プライバシーポリシーを作成する2つのメリットと記載するべき7項目
法務


この記事の目次
ウェブサービスをリリースするときには、一般的に「利用規約」、「プライバシーポリシー」、「特商法上の表記」を準備します。ウェブサービスを提供しているウェブサイトの下部を見ると、ほとんど全てのサービスに、これらの記載があることがわかると思います。

前回は『専門家に相談する前にこれだけは知っておきたい利用規約の意味と内容 』で利用規約について解説しましたが、今回は、サービスリリース前にプライバシーポリシーを準備しなくては ! という皆様のためにプライバシーポリシーについてご説明します。


プライバシーポリシーとは


「サービスをリリースするためにプライバシーポリシーが必要らしいのですが、それが何であるのかよくわからなくて…」という相談を受けることがあります。まずは、プライバシーポリシーとは何かということから確認していきましょう。

プライバシーポリシーとは、サービスを提供するにあたって、事業者がユーザの個人情報やその他のパーソナルデータをどのように取扱うのかを示したものをいいます。そのため、サービス毎に作成されることが望ましいです。


プライバシーポリシーは何のために作成するのか


実は、法令には「プライバシーポリシーを作成しなければならない」という規定はありません。しかし、個人情報の保護に関する法律(以下、「個人情報保護法」とします。)では、個人情報の利用目的を公表(通知)する義務(同法18条1項)や、個人データを第三者に提供する際に本人から同意を得る義務(同法23条)などが規定されています。そこで、このような義務をまとめて処理できるようにプライバシーポリシーが設けられます。

また、近年では、個人情報やプライバシーに対するユーザの意識が高まっています。そのため、プライバシーポリシーを適切に定めることを怠ってしまうことにより、ユーザから強い反発を受け、サービスや事業の継続が困難になる例が多数あります。このような事態を防ぐためにも、事業者は、ユーザに対し、パーソナルデータの取扱い方をきちんと示しておく必要があります。

まとめると、プライバシーポリシーを設ける目的は以下のようになります。

(1)個人情報保護法・プライバシー権など法規制に違反しないようにするため
(2)パーソナルデータのなどの取扱い方法を示し、ユーザの理解を促すため


プライバシーポリシーには何を記載するべきか


前述したプライバシーポリシーの目的を踏まえると、個人情報保護法・プライバシー権などの法規制の内容を押さえつつ、ユーザがパーソナルデータの取り扱い方を十分に理解できるような記載が必要です。

そのために、プライバシーポリシーには、主に以下の事項を記載することが多いです。

(1)提供するサービスの概要
(2)取得するパーソナルデータの項目と取得の方法
(3)パーソナルデータの利用目的
(4)パーソナルデータやパーソナルデータを加工したデータの第三者への提供の有無及び提供先
(5)ユーザによるパーソナルデータの提供の停止・訂正の可否及びその方法
(6)問合せ先
(7)保存期間、廃棄

もちろん、パーソナルデータの取り扱い方はサービスの内容によって千差万別であるため、これらの項目を記載すれば常に必要十分ということではありません。


ドラフト・レビューは専門家に依頼するべきか


他社のプライバシーポリシーを参考にしながら、自ら作成する事業者もいるかもしれません。しかし、プライバシーポリシーの作成においては、そのドラフトやレビューを専門家に依頼するべきであると思います。個人情報保護法の規制内容や、プライバシー権に関する裁判例を踏まえた記載がされるべきですし、どの程度まで記載するべきかについて、相場観や各種ガイドラインなどを踏まえる必要があるからです。


専門家に依頼するときに何を伝えればよいか


ビジネスはスピードが命であるため、プライバシーポリシーの作成は効率的に行うべきでしょう。効率的に進めるためには、はじめに専門家に以下の情報を提供するとよいと思います。

(1)サービスの内容
(2)取得するパーソナルデータの項目 *
(3)各パーソナルデータの利用目的
(4)各パーソナルデータの収集・活用・削除の流れ

* 氏名、住所、メールアドレスなどに限らず、GPSによる位置情報、クッキーで取得される閲覧履歴、端末固有IDなど個人に関連する一切の情報を含みます。

このような情報を専門家に提供したうえで、専門家のヒアリングを受けながら作成すると効率的に進めることができると思います。

また、センシティブな情報を不必要に取り扱っているサービスなどについては、専門家から、パーソナルデータの取扱い方法を変更することが推奨される場合もあります。そのような場合には、サービスの内容・方法について再検討することも必要なことがあるでしょう。


まとめ


サービスをリリースする直前まで、取扱うパーソナルデータの項目もその取り扱い方も確定していないということは一般的によくあります。そのため、リリース時期が迫ってからプライバシーポリシーの作成に着手するケースも多いでしょう。

事業者の皆様は、肝心のサービスを円滑に運用するために、プライバシーポリシーの作成にあまり多くの時間をかけられないかもしれません。しかし、その後の運用を考えると、非常に重要であるため、いい加減に作成することはお勧めできません。

本記事が、適切かつ効率的なプライバシーポリシー作成の一助になれば幸いです。

ご不明な点がございましたら、お気軽にご相談ください。
参照 : SHARES 弁護士 中野友貴 のページ

記事のキーワード*クリックすると関連記事が表示されます

メルマガ登録(毎週水曜配信)

SHARES LABの最新情報に加え、
経営に役立つ法制度の改正時事情報などをお送りします。