消費者と事業者の信頼の中心に
2023年10月13日
個人情報保護法とガイドラインは、個人情報の取扱いについて「本人に通知」するべき事項や「公表」するべき事項等を多数定めています。
そうした義務に対し、実務的には、プライバシーポリシーに掲載・公表して対応することが一般的になっていると言えます。
一方でプライバシーポリシーにはテンプレートが多数流通しているため、個人情報保護法を理解していない場合、安易にテンプレートを流用し、法令違反のリスクが発生してしまう恐れがあります。
また、2022年4月施行の法改正によってプライバシーポリシーにも見直しが必要になりましたが、対応できていないケースも見受けられるようです。
そこで今回は個人情報保護法遵守の観点から、プライバシーポリシーに記載するべき内容についてあらためて確認いたします。
※実務対応におかれましては必ず法令、ガイドライン、Q&A等を直接ご参照ください
・個人情報の保護に関する法律についてのガイドライン(通則編)(本文中、ガイドラインと表記)
・「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A(本文中、Q&Aと表記)
個人情報を取り扱うに当たっては、利用目的をできる限り具体的に特定しなければなりません。そして、利用目的を通知又は公表(直接本人から取得する場合は明示)する必要があります。
利用目的の特定について、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましいとされています。
ガイドラインには【具体的に利用目的を特定している事例】【具体的に利用目的を特定していない事例】があげられているので、それらを参考にする必要があります(下記画像)。「事業活動に用いるため」「マーケティング活動に用いるため」といった抽象的な記載は具体的に利用目的を特定できているとは言えませんのでご注意ください。
また、2022年施行の法改正によって、ガイドラインに【本人から得た情報から、行動・関心等の情報を分析する場合】について事例が追加されたため、該当する場合は対応が求められます。
※以上、ガイドライン上の該当箇所は利用目的の特定(法第17条第1項関係)
個人情報を取得する場合、あらかじめその利用目的を公表していることが望ましく、公表していない場合は、個人情報の取得後速やかに、本人に通知又は公表しなければならないとされています。
直接本人から個人情報を取得する場合は、あらかじめ本人に対しその利用目的を明示しなければならないとされています。
【利用目的の明示に該当する事例】において、本人が送信ボタン等をクリックする前等にその利用目的が本人の目に留まるようその配置に留意することが望ましい(利用目的の内容が示された画面に1回程度の操作でページ遷移するよう設定したリンクやボタンを含む)という例があげられています。
実務的には、利用目的を記載したプライバシーポリシーへのリンクを、WEBサイトのヘッダーやフッター、及び情報送信ボタン付近等に設定しておくといった対応が必要になるかと思います。リンクの設置場所にご注意ください。
※以上、ガイドライン上の該当箇所は利用目的の通知又は公表(法第21条第1項関係)及び直接書面等による取得(法第21条第2項関係)
保有個人データ(事業者が保有しデータべース等で管理している個人情報)に関して、5つの事項を「公表等」する必要があります。
WEBサイト上で取得した個人情報だけでなく、保有個人データ全体が対象となることにご注意ください。
「公表等」は、正確には「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければならない」となりますが、プライバシーポリシーに記載することが一般的と言えます。
保有個人データに関して公表等が必要な事項は以下の通りです。赤字の部分は法改正で追加となった内容となります。
①個人情報取扱事業者の氏名又は名称及び住所、法人の場合は代表者の氏名
②全ての保有個人データの利用目的
③保有個人データの利用目的の通知の求め又は開示等の請求に応じる手続及び
保有個人データの利用目的の通知の求め又は開示の請求に係る手数料の額
④保有個人データの安全管理のために講じた措置
(本人の知り得る状態に置くことにより安全管理に支障を及ぼすおそれがあるものを除く)
⑤保有個人データの取扱いに関する苦情の申出先
法改正によって、④安全管理措置のために講じた措置が加わったことに注意が必要です(ただし、本人の知り得る状態に置くことにより安全管理に支障を及ぼすおそれがあるものは除かれます)。
【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】は以下画像の通りです。ただ、この程度の細かさでプライバシーポリシーに記載するとなると、ポリシー全体の分量のバランスが崩れる場合もあるかと思います。
一方で、法令では「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければならない」とされていますので、講じた措置の概要や一部をホームページに掲載し、残りを本人の求めに応じて遅滞なく回答を行うといった対応をとることも可能となっています。
安全管理のために講じなければならない措置には、法改正によって、「外的環境の把握」が追加となりました。こちらについては、新たに措置を実施するとともに、本人の知りうる状態に置く必要があります。
