個人情報保護方針とは?その内容と具体的な作成方法について解説

この記事は約10分で読めます。
2021.02.25

企業のホームページを見ていると、個人情報保護方針を目にすることがあります。
ですが、難しいことが書いてあるイメージが強く「具体的にどんな意味があるのか分からない」という方もいるのではないでしょうか。

この記事では「組織における個人情報保護方針とは何か」を解説します。ぜひ最後まで読んで、具体的に個人情報保護方針はどんな場合に必要となり、どのような内容が求められるのか理解して、適切な個人情報保護方針に対する対策を実施し、自社のセキュリティ強化に役立ててください。

また、企業の情報セキュリティポリシー策定・運用のポイントがわかる資料を無料で配布しています。ぜひご活用ください。

「情報セキュリティポリシー」
サンプルと効果的な作成・運用のポイント
エッセンスが詰まった資料を無料配布中

個人情報保護方針とは

個人情報保護方針とは、事業者が個人情報をどう取り扱うか取り決めた文書を指します。
個人情報取扱事業者が、「個人情報保護方針(またはプライバシーポリシーなど)」の策定や公表をすることは義務づけられています。

「個人情報の保護に関する基本方針」において、消費者の権利を保護するために、個人情報の保護と、適正かつ効果的な活用について主体的に取り組むことが期待されているとして、その策定と公表を推奨されています。

個人情報保護方針の重要な要素である、以下の2つを解説します。

  • 法律上必要な「基本方針」
  • プライバシーマーク取得に必要な個人情報保護方針
出典:『個人情報の保護に関する法律についてのガイドライン(通則編)10-1 基本方針の策定

法律上必要な「基本方針」

個人情報の保護に関する法律についてのガイドライン』では、『基本方針を策定することが重要』との記載に留まり、特に内容の指定はありません。
個人情報保護法第18条には以下のように記載されています。

第18条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

引用元:個人情報保護法第18条

このように、企業が個人情報を取得する際は、個人情報の利用目的を公表するか、本人に伝えることが、法律で義務付けられています。

プライバシーマーク取得に必要な個人情報保護方針

  1. 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
  2. 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
  3. 前三項の規定は、次に掲げる場合については、適用しない。
    1. 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
    2. 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
    3. 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
    4. 取得の状況からみて利用目的が明らかであると認められる場合
引用元:個人情報保護法第18条

個人情報保護法第18条では、上記のように続きますが、プライバシーマーク(通称:Pマーク)を取得するためには、上記に書かれた、法律で定められているよりも更に高度な個人情報の取り扱いが必要になります。

プライバシーマーク規格の「JIS Q 15001:2017」では取得要件の一つに「個人情報保護方針の策定・公表」があげられており「内部向け(従業員・委託先)」「外部向け(顧客・一般)」の2種類を策定しなければなりません。「内部向け(従業員・委託先)」「外部向け(顧客・一般)」の2種類の策定内容には、後述します。

プライバシーマークとは

プライバシーマークとは「個人情報保護体制を整備している」ということを対外的に証明できる、個人情報管理に関する第三者認証規格です。

プライバシーマークを使用している企業は、審査機関が日本産業規格の「JISQ15001:個人情報保護マネジメントシステム要求事項」という規格に適合しており、適切な個人情報保護体制を整備していると顧客にアピールできます。

プライバシーマーク認証の有効期間は2年間で、2年ごとに更新審査があるため、長年プライバシーマークを取得している企業は、それだけ個人情報の保護が適切に行われているという評価がつきます。

プライバシーマーク(Pマーク)取得のメリット

Pマークの認証取得で得られる主なメリットは主に以下の3つです。

  • 対外的な信用獲得
  • 取引の維持・拡大
  • コンプライアンス違反のリスク低減

対外的な信用獲得

Pマークは国内で認知度が高く、対外的な信用獲得やイメージアップが期待できます。
また既存契約の更新や、官公庁/大企業との取引条件にしっかりした情報管理体制を求められる場合があり、Pマークを取得していればその証明となります。

取引の維持・拡大

管理体制の構築とPマークの取得は安定的な事業運営の基盤の一つとして認知されているため、取引先からの信頼を勝ち取りやすく、現存する取引先との取引や、新規取引先の拡大がしやすいです。

コンプライアンス違反のリスク低減

個人情報保護方針を策定しておくことで「何をしていいか」「何をしてはいけないか」が明確になります。

会社の個人情報に対する指針を決めることになるため、万が一の個人情報漏えいなど、事業に大きな影響を与えるコンプライアンス違反のリスクを大きく低減します。

内部向け個人情報保護方針の内容

「内部向け個人情報保護方針」の内容は、利害関係者が必要に応じて入手できる文書となります。

  • 従業員
  • 委託先
  • 協業相手

といった、取引先の個人情報の取得、利用及び提供、法令遵守、安全管理、緊急時、苦情及び相談、継続的改善などに対しての「方針」を策定します。

法令上望まれる内部向けの基本方針とは

個人情報保護法における「基本方針(個人情報保護方針)」の内容は、特に指定がないため各々の事業者が任意に作成します。

なお、個人情報保護法のガイドラインでは望ましい内容の例として以下の4点をあげています。

  • 事業者の名称
  • 関係法令・ガイドライン等の遵守
  • 安全管理措置に関する事項
  • 質問及び苦情処理の窓口

事業者の実情に応じて、必要な項目を追加し内容を整えましょう。

プライバシーマーク取得に必要な内部向け個人情報保護方針とは

Pマークの規格「JIS Q 15001」では、トップマネジメント主導による個人情報保護方針の確立が求められています。

そして、最低限必要とされる内容が定められており、具体的には以下の6つを含める必要があります。

  • 適切な個人情報の取得や利用、提供、目的外利用の排除とそれに対する措置
  • 個人情報の取り扱いに関する法令、ガイドライン、その他の規範の遵守
  • 個人情報の漏えいや滅失、き損に関する防止や是正
  • 苦情および相談の対応
  • 個人情報保護マネジメントシステムの継続的改善
  • トップマネジメント(※)の氏名
    ※代表権を持つ代表取締役や社長等

