシーポリシーで定めることがあります。
いずれも、契約書等の中の上記規定によって、プライバシーポリシーが契約内容に組み入れられることとなります。そのため、プライバシーポリシーに個人データの第三者提供について規定を設けることによって、契約の締結をもって個人情報保護法上の同意取得がなされることがあります。
その他、新たな個人情報の取扱いを計画しており、従前の利用目的を変更・追加したい場合に、プライバシーポリシーを変更し、変更後の内容を本人に明示し、これに同意いただくことによって、利用目的変更の通知等(法15条2項、18条3項)や目的外利用の同意取得(法16条1項)を行うこともあります。
(3)プライバシーポリシー策定のポイント
以上のとおり、プライバシーポリシーは、その作成が義務付けられたものではないものの、企業が取得する情報の利用態様を明確化し、個人情報保護法に適切に対応するために重要なものであると言えます。
プライバシーポリシーは、ただ定めておけば足りるという安直な考えは捨て、
- 透明性確保の観点からは、わかりやすくどのような情報取扱いが行われているのかが明らかとなるように定めること、
- 法令の要請に適切に対応できるよう、規定内容を精査し、適切な時機に本人から同意を得ること等
を心がけ、積極的に事業に活用することが望まれます。
(弁護士 日置巴美 H29.3.31)
