令和1年8月1日、就職情報サイト「リクナビ」を運営する株式会社リクルートキャリアは、同社が提供していた「リクナビDMPフォロー」サービスにおいて、いわゆる「内定辞退率」データをクライアントである採用企業に提供していたことを公表しました。その際、ユーザーである学生の個人データの扱いや同意の取得方法等が適切だったかが問われたニュースをご記憶の方もいらっしゃるのではないでしょうか。
このようなケースをはじめ、テンプレートや雛形をそのまま利用し、プライバシーポリシー内容に不備がある、プライバシーポリシー内容の不正確性、プライバシーポリシーとサービスとの不適合性を指摘されることが見受けられます。その結果、個人情報に対する企業の意識の低さが問題になり、トラブルや炎上、場合によってはサービスの停止・廃止を余儀なくされる恐れもあります。
そこで今回は、プライバシーポリシーを作成する際の注意点として、雛形を利用する場合に特に注意すべき事項についてオリエンタル法律事務所の実例を踏まえながら解説します。
プライバシーポリシーとは、企業が自社における個人情報の利用目的や管理方法を文章にまとめて公表したものをいいます。
「個人情報保護方針」あるいは「プライバシーステートメント」とも呼ばれます。
会社によっては、複数のサービスを提供していても、プライバシーポリシーが1つしかないというところもあります。しかし、提供するサービスの内容によって、個人情報の収集方法や利用方法は異なるので、プライバシーポリシーは、サービスによって内容を変えるのが望ましいです。
なお、プライバシーポリシーと同様に、会社側が公表する方針として「利用規約」があります。両者は、会社が提供するサービスについての文書という点で共通するところ、利用規約の中に、プライバシーポリシーを盛り込むことも可能です。
しかしながら、プライバシーポリシーは、特に個人情報に特化して詳細な決まりを定めています。
そのため、プライバシーポリシーを利用規約に含めると複雑化し、個人情報の取扱いに特に慎重さが求められることから、別個に規定されるのが一般的といえます。
プライバシーポリシーは、企業が必ず作成しなければならない法令上の要請があるものではありません。
しかし、平成27年の個人情報保護法の改正により「事業者が個人情報を取得した場合は、あらかじめ利用目的を公表している場合を除き、速やかに、利用目的を、本人に通知又は公表しなければならない。」と規定され(個人情報保護法第18条1項)、ほぼ全ての企業において、個人情報取得の際は、その都度利用目的を知らせるか、事前に公表することが求められるようになりました。
しかし、企業が個人情報を取得する度に、ユーザーに対して利用目的を通知・公表するのは現実的ではありません。
そこで、企業は、個人情報の取扱いについて「プライバシーポリシー」を定めておくことで、上記個人保護法の規定に従おうとしています。
その結果、プライバシーポリシーの作成は実質上義務となっていると言えるでしょう。
実際にプライバシーポリシーを作るためには、まず、自社がどのような個人情報を保有しているかを洗い出すことが必要です。
これは、プライバシーポリシーには、自社における個人情報の利用目的を記載することが必須になりますが、そもそもどのような種類の個人情報を保有しているかを把握しておかないと、その利用目的を記載することができないからです。
個人情報といっても、以下のようなさまざまなものがあります。
・顧客や取引先担当者の情報
・商談中あるいは営業中の見込み顧客の情報
・従業員の情報
・採用に応募してきた求職者の情報
これらの個人情報の種類によって、当然、その利用目的も違ってきます。
個人情報保護法上、企業は、個人情報の利用目的を「できる限り特定しなければならない」とされています(個人情報保護法第15条1項)。
そのため、プライバシーポリシーに記載する個人情報の利用目的もできる限り具体的に記載する必要があり、個人情報の種類ごとに利用目的を整理して記載する必要があるのです。
プライバシーポリシーに書くべき一般的な記載事項は以下の通りです。
また、プライバシーポリシーは、「ユーザーがその内容を用意に知り得た」といえる状況を整えるため、ウェブサービスのトップページから1回の操作で到達できる場所へ掲載しておくべきです。
(1)個人情報取り扱いに関する基本方針
(2)個人情報の定義
(3)個人情報の取得方法
(4)個人情報の利用目的
(5)個人情報の管理方法
(6)個人データの共同利用について
(7)個人データの第三者提供について
(8)個人データの開示、訂正等の手続きについて
(9)個人情報の取扱いに関する相談や苦情の連絡先
(10)SSLセキュリティについて
(11)Cookie(クッキー)について
では以下にて、プライバシーポリシー(個人情報保護方針)の記載事項を個別具体的に確認していきます。
個人情報の重要性を会社として認識し、法令を遵守することなど、個人情報の取扱いをする上での自社の基本方針を記載します。
個人情報とは、ユーザー個人に関する情報であって、当該情報を構成する氏名、住所、電話番号、メールアドレス、学校名その他の記述等により当該ユーザーを識別できるものをいいます。また、その情報のみでは識別できない場合でも、他の情報と容易に照合することができ、結果的にユーザー個人を識別できるものも個人情報に含まれます。
