企業の個人情報保護対策に必要なものの一つとして、プライバシーポリシーがあります。
プライバシーポリシーは、顧客や取引先の信頼感を得ることができるとともに、プライバシーマークの取得に必須の項目でもあります。
今回は、そんな個人情報を扱う企業にとって非常に重要なプライバシーポリシーについて解説します。
また、LRMでは、セキュリティ担当者が頭を悩ませがちな情報セキュリティポリシー策定・運用ポイントがサンプル付きでわかる資料を無料で配布しています。ぜひご活用ください。
プライバシーポリシーとは
プライバシーポリシーは、自組織における個人情報やパーソナルデータの収集・利用に関する方針をまとめた文書で、Webサイトやネットサービスなどでユーザに提示されるものです。
具体的には、企業が個人情報をどのように収集・保護・利用しているかを示し、第三者への共有の有無やその際の基準を説明したものです。
個人のプライバシーを保護するという意思表示でもあり、顧客や取引先の信頼を確保するため、法的要件を満たすため、そして、企業の信頼性を担保するために重要です。
プライバシーポリシーの必要性
プライバシーポリシーの必要性は主に以下の2つです。
- 個人情報保護法が定めるルールの履行
- プライバシーマーク(Pマーク)の取得
個人情報保護法が定めるルールの履行
個人情報保護法は、個人情報を取り扱うすべての事業者に対して、取り扱う予定の個人情報の種類やそれをどのように取り扱う予定なのかといった事項を公表することを義務付けています。
これらの義務を遵守するために、多くの事業者がプライバシーポリシーを作成し、Webサイトやアプリ上に掲載しています。
個人情報保護法については、「個人情報保護方針とは?その内容と具体的な作成方法について解説」でも解説していますので、合わせてご覧ください。
プライバシーマーク(Pマーク)の取得
Pマークは、個人情報の管理が一定水準以上にあることを、第三者機関である一般社団法人日本情報経済社会推進協会(JIPDEC)が認定したことを証明するマークです。
Pマーク認証を取得することで、取引先からの信用拡大や社員の意識向上なども期待できますが、Pマーク認証を取得するためには、プライバシーポリシーの策定が必須です。
そのため、プライバシーポリシーは、個人情報保護法上の義務を果たすだけでなく、事業者自身が信頼性を確保し、ユーザに安心感を提供するためにも重要なものとなっています。
Pマークについては、「Pマークとは?メリットや注意点、取得期間・取得費用、実施事項などを解説」でも解説していますので、合わせてご覧ください。
プライバシーポリシー作成は義務付けられているか
では、プライバシーポリシーは絶対に作らなくてはいけないものなのかと言うと、実は、法律上は、すべての企業が作成を義務付けられているわけではありません。
ただし、個人情報を取り扱う企業では、個人情報保護法によりプライバシーポリシーの作成を義務付けられています。
具体的には、以下の2つの義務を果たすためにプライバシーポリシーの作成の必要があります。
- 個人情報の利用目的を本人に伝える義務
- 個人データの開示や訂正の手続きを公表する義務
個人情報の利用目的を本人に伝える義務
企業が個人情報を収集する目的を、その情報を提供する本人に明確に伝える必要があります。
個人データの開示や訂正の手続きを公表する義務
企業は、本人が自身の個人データに対して開示や訂正等の請求を行うための手続き方法を公表する必要があります。
これらの義務を遵守するために、多くの企業がプライバシーポリシーを作成し、Webサイトやアプリ上に掲載しています。
プライバシーポリシーの作成方法
プライバシーポリシーの作成方法は以下の2つです。
- テンプレートを活用して自作する方法
- 専門家に依頼して作成する方法
テンプレートを活用して自作する方法
プライバシーポリシーはさまざまなWebサイトで公表されており、中にはテンプレートを公開しているサイトも多数存在します。
テンプレートを流用することで、比較的かんたんに作成することができます。
ただし、テンプレートから作成する場合は、自社に即した形に編集する必要があるため、ある程度の知識が必要となります。
また、テンプレートは、古いものだと法改正に適応できない場合があったり、もともと問題なかったものが自社の業務範囲拡大により使えなくなったり、といったケースも存在します。
そうしたリスクも考慮しましょう。
専門家に依頼して作成する方法
