Quantcast
Channel: 企業法務ナビ
Viewing all articles
Browse latest Browse all 3016

代表的なプライバシーポリシーの内容とまとめ

$
0
0

はじめに

改正個人情報保護法が施行されましたが、なかなか対応が追いついていない企業が多いようです。なかでもプライバシーポリシーの改定については多くの法務担当者の方が対応に追われているようです。今回はプライバシーポリシーの代表的な項目についてまとめていきます。以下、個人情報保護法については「法」、個人情報保護法ガイドライン通則編については「GL」と記載します。

プライバシーポリシーとは

●プライバシーポリシーとは
プライバシーポリシーとは個人情報保護を推進する上での考え方や方針のことをいいます。個人情報保護に関する基本方針(PDF)では、個人情報保護を推進する上での考え方や方針(いわゆる、プライバシーポリシー、プライバシーステートメント等)の明確化の重要性を示しました。
●作成義務について
法律上は、プライバシーポリシーを作ることは求められていません。ただし、近年では個人情報保護の意識が高まっています。そんななかで、企業も個人情報保護法上で公表が求められている事項をプライバシーポリシーとして盛り込んだり、本人への通知を求められている事項をあらかじめ公表したりします。企業イメージの確保を目的として個人情報保護法上の内容を確認する趣旨としてプライバシーポリシーを作成する企業が多いです。以下では、改正内容もふまえつつ、代表的な項目について確認していきます。

個人情報の定義(2条1項、GL5頁)

個人情報とは何を指すのかを明らかにするものです。個人情報保護法上の定義を拝借することが多いと思います。改正法の元では個人情報の定義が明確化されました。これに伴い、プライバシーポリシーにおける個人情報の定義にも変更が必要です。具体的には、マイナンバー等の個人識別符号も個人情報に含まれることが明確化されたため、プラバイシーポリシーに反映させる必要があります。

利用目的について

●利用目的の特定(15条1項、GL26頁)
・法15条1項
法15条1項は「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。」と定めています。
・どう利用目的を特定するのか
最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましいです。単に「事業活動」、「お客様のサービスの向上」等のような記載では足りません。「○○事業」のように事業を明示する場合でも、本人から見てその特定に資すると認められる範囲に特定することが必要です。
・GL26頁の記載例
例えば、事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するにあたり、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」等の利用目的を明示している場合には利用目的の特定がなされているといえます(GL26頁)。
・第三者提供を予定している場合
第三者提供することが想定される場合には、あらかじめその旨が明確に分かるように目的を特定しておきましょう。

●合理的範囲での利用目的の変更(GL27頁)
・個人情報保護法上の規定について
法15条2項は「個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。」と定めています。また、18条3項は「個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、
本人に通知し、又は公表しなければならない。」と定めています。
・変更の範囲
変更前の利用目的と関連性を有すると合理的に認められる範囲でのみ変更が可能です。
・変更後の手続
変更後は本人に通知するか、公表をしなければなりません。したがって、利用目的を変更した場合にはプライバシーポリシーにしっかりと反映させるようにしましょう。
●利用目的の制限(16条、GL28頁)
・目的がでは情報利用をしない
法16条1項・2項は利用目的の範囲内での情報を利用するように定めています。プライバシーポリシーでも同様に定めるのがよいでしょう。
・本人の同意なく目的外利用ができる場合(法16条3項、GL29頁)
本人の同意なく、目的外で個人情報を利用する場合があることを規定しておきます。法16条3項1号~4号に掲げられているので、法に定められた事項の場合には目的外で利用する旨を定めておきます。

第三者提供について

原則として本人の同意なくして、第三者に情報を提供しない旨を確認しておきます(法23条1項、GL44頁)。その上で、どのような場合に同意なく第三者提供を行うのか明らかにする必要があります。法律に定められているとはいえ、企業の方針として掲げることで、企業イメージの向上につながります。なお、利用目的に第三者提供をする旨をしっかり記載することも忘れないようにしましょう(15条1項、GL26頁)。
●本人の同意なく第三者提供を行う場合(23条1項、GL44頁)
法律上では第三者提供時に本人の同意は求められない場合です。。そのため、プライバシーポリシーにおいても、同意なく第三者提供を行う旨を定めておきましょう。例えば、法律に基づいて個人データを提供する場合等です。
●「第三者」に該当せず同意不要な場合(23条5項、6項、GL51頁)
法23条5項では、提供先が「第三者」に当たらず、提供に同意が不要な場合を定めています。そのため、同条項で定められている場合には同意なく提供を行う旨を定めておきましょう。
●オプトアウト手続について(23条2項、3項、GL46頁)
オプトアウト手続により第三者提供を行う場合には、改正により手続が厳格化されたため、プライバシーポリシーの変更が必要になります。
・23条2項について
法23条2項では、オプトアウト手続について、本人に通知、又は本人が容易に知りうる状態に置く必要がある事項として「本人の求めを受け付ける方法」が追加されました。
・プライバシーポリシーの内容
「本人の求めを受け付ける方法」としては、郵送、メールの送信、ホームページ上の指定フォームへの入力、事業所の窓口での受付、電話などが考えられます。また、事業社名、窓口名、輸送先住所、送信先メールアドレスなどの連絡先も記載しましょう。

保有個人データに関して(法27条1項、GL60)

・「本人の知りうる状態」とは
「本人の知りうる状態」とは、本人が知ろうとすれば、知ることができる状態に置くことをいいます。常にその時点での正確な内容を本人の知りうる状態に置かなければなりません。事業の性質、情報の取り扱い状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければなりません。具体的な方法としては、ホームページへの掲載、パンフレットの配布、本人の求めに応じて遅滞なく回答する等の方法によります。
・1号
保有個人データをもっている企業、個人情報取扱事業者の氏名又は名称を明らかにしておきます。
・2号
保有個人データの利用目的について定めます。利用目的に第三者提供が含まれる場合は、その旨も明らかにしましょう。また、法18条4項1号~3号に該当する場合は不要です。
・3号
開示等の手続き、手数料について定めます。手数料の額は、実費を勘案して合理的であると認められる範囲内において定めます。
・4号、政令8条
苦情の申し出先等について定めます。具体的には、苦情を受け付ける担当窓口名、係り名、郵便用住所、受付電話番号その他の苦情申出先(個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合は、その団体の名称及び苦情解決の申出先を含む。)等です。

個人情報の保護に関する法律(全面施行版、PDF)
個人情報の保護に関する法律施行令(PDF)
個人情報の保護に関する法律施行規則(平成28年10月5日個 人情報保護委員会規則第3号)PDF
個人情報保護法ガイドライン通則編(PDF)
プライバシーポリシーの書き方(五常法律会計事務所)


Viewing all articles
Browse latest Browse all 3016

Trending Articles