プライバシーポリシーはなぜ必要? 理由と作成上の注意とポイント
2020年6月に改正個人情報保護法が可決・成立したことにより、サイト上におけるプライバシー保護にはこれまで以上に大きな注目が集まり始めています。その流れを受け、企業をデータにまつわるトラブルから守るための「プライバシーポリシー」の制定・公表は、企業にとって切迫した課題ともなっています。
そこで今回は、プライバシーポリシーが必要な理由や企業にとっての注意点をご紹介します。ぜひこの記事を参考に、早めの作成・公表をご検討ください。
1.「プライバシーポリシー」とは
プライバシーポリシーとは「サイト上で集めた個人情報をどのように利用するか」を公開したものです。その企業が個人情報の取り扱いについてどのような方針を取っているかを明確に提示します。
個人情報保護法により、個人情報の取得時には「ユーザーから情報の取り扱いについて同意を取るか、取り扱い方針を公表する」ことが重要です。しかし、データを取得するたびに「取得しても大丈夫ですか?」と訪ねるのは現実的ではありません。そのため、多くの企業ではプライバシーポリシーを事前に公表しておくことで、一括して対処しています。
2. プライバシーポリシーが必要な理由
次に、プライバシーポリシーが必要な理由を細かく見ていきましょう。
「個人情報」の利用目的をユーザーに通知するため
プライバシーポリシーのもっとも重要な役割は、「取得する個人情報の利用目的」をユーザーへ伝えることです。何のために情報を取得するのかを明らかにしなければユーザーに不信感を与えてしまいますし、何より個人情報保護法違反に該当する恐れがあります。
「第三者提供」の同意を得るため
取得した個人データを別の事業者(第三者)に提供するためには、ユーザーへ「第三者に提供すること」「提供項目」「いつでも取りやめられること」などを説明し、同意を得ることが必要な場合があります。多くの企業では、この流れをプライバシーポリシーに示すことで同意に代えています。
なお、今回の改正案によってオンライン識別子(Cookie、IPアドレスなど)の提供を第三者が受けて使用する場合、第三者でオンライン識別子と個人情報を紐付けて利用する場合は、同意の取得が重要となりました。なかでもCookieの取り扱いについては世界的に関心が高まっており、プライバシーポリシーと合わせて「Cookieポリシー」も作成しておくべきでしょう。Cookieポリシーには、
- Cookieを利用していること
- 利用目的
- 停止できること(問い合わせ先・手続き含む)
- 停止しても自社サイトが利用できること
などの記載が求められます。
上記の項目のなかの「停止しても自社サイトが利用できること」はGDPRのような海外の法律に対応するためのもので、日本の個人情報保護法対策だけを考えるのであれば必要ありません。しかし、GDPRは日本企業にも適用可能性があること、今後も個人情報保護法は厳格化していくであろうことを考慮すると、記載しておくべきものだと言えます。
「保有個人データ」の開示義務に対応するため
個人情報保護法により、ユーザーから申し出を受けた場合には「保有個人データ(個人情報をデータベース化し、検索・修正などを可能にしたもの)」を開示しなければなりません。この開示の手順や流れをプライバシーポリシーで公表しておくことが求められています。
「プライバシーマーク」を取得するため
日本情報経済社会推進協会が認定する「Pマーク(プライバシーマーク)」を取得するためには、プライバシーポリシーの作成がかかせません。Pマークは、個人情報の適切な取り扱いに関する一定水準を満たした事業者にのみ与えられる証です。自社サイトなどにロゴを配置するだけで、プライバシー保護に気を配っている企業であるというアピールができます。
3. 作成に向けて企業がやるべきこと
次に、プライバシーポリシーを作成するために企業がやるべきことをご紹介します。
社内で保有している「個人情報」を把握する
まずは、現在社内で保有している、あるいは今後保有するであろう個人情報にどのようなものがあるのかを明らかにしましょう。現在提供しているサービスのユーザー情報と、将来のサービスの顧客になりうるユーザーの情報では、利用目的が異なる可能性があります。
なお、保有している個人情報は暗号化を行うなどして適切に管理すべきです。管理状態に問題がないかどうかも合わせて確認しましょう。
ビジネス・サービス上の「個人情報の利用目的」を厳密化する
いたずらにデータを取得・保管してしまえば、それだけ情報流出のリスクや管理の手間も膨大になります。まずは「何のために、どの情報を利用するのか」を厳密に検討してみましょう。プライバシーポリシーを詳細に記述するためにも不可欠なステップです。
4. 作成時に注意したいポイントとは
次に、企業が知っておくべき作成時の注意点をいくつかご紹介します。
「利用規約」と一体化させない
国内企業では、利用規約とプライバシーポリシーを一体化させているケースが目立ちます。しかし、本来これは望ましくありません。
日本企業にも適用・高額賠償の可能性があるGDPR(EU一般データ保護規則)では利用規約とプライバシーポリシーの一体化を認めておらず、個別に設置するよう定めています。また、個人情報提供への同意は「停止」できるもの、つまり撤回できるものであるべきだとされており、一体化してしまっていると、プライバシーポリシーへの撤回意思が利用規約にまで及んでしまう可能性があります。これからプライバシーポリシーを準備するのであれば、個別に作成することをおすすめします。
利用目的は詳細に記述する
2020年6月成立の改正個人情報保護法により、利用目的の詳細な記述がこれまで以上に求められるようになりました。サービス向上のため・事業展開のためといった包括的な記述では同意を得たとみなされない可能性が高まっています。メールアドレスであれば「メルマガを送るため」、住所であれば「商品を届けるため」のように、取得事項に合わせて詳細に記述するよう意識しましょう。
問い合わせ先を明記する
ユーザーの権利(開示・利用停止・消去など)を守るために、各種申請を受け付ける「問い合わせ先」を明記しなければなりません。対応する要員の準備も含めて、社内で体制を整えておきましょう。
アクセスしやすい場所に置く
作成したプライバシーポリシーは公表する必要があり、わかりやすい場所への設置が求められます。何度もクリックしないとたどり着けないような場所に設置するのでは意味がありません。トップページ下部にリンクを設置するなど、手軽に確認できる場所へ置きましょう。
5. まとめ
プライバシーポリシーの作成は、個人データを扱う企業にとっては義務と言っても過言ではありません。プライバシー保護の流れは今後も強まることが予想されますので、情報管理体制の強化、外部の専門家への相談、CMP(同意管理ツール)の導入など、可能な限り早めの対応を取るようにしましょう。
パーソナルデータの取扱いにお悩みの方に
- 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
- 誰にどこまで同意を取ったか管理するのが大変…
- ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
- 同意は管理できても他社システムを上手く連携して使えないと…
で、すべて解決!