プライバシーポリシーの作成について
- ECサイトを運営しておりますが、プライバシーポリシーを作成する必要はありますか?
-
プライバシーポリシーを作成する義務まではございませんが、以下のとおり、企業が個人情報保護法またはその関係法令を遵守する上で、プライバシーポリシーを定めておくことは非常に有用です。
プライバシーポリシーとは
プライバシーポリシーは、一般的に、「個人情報等の取得、利用、管理、提供、本人の権利行使等の取扱いの方針を明文化したもの」等と説明されます。
個人情報を収集等する一定の事業者(以下「個人情報取扱事業者」)においては、収集した個人情報の取扱いに関して一定の法的規制が生じます。
そのような法的規制を遵守するための手段として、多くの企業がプライバシーポリシーを定めています。
プライバシーポリシー作成の留意点
取得する個人情報の項目等
個人情報保護法上、取得する個人情報の具体的な項目、その取得方法については、本人に通知・公表する義務等は課されていません。
もっとも、どのような場合に、どのような情報が取得されるのか等について、あらかじめ明らかにしておくことは本人の利益に資するものと考えられます。
そこで、具体的には、会員登録をする場合に、氏名、住所、電話番号等を、決済をする際にはクレジットカード情報等を、本人の同意がある場合には位置情報を取得すること等を記載しておくことが望ましいと考えられます。
利用目的の策定について
個人情報取扱事業者は、個人情報を取り扱うに当たり、その利用目的をできる限り特定しなければならないものとされています(個人情報保護法(以下「法」といいます。)17条1項)。
また、原則として、収集した個人情報は、利用目的の範囲を超えて利用することはできないものとされています(法18条1項)。
利用目的の特定に当たっては、どのような事業で、どのような目的で利用されるのか、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましく、逆に本人が自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できない場合には、「できる限り特定」したとはいえないものと考えられています(個人情報保護法ガイドライン(通則編)3-1-1|個人情報保護委員会)。
具体例
- 「マーケティング目的のため」
- 「●●事業におけるマーケティングデータの調査、分析及びマーケティング施策の検討、実施のため」
第三者提供について
個人情報を第三者に提供する際には、原則として、あらかじめ本人の同意を得ておく必要があります(法27条1項)。
「第三者」とは、以下の者をいいます。
(ⅰ)当該個人データによって特定される本人
(ⅱ)当該個人データを提供しようとする個人情報取扱事業者以外の者
例えば、同一会社内の他部署に個人情報を提供することは、(ⅱ)の場合に該当するため、第三者提供には該当しません。
一方で、マッチングサービス等のCtoCサービスでユーザー同士が情報を交換する場合や、API連携を行い第三者が提供するウェブサービスにアクセスできるような場合には、これに当たる可能性があります。
したがって、個人情報の第三者提供が想定される場合には、あらかじめプライバシーポリシーに第三者提供に関する事項を定めておき、本人から同意を得る必要があります。
なお、第三者提供の記載に際して、提供先の氏名や名称を明示する必要はなく、想定される提供先の範囲や属性を示すことで足りるものとされています(個人情報の保護に関する法律についてのガイドラインに関するQ&A 7-9|個人情報保護委員会)。
また、以下の場合にはそもそも第三者提供には該当しませんのでご注意ください。
- 利用目的の範囲内で個人データの取扱いの全部又は一部を委託する場合(配送のために配送業者に個人情報を提供する場合等)
- 合併その他の事由による事業の承継が伴う場合
- 共同利用の場合(後記で解説。)
共同利用について
グループ会社や特定のキャンペーン事業の一員等、特定の者との間で共同して個人データを利用するときは、
(ⅰ)共同利用をする旨
(ⅱ)共同して利用される個人データの項目(氏名、住所等)
(ⅲ)共同して利用する者の範囲
(ⅳ)利用する者の利用目的
(Ⅴ)当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
の(ⅰ)~(Ⅴ)をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときは、当該提供先は、本人から見て、当該個人データを当初提供した事業者と一体のものとして取り扱われることに合理性があると考えられるため、かかる個人情報の提供は第三者提供に当たらないものとされています。
