【弁護士解説】プライバシーポリシー作成に関する留意点(前編)

大形 航

プライバシーポリシーの役割

プライバシーポリシーの一般的な定義としては、利用者の個人情報及び行動履歴・購買履歴等のパーソナルデータ等の取扱い方針を定めた文書をいうものとされています。

事業者に対してプライバシーポリシーという形式で規程を用意する法的な義務が課されている訳ではありませんが、個人情報保護法上、個人情報を取扱う事業者は、後述のとおり一定の事項を本人の知り得る状態に置いたり、個人情報の利用目的を本人に通知し、又は公表する義務が課されています。

そのため、多くの事業者は、プライバシーポリシーを作成した上でこれを公表することで法律上の義務を遵守しているのです。

また、利用者との契約内容となる利用規約とは異なり、プライバシーポリシーは本来的には必ずしも利用者の同意が必要となるものではありません。
しかしながら、後述する個人情報の第三者提供を行う旨をプライバシーポリシーに定めた場合等には、利用者からあらかじめ明示的に同意を取得する必要があることには注意が必要です。

昨今においては、個人情報を適切に行うことの重要性が広く認識されていることから、事業者においても、プライバシーポリシーにて情報の取扱い方針を定め、利用者に伝えることは、サービスの信頼性を高める上でも大切だと思われます。

プライバシーポリシーにおいては、概ね次のような項目が設けられることが多いと思いますが、以下、個人情報保護法のルールも交えながら、プライバシーポリシーの作成にあたって重要なポイントをご説明していきます。

 個人情報の取扱いの基本方針
 対象とする情報の内容・取得方法
 保有個人データに関する事項
 個人情報の利用目的
 個人情報の第三者提供
 個人情報の共同利用
 個人情報の管理体制
 利用者による開示請求
 問合せ窓口

対象となる情報と取得方法

プライバシーポリシーを作成するにあたって、まずは、事業者がどのような情報を利用者から取得し、管理しているのかを整理した上で、これらが「個人情報」なのか、「個人情報には該当しないパーソナルデータ」なのかを確認することが大切です。

「個人情報」について
個人情報保護法にいう「個人情報」とは、

①氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することで特定個人の識別が可能となるものも含みます)。

②個人識別符号(指紋・DNAや、マイナンバー・免許証番号等の公的に割り振られた番号等)をいいます(法2条1項1号)。
EC事業者においては、顧客の住所・氏名等の①の情報を取り扱うことが多いと思いますが、まずはこれらの情報の取扱い方針を検討する必要があります。

また、自動的に送信されるクッキー(Cookie)や、IPアドレス情報等については、それだけでは特定の個人を識別するものではありませんが、一体として管理されているその他の情報と合わせて個人を特定し得る場合は、これらが一体として個人情報と扱われ得ることには注意が必要です。

「パーソナルデータ」について
事業者が、個人を特定する情報でなくとも、利用者の属性や購買履歴といった「パーソナルデータ」を取得する場合があります。

このような「パーソナルデータ」は個人情報に該当しないからといってどのように扱っても良いという訳ではなく、後編にて述べるとおり、個人情報に該当しない「匿名加工情報」「仮名加工情報」については、取扱いに関して事業者に一定の義務が課される場合があります。

事業者によっては、プライバシーポリシーに規定する内容を「個人情報」の取扱いに留め、「パーソナルデータ」に関する規定をプライバシーポリシーにおいて設けない例もあります。

もっとも、購買履歴等のデータは、利用者のプライバシーと深く結びついた情報でもあり、関心を有している利用者も一定程度いるのではないかと思います。利用者に安心してサービスを利用してもらうために、「個人情報」に限らず、自社が管理している「パーソナルデータ」についても、プライバシーポリシーの対象として、方針を定めることは大切ではないかと思います。

以下、個人情報保護法の観点からプライバシーポリシーにおいて規定すべきと考えられる規定の内容について解説をしていきますが、自社が保有する「パーソナルデータ」も含めてプライバシーポリシーを規定する場合には、「個人情報」と同じ扱いとするのか、それとは別途の取扱いとするのかを検討して頂けばと思います。

保有個人データに関する事項

個人情報の取扱事業者は、保有個人データ(自らの権限で管理する個人情報を含む情報の集合体)に関する以下の事項について、本人の知り得る状態に置くことが義務付けられています(法27条1項)。

①個人情報取扱事業者の氏名又は名称
②全ての保有個人データの利用目的
③保有個人データの利用目的の通知の求め又は開示等の請求に応じる手続、及びその場合の手数料
④保有個人データに関する苦情の申出先

これらの事項については、既にプライバシーポリシーにおいて規定している事業者も多いかと思いますが、2022年4月1日施行の改正個人情報保護法においては、以下の事項も公表事項として追加されることになりました。
そのため、多くの事業者においては、改正法の施行に伴い、プライバシーポリシーの改訂が必要となることに留意する必要があります。

