2020年(令和2年)6月5日、改正個人情報保護法が国会において可決、成立しました。
2022年(令和4年)4月1日より、この改正法は全面施行されています。
本稿では、改正個人情報保護法に関連し、プライバシーポリシーに盛り込むべき内容について、条文やガイドラインの内容を紹介しつつ、解説します。
個人情報保護法の改正を踏まえた、プライバシーポリシーを作成する際のポイント
第1 個人情報保護法に関する基礎知識
1 個人情報保護法とは
個人情報保護法は平成15年に成立した法律です。
この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。
平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する立入検査などをおこなっています。
2 個人情報とは
個人情報保護法では、「個人情報」とは、生きている個人に関する情報で、①特定の個人であると分かるもの及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。
したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。また、法人(企業など)は生きている個人ではないため、法人情報は「個人情報」に含まれません。
もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。
3 2020年に改正された個人情報保護法の内容
2020年に改正された個人情報保護法の概要は以下の通りです。
まず、個人の権利としては、利用停止・消去などの個人の請求権について、要件を緩和しました。その他の個人の請求権についても、開示方法や対象が広がりました。
一方で、データの利用・活用の観点からは、「仮名加工情報」を創設し、内部分析に限定する前提で、規制が緩和されました。
その他、法定刑の引き上げや、外国の事業者への個人データの提供に関する情報提供等、さまざまな法整備が行われました。
第2 個人情報保護法改正に伴うプライバシーポリシーの変更
1 プライバシーポリシーとは
プライバシーポリシーとは、簡単に言えば、事業者における個人情報の取り扱いの方針・ポリシーを定めたものです。
個人情報保護法においては、「事業者はプライバシーポリシーを作成しなければならない」といった制度は定められていません。もっとも、個人情報を提供する側(顧客等)にとって、自分の個人情報がどのように取り扱われるのかわかることは、ひとつの安心材料となります。そのため、自主的にプライバシーポリシーを定め、自社ウェブサイト等で公表する、契約時に文書の形で渡すといった企業も多くあります。
2 プライバシーポリシーに絶対に書かなければならない内容というものはない
上記のとおり、プライバシーポリシーは、法律上作成が義務付けられているものではありません。そのため、「プライバシーポリシーはこのような内容でなければならない」といった決まりもありません。
もっとも、個人情報保護法では、「公表」することが求められている事項があります。
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
また、個人情報保護法では、「本人の知り得る状態に置かなければならない」とされている事項もあります。
個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
(以下略)
このように、個人情報保護法において、公表することや本人の知り得る状態に置くことが求められている事項については、せっかくプライバシーポリシーを作成するのであれば、その中に盛り込むと良いでしょう。
3 プライバシーポリシーの具体的な内容
ここからは、プライバシーポリシーにどのような内容を記載した方が良いのかについて見ていきます。
※ なお、プライバシーポリシーは、それぞれの事業者の事業内容等に応じて、個別具体的に内容を決めるべきものです。本稿は、多くの事業者に共通すると思われる、一般的な内容の記載に留まっていますので、事業者によっては、以下の内容以外でも記載した方が良い項目がある場合もあり得ます。
その点はご留意ください。
⑴ 基本方針
まずは総論として、事業者が、「個人情報の保護についてどのような考え方を取っているか」という基本方針を冒頭に書くと良いと思います。
内容としては、「個人情報保護法その他関係法令を遵守し、個人情報を適切に取り扱う」という趣旨になるかと思います。
⑵ 利用目的の特定
個人情報の利用目的について、個人情報保護法は次のように規定しています。
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的…をできる限り特定しなければならない。
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
したがって、個人情報の利用目的については、できる限り特定した上で、あらかじめ公表しておくか、取得後に速やかに本人に通知または公表しなければなりません。
そこで、プライバシーポリシーにあらかじめ個人情報の利用目的を記載し、公表しておくことで、個人情報保護法における義務をクリアすることができます。
なお、個人情報保護委員会が作成・公表している、個人情報保護法のガイドラインでは、「個人情報取扱事業者は、個人情報を取得する場合は、あらかじめその利用目的を公表…していることが望ましい。」と記載されています。
利用目的の具体性については、「利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」と記載されています。