「JIS Q 15001」は、条文をそのまま記載せず、また目的外利用における措置とは「あらかじめ本人に通知し同意を得る」対応をする旨を記載します。

また上記に加えて、内部向け個人情報保護方針を組織内に周知するほか、従業員や委託先企業、協業相手などの取引先が必要に応じて入手できる措置を講じなくてはなりません。

外部向け個人情報保護方針の内容

「外部向け個人情報保護方針」の内容は、「内部向け」の個人情報保護方針に以下の事項を加え、Webサイトなどに公表したものになります。

  • 制定年月日および最終改正年月日
  • 外部向け個人情報保護方針の内容についての問合せ先

外部に公表する文書は、関係者ではない人でも、簡単に理解できる表現を使い、わかりやすいものであることが求められます。

外部向けの個人情報保護方針は組織に属さない者、たとえば顧客や取引先、事業形態によっては広く一般の人々も対象とします。そして、外部の人向けの問い合わせ先や、正式文書で必須の日付の記載が求められます。

法令上望まれる対外的な基本方針とは

個人情報保護法40条には苦情の適切かつ迅速な処理と、そのための体制を整備する努力義務規定があります。個人情報の保護に関する考え方や方針(プライバシーポリシー、プライバシーステートメント等)を公表するのが望ましいとされます。

個人情報保護法のガイドラインでは例として、内部向け方針に加え、以下の項目をあげています。

  • 事業者の名称
  • 質問及び苦情処理の窓口

また、外部向け基本方針はホームページや店頭、事業所内等に掲示しましょう。

プライバシーマーク取得に必要な外部向け個人情報保護方針とは

Pマークの規格「JIS Q 15001」では、外部向け個人情報保護方針の内容を以下のように定めています。

  • 内部向け個人情報保護方針の各事項
  • 制定年月日および最終改正日
  • 個人情報保護方針の内容についての問い合わせ先

外部向け個人情報保護方針を誰もが知れる状態にして、さらに一般の人が入手(閲覧)できる状況を作らなくてはいけません。

内容を誰でもわかりやすい表現にして、ホームページへの掲載が必要です。

情報セキュリティポリシー 策定・運用のポイントが分かる資料はこちら

外部向け個人情報保護方針の一例

具体例として、外部向けの個人情報保護方針の事例を紹介します。

以下は、三菱総合研究所が公開している個人情報保護方針です。

  1. 個人情報の管理
  2. 個人情報の取得および利用
  3. 個人情報の提供
  4. 個人情報の外部委託
  5. 個人情報の安全対策
  6. 個人情報の苦情・相談への対応
  7. 個人情報の取扱いに関する法令、国が定める指針、その他の規範の遵守
  8. 個人情報保護マネジメントシステムの継続的改善
  9. 個人情報に関する問い合わせ先
出典:三菱総合研究所

必要最小限の簡素な内容ですが、Pマーク認証を取得している企業なので、規格の要件となる内容はすべて網羅されています。

Pマーク認証に必要な個人情報保護方針を策定する際は、事業内容や自社の事情に応じて適切な項目や内容を追加するといいでしょう。

個人情報保護方針の作成にあたって

個人情報保護方針の作成に当たって重要なのは以下の2点です。

  • 個人情報の洗い出し
  • 個人情報保護方針は定期的な見直し

それぞれ解説します。

個人情報の洗い出しが必要

個人情報の定義は「個人が特定できる情報」です。

あらかじめ個人情報を取り扱う業務をピックアップし、セクションごとにどのように個人情報が利用・加工されるか考え、洗い出しましょう。

個人情報保護方針は定期的な見直しが必要

すでにプライバシーポリシーを作っている場合にも、定期的に見直しが必要です。

その理由は「事業内容の変化により、個人情報の種類や利用目的が変わること」「個人情報保護法が改正のたびに変更になる」の2つです。

プライバシーポリシーに則り、取得した個人情報については、本人に新しいプライバシーポリシーに同意してもらわない限り、前のプライバシーポリシーが適用されます。

そのため、個人情報の利用方法が変わるときは、改訂してプライバシーポリシーに再度同意を得る必要があります。

また、個人情報保護法が改正されると、プライバシーポリシーの変更が必要になる場合があるため、常に最新の法令をチェックして、適合するプライバシーポリシーを策定しましょう。

まとめ

個人情報保護方針について解説しました。

個人情報取扱事業者が、「個人情報保護方針」の策定や公表をすることは義務づけられています。

業務内容の変更や法改正で、原稿の業務や法律に対応していない、以前のプライバシーポリシーのまま業務を進め、気づかないうちに法律違反を犯さないように細心の注意を払いましょう。

企業の情報セキュリティポリシー策定・運用のポイントが分かる資料を無料で配布しています。ぜひご活用ください。

「情報セキュリティポリシー」
サンプルと効果的な作成・運用のポイント
エッセンスが詰まった資料を無料配布中
認証取得を目指すPマーク
法令管理
タイトルとURLをコピーしました