・事業者の住所、法人の代表者の氏名
・個人データの第三者提供時の記録の開示手続
・個人データの利用停止等の手続
・取り扱う個人データの漏えい等防止のための安全管理に関する措置等

利用目的の特定・明示

事業者が個人情報を取得した場合には、「あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない」とされております(法18条1項)。

事業者は、利用目的をできるだけ特定しなければならないとされている一方で、当該「利用目的」を超えて個人情報を取り扱ってはならないとされており(法16条1項)、利用目的を定めるにあたっては、取得した情報を実際のビジネスでどのように取り扱うのか、慎重に検討することが大切です。

個人情報保護法に関するガイドライン(通則編)では、特定がなされていない事例として以下の記載が挙げられており、利用者から見て、実際に自分が提供した情報がどのように扱われるかが分かるような記載を意識する必要があります。

■具体的に利用目的を特定している事例
「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」

■具体的に利用目的を特定していない事例
「事業活動に用いるため」、「マーケティング活動に用いるため」

また、利用目的を変更する場合は、利用者に通知し又は公表することが必要となりますが(法18条3項)、どのような変更でも許されるという訳ではなく、変更前の利用目的との関連性が必要になることには留意が必要となります(法15条2項)。

第三者提供

事業者が取得した個人データを第三者に対して提供する場合は、原則的に、事前に本人から同意を得ることが必要となります(法23条1項)。

EC事業者においても、マッチングサービスや利用者間での取引を仲介する場合等、利用者の情報開示がサービスの提供にあたって必要となる場合等においては、第三者提供に関する事項をプライバシーポリシーにおいて定め、事前に利用者から明示的に同意を取得することが考えられます。

また、個人情報を第三者に提供した場合には、当該データを提供した日時・第三者の名称等の記録を記録を作成し、保存することが必要となります(法25条1項)。

委託の場合の例外について
もっとも、事業者が管理する個人情報が他の事業者にわたる場合は必ず「第三者提供」にあたるという訳ではなく、利用目的の達成のために外部業者に委託をする場合は例外とされています(法23条5項1号)。

データの処理・管理を外部業者に委託する場合や、宅配業者に対して配達先の個人の住所を伝える場合等が典型的な例として挙げられますが、事業者においては、委託先に対して必要かつ適切な範囲で監督を行う義務が課されており(法22条)、第三者に委託を行う場合には、適切な業者を選定した上で、個人情報がどのように管理されているかをきちんとモニタリングすることが重要になります。

共同利用について
この他に、事業者間で顧客の情報を共有する場合等、個人情報を第三者と共同利用する場合には、事前に、
①共同利用をする旨
②共同利用する個人データの内容
③共同して利用する者の範囲
④利用する者の利用目的
⑤当該個人データの管理について責任を有する者の氏名又は名称

以上を本人に通知し、又は本人が用意に知りうる状態に置いていた場合には、「第三者提供」には該当しないこととされています(法23条5項3号)。

共同利用については、2022年4月1日以降は、改正法の施行により、上記の①~⑤に加えて、⑥管理責任者の住所、⑦管理責任者が法人の場合には代表者の氏名についても、本人に通知又は公表すべき事項に追加されており、プライバシーポリシーに共同利用に関する規定を設けている場合は、注意が必要になります。

海外の事業者への個人データの提供について
また、EU諸国及び英国以外の外国にある第三者に個人データを提供する場合には、当該第三者が日本の個人情報取扱事業者と同等の義務を遵守できることが担保されているといった事情がない限り、原則的にあらかじめ外国にある第三者への提供を認める旨の本人の同意を取得する必要があります(法24条、規則11条及び11条の2)。

その場合は、プライバシーポリシーにおいて、
①提供先の国又は地域名を個別に示す
②実質的に本人が提供先の国名を特定できるようにする
③外国にある第三者に適用する場面を具体的に特定する等の方法で規定を設けた上で、本人からプライバシーポリシーについての同意を取得しておくことが考えられます。

ここで、委託の場合・共同利用の場合は第三者提供には該当せず、第三者提供に関する同意の取得は不要となりますが、海外の事業者に対する個人データの提供には、本人からの同意取得が別途必要となる可能性があります。

日本の業者に業務委託をする場合と同じ感覚で、うっかり本人の同意なく顧客データ等を外国の業者に提供してしまうと法律違反となりかねず、情報の越境には気をつけなければなりません。

[後編の記載事項(予定)]
匿名加工情報等の取扱い
個人情報の管理体制
利用者による情報のコントロール・開示請求等
掲載方法に関する留意点

ECのミカタ通信22号はこちらから


著者

大形 航 (Wataru Okata)

都内の法律事務所に所属し、一般企業法務、事業再生・倒産、M&A、訴訟等を主な業務分野としている。2017年弁護士登録(東京弁護士会所属)。
※本稿での意見にわたる部分は筆者の個人的な見解であり、筆者が所属する法律事務所・団体の見解ではないことにご留意ください。