したがって、ある程度具体的な記載が必要になります。
この点、ガイドラインでは、「事業活動に用いるため」「マーケティング活動に用いるため」といった記載は、具体的に特定できていないものとして例示しています。
その他、個人情報を第三者に提供することをあらかじめ想定している場合には、その旨を利用目的で明確にしておく必要もあります。
また、このガイドラインでは、公表の方法の例として、「自社のホームページのトップページから1回程度の操作で到達できる場所への掲載」とされています。
したがって、自社ウェブサイトのトップページにリンクを表示し、プライバシーポリシーに1回のクリックで到達できるようにしておくとよいでしょう。
⑶ 個人情報の取得・保有主体
個人情報保護法では、本人への周知事項として、以下の規定があります。
個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
⑴ 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
⑵(以下略)
したがって、事業者の名称等の情報は、プライバシーポリシー明記しておくとよいでしょう。
⑷ 開示請求などへの対応方法
個人情報保護法第32条第1項の周知事項のうち、第3号では以下の規定があります。
⑴⑵(略)
⑶ 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続(第38条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
⑷(略)
条文の引用が多いため少し分かりづらいですが、分解していくと以下の通りとなります。
①「次項の規定による求め」
⇒個人情報保護法第32条第2項(保有個人データの利用目的の通知)
(以下略)
②「次条第1項」
⇒個人情報保護法第33条第1項(保有個人データの開示)
③「同条第5項において準用する場合」
⇒個人情報保護法第33条第5項(第三者提供記録の開示)
④「第34条第1項」
⇒個人情報保護法第34条第1項(保有個人データの訂正等)
⑤「第35条第1項、第3項若しくは第5項」
⇒個人情報保護法第35条第1項(法違反があるときの保有個人データの利用停止等)
⇒個人情報保護法第35条第3項(法違反があるときの保有個人データの第三者提供の停止)
⇒個人情報保護法第35条第5項(一定の要件を満たす場合の保有個人データの利用停止等又は第三者提供の停止)
⑥「第38条第2項」
⇒個人情報保護法第38条第2項(手数料)
※ 「前項の規定」とは、保有個人データの利用目的の通知(個人情報保護法第32条第2項)の求め、保有個人データの開示の請求(個人情報保護法第33条第1項)、第三者提供記録の開示の請求(個人情報保護法第33条第5項)のことです。
以上のように、
①保有個人データの利用目的の通知
②保有個人データの開示
③第三者提供記録の開示
④保有個人データの訂正等
⑤保有個人データの利用停止等又は第三者提供の停止
⑥手数料
といった手続きについて、個人情報保護法では本人への周知を求めています。
したがって、これらの事項の手続方法等について、プライバシーポリシーに記載しておくとよいでしょう。
⑸ 安全管理措置
個人情報保護法第32条第1項の周知事項のうち、第4号には以下の規定があります。
⑴~⑶(略)
⑷ 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
この「政令で定めるもの」の中身ですが、政令第10条には以下の規定があります。
(1) 法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
(2) 当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
(3)(略)
この政令第10条の(1)から、「保有個人データの安全管理のために講じた措置」を周知しておくとよいでしょう。
なお、この措置とは、大きく分類すると、
・基本方針の策定
・個人データの取扱いに係る規律の整備
・組織的安全管理措置
・人的安全管理措置
・物理的安全管理措置
・技術的安全管理措置
・外的環境の把握
があるとされています。
具体的な例示は、個人情報保護委員会のガイドラインに記載されていますので、参考にしていただければと思います。。
なお、公表することで、保有個人データの安全管理に支障を及ぼすおそれがあるものについては、公表する必要はありません。
⑹ 苦情処理
上記の安全管理措置の政令第10条の(2)では、保有個人データの取り扱いに関する苦情の申出先についても、本人への周知が求められています。
したがって、苦情の申出先の部署、住所や電話番号(場合によってはメールアドレス)、対応時間帯などを記載しておくとよいでしょう。
⑺ その他
その他、オプトアウトによる第三者提供をする場合や、個人データを共同利用する場合など、一定の事項を公表しておくべき場合もありますが、多くの事業者にとって必要とまでは言えないかと思いますので、本稿では割愛します。
第5 最後に
プライバシーポリシーを作成する際には、どのような事項を、どの程度記載するか、判断が困難な場合もあるかもしれません。
その際には、弁護士と相談しながら、内容を検討・修正するとよいでしょう。
今回のコラムについてご質問がある場合、電子メール(2021glexpand@g-leaf.or.jp)にてお受けします。件名には、コラムを書いた弁護士名をご記載ください。大変恐縮ですが、電話でのご質問はお受けしておりません。
企業法務を得意とする法律事務所をお探しの場合、ぜひ、当事務所との顧問契約をご検討ください。