事業者による個人情報漏洩事案は後を絶たず、世界的に個人情報の保護機運が高まっており、個人情報の取扱いは事業者にとって注意すべき重要なトピックのひとつです。
例えば、2018年5月25日から適用されたEU一般データ保護規則(通称GDPR)において、下記のとおり事業者による個人情報の取り扱いに関してより厳しい規定をしております。
(2)適用範囲の拡大(EEA(European Economic Area:欧州経済領域)域外の事業者も適用の対象となる場合がある)、
(3)違反事業者に対する高額の制裁金 等々
また、カリフォルニア州消費者保護法(通称CCPA)が2020年1月1日に施行されており、これらの世界的な風潮に合わせて日本においても、個人情報保護法の厳格化が検討されているため、プライバシーポリシーの作成と見直しは、顧客の個人情報を取得、保管及び利用する事業者にとって、とても重要な課題となっております。
プライバシーポリシーとは
プライバシーポリシーとは、個人情報取扱事業者による個人情報の取扱いに関する考え方や方針を記載するものです。具体的には、個人情報の取得の範囲、個人情報の利用目的、第三者提供の有無及び有る場合にはその内容、共同利用の有無及び有る場合にはその内容、保有個人データの訂正、追加及び削除並びに利用停止及び消去に関する事項、個人情報保護責任者の氏名及び名称並びに連絡先、などが記載されることが一般的です。なお、個人情報保護法上、プライバシーポリシーの策定が義務付けられているわけではありませんが、同法に適合したプライバシーポリシーを策定・公表しておくと、個人情報の取得その他で同法の要請を満たしやすくなるので、プライバシーポリシーを策定し、ウェブサイト上で公表する事業者が多いと思われます。
プライバシーポリシーの主な記載内容
(1) 利用目的
個人情報保護法上、個人情報を取得する際に、個人情報の利用目的を明示することが求められている(同法第18条第1項及び第2項)ため、その利用目的を記載したプライバシーポリシーを策定、あらかじめウェブサイトで公表し、顧客に閲覧していただいてから個人情報を取得する手法が広く採用されております。
(2) 第三者提供の有無及びその内容
保有する個人データを第三者に提供する場合、当該個人から事前に同意を取得しなければならない(同法第23条第1項)ので、第三者提供する相手先、提供する個人データの範囲及び当該第三者の利用目的等をあらかじめプライバシーポリシーに記載することが考えられます。
(3) 共同利用の有無及びその内容
特定の者(例えばグループ会社)との間で個人データを共同利用する場合、共同利用する旨、共同利用する個人データの項目、共同利用する者の範囲、共同利用者の利用目的及び当該個人データを管理する責任者の氏名又は名称を本人に通知しなければならない(同法第23条第5項第3号)ので、それらの情報をあらかじめプライバシーポリシーに記載することが考えられます。
(4) 訂正、追加又は削除の請求
個人情報取扱事業者によって保有されている個人データの内容が事実でない場合、当該個人データの訂正、追加又は削除の請求を当該事業者にすることが出来る(同法第29条第1項)旨をプライバシーポリシーに記載することが考えられます。
(5) 利用停止又は消去の請求
個人情報取扱事業者が保有する自己の個人データが利用目的の範囲外で利用されている、不正に取得されたものであるなど、個人情報取扱事業者が同法第16条又は第17条に違反している場合に、当該個人データの利用停止又は消去を請求することが出来る(同法第30条第1項)旨をプライバシーポリシーに記載することが考えられます。
(6) 個人情報保護責任者の氏名または部署名、連絡先等
個人情報取扱事業者による個人情報の取扱いに関する問い合わせ、(4)(5)の請求をする宛先として、個人情報保護責任者の氏名又は担当部署名及びその連絡先(電話番号、Eメールアドレス等)をプライバシーポリシーに記載することが考えられます。まとめ
繰り返しになりますが、個人情報の漏洩事案は後を絶たず、世界的に個人情報の保護機運が高まり、日本においても個人情報保護法が厳格化される予定であること等から、プライバシーポリシーの作成を始めとする個人情報保護法対応は、個人情報取扱事業者の重要な課題となっております。小職は、GDPRに準拠したプライバシーポリシーの作成経験がある他、日本の個人情報保護法に準拠したプライバシーポリシーの作成及びレビューについても多数の実績を有しているため、お客様からご好評いただいております。プライバシーポリシーの作成・レビュー又は個人情報保護法対応でお悩みの方はぜひ当事務所までご相談ください。