企業がユーザーから直接取得する、氏名や生年月日、メールアドレスなどの個人情報のほか、システム上IPアドレスやCookie、ブラウザの種類などの情報を取得する旨も記載しておきましょう。
また、取得方法について個人情報保護法で「偽りその他不正の手段により個人情報を取得してはならない」とされているため(同法第17条1項)、法令に則って個人情報を取得することを記載しましょう。
個人情報の利用目的は、個人情報保護法第18条1項で明らかにすることが求められている事項です。
個人情報の利用目的は、その種類によって異なるため、利用目的が異なる個人情報はそれぞれ記載しましょう。また、プライバシーポリシーに記載された利用目的以外で、個人情報を利用しないことも記載すべきと考えます。
個人情報保護法第20条では、企業が個人情報を取得した場合、漏えい事故などが起きないように適切に管理することが義務付けられています。そこで、プライバシーポリシーには、個人情報を安全に管理する旨を記載しておきます。
取得した個人データを、グループ会社や業務提携先など一定の範囲で共同利用するためには、個人情報を共同利用することと、対象となる情報の内容と利用目的、共同利用者の範囲、管理責任者等の情報を、本人が容易に知り得る状態にしておく必要があります。
例としては、以下のとおりです。
(共同利用)
当社は、以下のとおりユーザーの個人情報を共同利用します。
(1)共同利用される個人情報の項目
(2)共同して利用する者の範囲
(3)共同して利用する者の利用目的
(4)個人情報の管理について責任を有する者の氏名または名称
単に第三者へ個人情報を提供する場合とは別に、個人情報をグループ会社などの間で共同して利用する場合において、以下の事項をあらかじめ本人に通知し、または本人に容易に知り得る状態に置いているときには、本人から同意を得ずに、共同利用者へ個人情報を提供することも、個人情報保護法は認めています(23条5項3号)。
・共同利用する旨
・共同して利用される個人データの項目
・共同して利用する者の範囲
・利用する者の利用目的および当該個人データの管理について責任を有する者の氏名または名称
共同利用については、あるポイントカード制度において、加盟店を共同利用者としてポイントカード運用主体との間で個人データを共同利用した事例が消費者から問題視された事案がありました。
これを受け、平成25年12月の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」改訂では、上記の「共同して利用する者の範囲」については、「本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある」とされた経緯があります。
したがって、共同利用により複数の事業者間で個人データを共有する場合は、以下のようにするのがよいでしょう。
①ユーザーからの一体としてみられ、お互いに責任を負うことができるような特定企業(資本関係のあるグループ企業等)との間で範囲を固定的・限定的に用いる
②それ以外の場合は、個別に同意を得て「第三者への提供」の形をとる
「個人情報の第三者提供」とは、個人情報を検索可能な状態でデータベース化して第三者に開示することを指します。
個人情報保護法によれば、個人情報データは、原則として本人の同意がなければ第三者に提供できません。例外的に本人の同意なく個人情報を第三者に提供できる条件として、個人情報データを第三者に提供すること、提供する内容と方法を示すこと、本人の要求があれば提供を停止することを、本人に通知するか公表することが定められています(同法第23条2項)。また、平成27年の法改正により、本人の同意なく個人情報データを第三者に提供する場合は、個人情報保護委員会への届出が必要となりました。
例文
(第三者提供)
当社は、利用者情報のうち、個人情報については、あらかじめユーザーの同意を得ないで、第三者(日本国外にある者を含みます。)に提供しません。ただし、次に掲げる必要があり第三者(日本国外にある者を含みます。)に提供する場合はこの限りではありません。
(1)当社が利用目的の達成に必要な範囲において個人情報の取扱いの全部または一部を委託する場合
(2)合併その他の事由による事業の承継に伴って個人情報が提供される場合
(3)第4項の定めに従って、提供先または情報収集モジュール提供者へ個人情報が提供される場合
(4)国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、ユーザーの同意を得ることによって当該事務の遂行に支障を及ぼすおそれがある場合
(5)その他、個人情報の保護に関する法律(以下「個人情報保護法」といいます。)その他の法令で認められる場合
個人情報の第三者提供は原則として行わないこととしつつ、委託先への開示、事業承継、情報収集モジュールによる提供、その他法令による場合を例外として明示しています。
原則として、個人情報取扱事業者は、原則としてあらかじめ本人の同意を得ないで個人データを第三者に提供してはいけませんが、第三者に提供することを予定している場合には、プライバシーポリシーにおいて明示するのみでは足りず、あらかじめ本人の同意を得なければならないのが原則です。
しかし、以下の場合には、プライバシーポリシーにおいて一定事項を明示しておくことにより、本人の同意なく第三者への提供が例外的に認められます。オプトアウトの概要、オプトアウトの手続きについて説明します。
