情報管理

プライバシーポリシー作成上の留意点

前回は、プライバシーポリシーが果たす役割についてお話いたしました。今回は、プライバシーポリシーの作成において留意すべき点について説明させていただきます。

1.利用目的

個人情報保護法では、個人情報取扱事業者は、取り扱う個人情報の利用目的をできるかぎり特定し、個人情報の取得に際してその利用目的を公表又は本人に通知をしなければならず、また、あらかじめ本人の同意を得ない限り、原則として、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならないとされています(個人情報保護法第15条、第16条、第18条)。

したがって、利用目的を定める際には、取得する個人情報を洗い出した上で、想定する利用目的を漏れなく記載する必要があります。

また、利用目的の特定は、かなり具体的に記載する必要があることに注意が必要です。

2.第三者提供

(1)第三者提供

個人情報保護法は、原則として、取得した個人データ(個人情報データベース等を構成する個人情報をいいます)を第三者に提供する際には、本人から同意を取ることを求めています。第三者への提供は、一般的に本人の心理的抵抗も大きいですので、原則「同意」が要求されています(個人情報保護法第23条第1項)(なお、例外として、オプトアウトによる第三者提供が認められる場合については、後記のとおり)。

したがって、同意を得て個人データを第三者提供する場合には、通常、提供先の範囲や提供する内容等をプライバシーポリシーで特定し、その上でユーザーからプライバシーポリシーへの同意をあらかじめ得ておくこととなります。

また、個人データを第三者提供する場合、個人情報取扱事業者は、提供年月日や第三者の氏名等の記録を作成し、一定期間保存することが義務づけられます(個人情報保護法第25条)。また、提供を受ける側についても、提供者の氏名等や当該個人データの取得の経緯等を確認し、提供を受けた年月日等の記録を作成し、一定期間保存する必要があります(個人情報保護法第26条)。

(2)第三者提供に該当しない場合

一方で、個人情報保護法においては、①個人情報取扱事業者が利用目的の達成に必要な範囲内であり個人データの取扱いの全部または一部を委託する場合、②合併等事業承継の場合及び③共同利用の場合には、第三者提供に該当しないものとされており、第三者提供に関する上記規制は及びません(個人情報保護法第23条第5項)。

しかし、ユーザーの信頼を獲得する観点からは、そのような場合でも、第三者に提供する場合がある旨記載しておくことが重要です。なお、委託先については、個人情報保護法上の監督義務が発生し、委託先の行為に事業者が責任を負う場合があります(個人情報保護法第22条)。

オプトアウト・共同利用

  • オプトアウト(本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしているような場合)

    第三者提供を利用目的とすることなど一定事項を予め本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会にその旨届け出ることより、事前に本人の同意を得ることなく、個人データを第三者へ提供することが可能です(個人情報保護法第23条第2項)。

  • 共同利用(グループ会社など特定の者との間で個人データを共同して利用する場合)

    共同利用される旨など一定事項を予め本人に通知し、又は本人が容易に知り得る状態に置くことにより、そもそも「第三者」に該当しないものとされています。もっとも、共同利用については、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で行う必要があります。共同利用者間でその管理について共同の責任を負う可能性もあるため、お互いに責任を負うことが出来るような特定企業(資本関係のあるグループ企業等)に限定して用いる方がよいでしょう(個人情報保護法第23条第5項第3号)。

3.保有個人データに関する事項

保有個人データ(個人情報取扱業者が開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データを意味します)については、一定の事項を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含みます)におかなければなりません(個人情報保護法第27条)。なお、ウェブサービスがビジネスの一環として個人情報を収集している場合、ほとんどの個人情報は、保有個人データに該当するといえるでしょう。

そこで、プライバシーポリシーにおいては、当該個人情報取扱事業者の氏名又は名称、全ての保有個人データの利用目的、個人情報保護法上の開示等の請求に応じる手続き、開示手数料、保有個人データの取扱いに関する苦情の申出先などについて定め、本人の知り得る状態にしておく必要があります。なお、開示請求の際の本人確認方法についても、定めておきましょう。

4.プライバシーポリシーの設置場所

プライバシーポリシーは、これまで説明してきたとおり様々な法律上の要請に応えるべく、ユーザーの知り得る状態に置くべき部分があるため、ウェブサービスのトップページから1回の遷移で到達できる場所へ掲載しておくべきでしょう。また、第三者提供についての同意を得るべき場合には、プライバシーポリシー全文を表示した後に同意のチェックボックスを設けるなど、明示的な意思確認が行われるように工夫が必要です。

5.アプリプライバシーポリシー

アプリにおけるプライバシーポリシーでは、通常のサービスより工夫が必要です。

アプリサービスでは、非常に幅広い情報を収集することが可能であるため、収集する情報や利用目的を慎重に検討する必要があります。また、アプリサービスで取り扱う情報は、技術的な用語や概念が複雑なものが含まれるため、プライバシーポリシーにおいては、これらをユーザーが理解できるよう平易に表現する必要があります。また、スマートフォンの画面は小さいので、読みやすいよう表記についても工夫する必要があるでしょう。

複数のアプリを提供している場合には、個別のアプリごとのプライバシーポリシーを作成することが推奨されています。そのような場合には、プライバシーポリシーを「全アプリ共通部分」と「個々のアプリ独自部分」に記載を分けて作成する方法が取られたりしています。

なお、アプリサービスには、外部サービスとの連携機能が含まれることも多いですが、これらの外部サービスが個人情報保護法に対応されるよう設計されているか慎重に検討していく必要もあるでしょう。

6.まとめ

以上、プライバシーポリシーの目的、作成の留意点についてご説明させていただきました。

近年では、位置情報やウェブサイトの閲覧履歴等、行動パターンや嗜好を浮き彫りに出来る情報まで収集される傾向が進んでいることから、プライバシー情報に関するユーザーの警戒度も高まっています。プライバシーポリシーは、サービスや企業に対する信頼性を判断する重要な材料となります。一度作成したプライバシーポリシーをそのままずっと利用することはせず、常にサービス内容に適切に合致させ、工夫を凝らし、ブラッシュアップしていく必要があるといえます。

文責

お問い合せ
Contact

顧問弁護士・企業法務に関する無料法律相談のご予約はこちら

お問合せはこちら tel:0120-525-953

顧問弁護士・企業法務に関する
無料法律相談のご予約はこちら