(ⅲ)の共同利用者の範囲については、具体的な事業者の名称等を個別に全て列挙する必要はないものの、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要があるものとされています(個人情報保護法ガイドライン(通則編)3-6-3(3)⑥|個人情報保護委員会)。
外部送信規律に関して
一定の事業を営む個人情報取扱業者について、ウェブサイトやアプリにおいて、ユーザーのウェブサイト閲覧履歴情報等が送信される場合、ユーザーに対して、
- 送信されることとなる利用者に関する情報の内容
- 送信先の当該情報を取り扱うこととなる者の氏名又は名称
- 送信される情報の利用目的
を提供し、その確認の機会を与えなければならないものとされています(電気通信法27条の12)。
例えば、ウェブサイトにGoogle Analyticsを組み込んでいる、一定の事業者は、上記情報を提供する必要があります。
外部送信規律に関しては以下の記事を参考にしてください。
安全管理措置
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないものとされています(法23条)。
そして、それにより講じた措置は、本人の知り得る状態に置かなければならないものとされています(法32条1項4号、施行令10条1号)。
なお、「本人の知り得る状態」とは、本人の求めに応じて遅滞なく回答する場合を含むものとされているため(個人情報保護法ガイドライン(通則編)3-8-1|個人情報保護委員会)、その概要や一部を記載しつつ残りは、本人の求めに応じて遅滞なく回答する旨の規定を設けておけばよいと考えられます。
開示、訂正、利用停止等の手続について
個人情報保護法上、本人は、個人情報取扱事業者に対し、個人情報を開示し、訂正、追加、削除し、利用目的の範囲を超えて利用されている場合等には停止、消去するよう請求することができるとされています(法33条ないし35条)。
これに対し、個人情報取扱事業者としては、
- 開示等の請求等の申出先
- 開示等の請求等に際して提出すべき書面(電磁的方法を含む。)の様式、その他の開示等の請求等の受付方法
- 開示等の請求等をする者が本人又はその代理人であることの確認の方法(登録済みのIDとパスワードが必要である等)
- 利用目的の通知又は保有個人データの開示をする際に徴収する手数料の徴収方法を定めることができる
とされています(法37条、政令12条、政令13条)。
また、上記手数料を徴収する場合は、徴収額について、実費を勘案して合理的であると認められる範囲内において、その手数料額を定めなければならないとされています(法38条)。
苦情の申出先
個人情報取扱事業者は、保有個人データの取扱いに関する苦情の申出先について、これを本人の知り得る状態に置かなければならないとされています(個人情報保護法ガイドライン(通則編)3-9|個人情報保護委員会)。
したがって、住所、法人名、個人情報取扱責任者、連絡先等を記載しておく必要があります。
変更手続
プライバシーポリシーの変更手続について、変更した場合はあらかじめウェブサイト上で周知する等の諸手続を行うこと等を記載します。
もっとも、変更が常に許されるわけではなく、変更後の利用目的が変更前の利用目的からみて、社会通念上、本人が通常予測し得る限度と客観的に認められる範囲のみ変更が認められ、これを超える場合の変更手続については、個別の同意が必要であるとされています(民法548条の4参照)。
まとめ
以上のとおり、個人情報保護法を遵守する上で、企業はプライバシーポリシーを適切に定める必要があります。
個人情報保護の重要性が高まる昨今、企業としてはプライバシーポリシーを設け、より一層注意して個人情報を取り扱う必要があるでしょう。
ネクスパート法律事務所ではこのような個人情報に関する問題について専門チームで対応させていただいています。
また、日頃分からないことがあれば、チャットワーク等でご相談いただき、弁護士からすぐに返答させていただくサービスも提供しております。
ぜひ一度無料相談のお問い合わせをください。
弁護士に相談して早すぎることはありません
豊富な実績と確かな実力で力になります
弁護士に相談して早すぎることはありません
豊富な実績と確かな実力で力になります
〒104-0031
東京都中央区京橋2-5-22キムラヤビル7階
ネクスパート法律事務所
TEL:03-5357-1901
FAX:03-5357-1902
弁護士 尾又比呂人 (第一東京弁護士会所属)