個人情報保護法では、「オプトアウト」と呼ばれる、一定の要件を充たす代わりに本人から明示的な同意を得ずに個人データを第三者提供できる手続きを定めています。
このオプトアウトによる第三者提供を採用する場合、事業者は、本人の求めに応じて個人データの提供を停止し、個人情報保護委員会規則に定める事項を通知または本人が容易に知り得る状態に置き、さらに個人情報保護委員会へ届出を行う義務を負います(23条2項~4項)。
前述の第三者提供時の記録義務や届出義務は、平成29年に施行された改正個人情報保護法で特に義務が加重された主なポイントです。
企業が個人データを保有しているときは、本人から請求があったときに保有している個人データの内容を本人に開示したり、個人データに間違いが見つかったときに訂正に応じたりするための手続きを定めて、公表することが義務付けられています(個人情報保護法第27条)。
ここでいう「個人データ」とは、個人情報のうち、検索可能な方法で管理しているもの(例えばエクセルで一覧にしていたり、50音順の名簿で管理しているもの)をいいます。
企業であれば、従業員の氏名や顧客の氏名をデータや名簿で管理していることが通常ですから、個人データを保有していない会社というのはほとんどありません。
そして、個人データの開示や訂正の手続きを定めて公表するためには、その手続きを文章化してプライバシーポリシーとしてまとめておくことが必要になるのです。
個人情報保護法第27条1項4号、個人情報法施行令第8条1号に基づいて、個人情報の取扱いに関する苦情の申し出先について、企業は、本人が知り得る状態にしておくべきことが規定されています。プライバシーポリシーにも、企業の苦情窓口を記載しておきましょう。
SSLを導入してウェブサイト経由で個人情報を得る場合は、その旨をプライバシーポリシーに記載することで、ユーザーの信頼感が高まります。
ウェブサイト経由で個人情報を取得することがあるECサイト運営者などが記載すべき項目であり、ウェブサイト経由で個人情報を取得しない場合は必要ありません。
すでにプライバシーポリシーを作っている場合にも、定期的に見直しが必要です。見直しが必要になる理由は主に2つです。
(1)まず、1つは事業内容の変化にともない、個人情報の種類や利用目的が変わっていくことです。
プライバシーポリシーで個人情報の利用目的を変更することは可能ですが、以前のプライバシーポリシーのもとで取得した個人情報については、本人に新しいプライバシーポリシーに同意してもらわない限り、前のプライバシーポリシーが適用されることになりますので注意が必要です。
(2)次に、個人情報保護法が改正されることにより、プライバシーポリシーの変更が必要になる場合があるためです。
常に最新の法令をチェックし、それにあったプライバシーポリシーを用意することが必要です。
プライバシーポリシーは、「ユーザーがその内容を用意に知り得た」といえる状況を整えるため、ウェブサービスのトップページから1回の操作で到達できる場所へ掲載しておくべきです。
特に利用目的については、個人情報保護法が直接本人から書面や電磁的方法で個人情報を取得する場合に「あらかじめ、本人に対し、その利用目的を明示」することを求めています(18条)。
そのため、個人情報の登録受けるウェブサービスにおいては、その登録の過程でユーザーが確実にプライバシーポリシーを閲覧できるように、利用規約と同様の方法でプライバシーポリシーをユーザーに提示する必要があります。
一般的には、ホームページのフッターにプライバシーポリシーへのリンクを設置しておくケースが多いです。
プライバシーポリシーの設置について問題になった事例として、以下のようなものがあります。後述するスマホアプリでは、画面の表示域が狭いこともあり、このようなプライバシーポリシーの明示・設置漏れが生じがちなので、要注意です。
米デルタ航空がマイル会員ユーザー向けに提供しているモバイルアプリ「Fly Delta」において、プライバシーポリシーを明示せずに個人情報を取得したことが同州の法律に抵触していると問題になり、カリフォルニア州が1件あたり2,500ドルの損害賠償請求をするという事件がありました。
このように、プライバシーポリシーには、自社における個人情報の利用目的を記載することが必須になりますので、まずはどのような種類の個人情報を保有しているかを把握することが重要です。
オリエンタル法律事務所では、各会社の事業内容に即したプライバシーポリシーを作成することができます。
上記のリクルートやTカードの会員情報の事例のように、プライバシーポリシーの作成に漏れがあると、その後、大きなトラブルにも発展しかねません。
オリエンタル法律事務所では、過去の事例を踏まえて、漏れのないプライバシーポリシーを作成いたします。
また、万が一、プライバシーポリシーの内容に関してトラブルや紛争になった場合でも、会社の代理人として紛争の対応にあたります。
ニュース一覧名称 | オリエンタル法律事務所 | ||||
---|---|---|---|---|---|
弁護士 | 佐野太一朗 | ||||
連絡先 |
|
||||
所在地 | 〒106-0032 東京都港区六本木4-10-7 エルビル5階 Googlemap |
||||
アクセス | 六本木駅 6番出口徒歩1分 |