行政書士や弁護士といった専門家に依頼する方法は手間がかからず、リソースやノウハウがない会社でも高水準のポリシーを作成できます。
とは言え、専門家を選定する必要がありますし、金銭的コストはかかってしまいます。
プライバシーポリシーの作成方法
以下はプライバシーポリシーを作成する際の一般的な方法です。
- 個人情報の洗い出し
- 利用目的の明確化
- 安全管理にまつわる措置
- 第三者への提供について記載
- 開示・訂正等への対応
それぞれ解説します。
個人情報の洗い出し
まず、自社がどのような個人情報を保有しているかを洗い出すことが必要です。
そもそも、どのような種類の個人情報を保有しているかを把握しておかないと、その利用目的を記載することができません。
利用目的の明確化
ここでは、収集した個人情報をどんなことにどのように利用するのかを明確化します。
社内での個人情報の取り扱いを可視化するとともに、ユーザに対して、個人情報がどのように利用されているかを伝えるという法律上の義務に対応します。
安全管理措置
個人情報は適切なセキュリティ対策を講じて保護する必要があります。
- 組織的安全管理措置
- 人的安全管理措置
- 物理的安全管理措置
- 技術的安全管理措置
といった安全管理措置を考えましょう。
安全管理措置については、「情報セキュリティ対策の考え方とは?最新の脅威の動向も踏まえて解説」でも解説していますので、あわせてご覧ください。
第三者への提供
個人情報を第三者と共有する機会があるのかどうか、また、共有する場合、どのような条件下で共有されるかを説明します。
開示・訂正等への対応
ユーザーからの個人データへの開示・訂正等の要求へどう対応するかも記載します。
以上はあくまで一例であり、具体的な内容は自社のサービス内容や取り扱う情報により異なります。
また、法律改正等により必要な記載事項は変わる可能性があるため、最新の法令等を確認しながら作成することが重要です。
プライバシーポリシーのひな形
プライバシーポリシーには以下の内容を含めるのが一般的です。
- 事業者情報(名称、住所、法人代表氏名)
- 個人情報の取得方法
- 個人情報の利用目的
- 個人データを安全に管理するための措置
- 個人データの共同利用
- 個人データの第三者提供
- 保有個人データの開示、訂正
- 保有個人データの利用停止
- 保有個人データ取り扱いに関する相談や苦情の連絡先
ただし、これらは一例であり、具体的な内容は各企業やWebサイトの状況により異なります。
また、法律が変更されることもあるため、最新の法令に基づいてプライバシーポリシーを作成することが重要です。
プライバシーポリシーについて解説してきましたが、実際の文章を見るとわかりやすいと思います。
参考に、こちらは弊社のプライバシーポリシーです。
また、こちらのお役立ち資料も参考にしてみてください。
プライバシーポリシーはどこに掲載するか
プライバシーポリシーは、Webサイト上でユーザがアクセスしやすい場所に掲載するのが一般的です。具体的には、トップページからワンクリックで飛べる場所や、全ページのヘッダーもしくはフッターにリンクを設置するという掲載の仕方があります。
プライバシーポリシーは、Webサイトの利用者の個人情報をどのように収集し、使用するかについて説明する文書のため、利用者がWebサイトを閲覧している際にかんたんにアクセスできるようにしておきましょう。
プライバシーポリシーを変更したい場合は
Webサイトのプライバシーポリシーを変更する場合、
- 変更についての通知作成
- 更新
- 同意の取得
の手順を踏みましょう。
通知作成
まず、プライバシーポリシーの変更内容を明確に説明し、変更がいつから有効になるかを示す必要があります。
また、通知は、Webサイト上の目立つ場所に掲載する必要があります。大事なお知らせとして、ポップアップなどで分かるようにしておきましょう。
更新
変更内容に基づいて、プライバシーポリシーを更新します。
ここまでの準備をしっかりしたうえで、Webサイト上のプライバシーポリシーを更新しましょう。
同意の取得
プライバシーポリシーを更新したら、そのプライバシーポリシーをユーザに読んでもらい、同意してもらう必要があります。利用者に通知を送信し、同意を求めましょう。
まとめ
プライバシーポリシーについて解説しました。
プライバシーポリシーの策定や更新には非常に手間がかかりますが、法令にも関わるとともに、顧客や取引先の信頼のためにも必須となる事項です。しっかり対応しましょう。
こちらのPDF資料も参考にしてみてください。
