GDPRに準拠したプライバシーポリシー策定
法務


まず自己紹介をさせていただきますと、は、1992年に旧情報処理技術者試験(通産省:当時)の「情報処理システム監査技術者」に合格して以来、日本システム監査人協会に所属して以来30年近くシステム監査についての研鑽に励み、前職を退職したのちシステム監査の実務経験を積み、これが認められて「公認システム監査人」の資格を付与されました。
公認システム監査人というシステムの在り方についての専門家と、行政書士という法律の専門家の二足の草鞋を履く変わり種です。

もちろんプライバシーと情報処理についてもこれは大学4年の頃から追い続け、個人情報保護法制、委員会制度、そして欧州連合のGDPRについても研究や討議を重ね、本場エストニアとデンマークにも視察に行ってきました。
本記事では、GDPR準拠のプライバシーポリシーについてお伝えしていきたいと思います。

この記事の目次

1.海外からの受注がない原因の一つ?

「新型コロナウイルス感染症拡大の折からセールスが思うようにできないのでホームページ経由で海外から受注したい」とお考えの企業様も多いと思います。しかし「製品やサービスには自信があるのに思うように受注につながらない」とお悩みではありませんか?
それはひょっとしたら「プライバシーポリシー」に問題があるのかも知れません。

私の拙い理解ですが、前個人情報保護委員会委員長の堀部先生がかつてOECD諸国やアフリカ諸国からも「日本の個人情報保護法制は40年遅れているので取引しない」と言われて、法令と委員会制度を整備して来たとのお話を聞き、著作物にも当たり、専門家のお話も伺いました。

御社のホームページは「このサービスを利用することにより、当社の個人情報保護方針に同意したものとみなします」などと書かれていませんか?クッキーを常に有効にしていませんか?
これは日本の法律には違反はしていません。

しかし、欧州や、それと見合った法整備をしている国のユーザから見たらどうでしょう。
「取引したくない」と思われてしまう可能性はないでしょうか?

2.失われた30年

40年遅れている。
これは「失われた30年」の一つの原因ではないでしょうか?
失われた30年には色々な理由があり、解決策も様々です。
しかしこれも非常に雑な私見ですが、日本の個人情報保護法制はEUのGDPR(General Data Protection Regulation 一般データ保護規則) のレベルに追いつこうとしている途上にあります。

直接加盟国人口だけで4.5億とも言われるEU市場と取引したいがために南アジア諸国などもGDPR準拠の法整備を行っています。それなのに日本だけが立ち遅れ、海外からの受注が振るわないのではないか?
御社がGDPR見合いのプライバシーポリシーを掲げれば受注につながり我が国企業及び経済の発展の一助となるのではないか?
「失われた30年」を取り戻す一つの重要なファクターとなりはしないかと思うのです。

3.GDPR準拠のプライバシーポリシー策定のポイント

GDPRの基本思想に「プライバシーについて、その個人データ所有者本人のコントロール権を取り戻す」というものがあります。つまりGoogleなどGAFAMのように勝手に個人情報を収集することは許さない。予め目的と利用範囲を定めて情報漏洩等の場合について厳しく対策をしたうえで「本人の同意があって初めて」個人情報の取得が許されます。

そして個人情報の概念が以下のように日本のものと少し違います。
・クッキーは個人識別符号となりうるので許可なく収集してはいけない。
・労働組合への加盟非加盟、性志向、性自認は機微情報であり特別な配慮を要する。
日本では法人情報は個人情報ではありません。欧州でも法人は保護対象ではないが、法人に所属するビジネスパーソンの情報は個人情報です。
わが社はBtoCではなくBtoBなので取引先など法人のビジネスパーソンの個人情報については気をつけなくて良い、とはなりません。
そして「許可なく個人情報を収集しない」ことを担保するためにホームページや企業の情報処理体系や組織体制に至るまで「バイデザイン、バイデフォルト」の原則を守る必要があります。
※バイデザインとは…「設計段階から個人情報取得を許可なく行わないようにすること」。
※デザインとは…見た目ではありません。ホームページの見た目などはUIユーザーインターフェースです。
※バイデフォルトとは…「初期設定が【個人情報を取得しない】となっており、お客様などが許可した場合のみ【取得する】」ようにすること。

この度当事務所ではさるメーカー様に「国際標準に準拠したプライバシーポリシー(和文・英文)」を納品し、ご査収いただきました。
発注いただきましたら企業規模や業種業態に合わせて微力を尽くして作成致しますので、是非ご用命ください。

もちろん、ポリシーを採択したら、これを守るための意識づけ、研修教育。細則や行動規範の制定。最高個人データ保護執行役員を置くなど社内体制の見直し等も必要となります。
プライバシーポリシーについて
専門家に相談する

記事のキーワード*クリックすると関連記事が表示されます

プライバシーポリシー 法令 個人情報 GDPR 公認システム監査人 行政書士 水野 英治

メルマガ登録(毎週水曜配信)

SHARES LABの最新情報に加え、
経営に役立つ法制度の改正時事情報などをお送りします。

この記事もおすすめです

令和2年5月策定ガイドラインに沿った特定活動(インターンシップ)ビザ申請について
相続した土地を手放したいなら「相続土地国庫帰属制度」を検討しましょう
【SHARES LAB】SHARES事務局厳選記事 vol.1「特に多く読まれている記事 法務編」
行政書士試験について
資金調達における社債の活用
プライバシーポリシーについて 専門家に相談する