外的環境の把握ですが、「外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない」という措置になります。
外国において個人情報を取り扱う場合は外国の法令が適用され、それによってリスクが発生する恐れがあるため、把握・対応しなければならないことになります。
「外国において個人データを取り合う場合」ですが、典型的には以下のような場合があげられます。
・外国にある支店・営業所に個人データを取り扱わせる場合(Q&A10-23)
・外国にある第三者に個人データの取扱いを委託する場合(Q&A10-24)
・外国にある第三者の提供するクラウドサービスを利用する場合(Q&A10-25)
・外国に設置されたサーバに個人データを保存する場合(Q&A12-3)
なお、本人の知り得る状態に置く際は、上記画像の事例のように、具体的な外国の国名を明確にする必要がありますのでご注意ください。
主要な外国・地域の個人情報の保護に関する制度は個人情報保護委員会のWEBサイトで確認することができます。
※以上、ガイドライン上の該当箇所は保有個人データに関する事項の公表等(法第32条関係)
個人情報の安全管理措置において、「個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である」とされています。
具体的に定める項目の例として考えられるものとして、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等があげられています。
基本方針の策定については安全管理措置の一環として本人の知りうる状態に置くことが求められますが、文書そのものの公表は義務づけられてはいません(Q&A10-9)。
しかし、プライバシーポリシーの冒頭に組み込んだり、プライバシーポリシーとは別の文書として同一ページに併記することも一般的となっています。利用者に信頼感を与えるという点からはそうした対応が望ましいと言えます。
※以上、ガイドライン上の該当箇所は(別添)講ずべき安全管理措置の内容 基本方針
「個人データの第三者への提供」を実施する場合は、あらかじめ本人の同意を得なければなりません。
しかし一口に個人データを第三者へ提供すると言っても、個人情報保護法への対応においては、細かい場合分けが求められます。
具体的には、まずは第三者への「提供」に該当するのかどうかを確認し、「提供」に該当する場合は、シンプルに「第三者提供」に該当するのか、もしくは、第三者提供の例外である「業務委託にともなう提供」「共同利用」「事業承継等」等に該当するかを確認する必要があります。
こうした個人情報保護法における整理については当機構ブログ過去時期をご参照ください。
当機構ブログ過去記事の画像より
どの場合に該当するかによって法的義務が異なってきますが、プライバシーポリシーとの関連では、以下のような義務が発生します。
個人データの第三者への提供に当たっては、あらかじめ本人の同意を得る必要があります(ガイドライン「本人の同意」)。
同意の取得に当たっては、本人への説明が必要です。事業の規模や性質、個人データの取扱状況等に応じ、「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない」とされています。また、利用目的において第三者提供を実施する旨を含んでおく必要があります。
なお、提供先を個別に明示することまでが求められるわけではありませんが、想定される提供先の範囲や属性を示すことは望ましいと考えられるとされています(Q&A7-9)
こうした説明事項について、プライバシーポリシーに記載し、利用者に読ませた上で同意を取得することが一般的な対応であると言えます。
共同利用の場合、以下の5点の情報を、あらかじめ本人に通知するか、又は「本人が容易に知り得る状態」に置いておく必要があります。赤文字は2022年施行の法改正によって追加となった内容になります。
こちらについてもプライバシーポリシーに記載して対応することが一般的と言えます。
①共同利用をする旨
②共同して利用される個人データの項目
③共同して利用する者の範囲
④利用する者の利用目的
⑤当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
③共同して利用する者の範囲ですが、「本人がどの事業者まで将来利用されるか判断できる程度に明確にする」必要がありますので注意が必要です。
なお、該当範囲が明確である限りにおいては、「必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない」とされています。
そのため実務的な対応としては、グループ企業で共同利用する場合、③の記載は〇〇グループとしておき、グループ企業一覧ページへのリンクを貼っておくといった対応も行われています。
業務委託に伴って個人データを提供する場合、委託先の監督が求められます。委託先の監督に関して、Q&Aにおいて、「保有個人データの安全管理のために講じた措置として、本人の知り得る状態に置く必要」があるとされています(Q&A9-4)。
また、委託先が外国にある第三者の場合は、先述の通り、外的環境の把握が必要になり、その措置について本人の知り得る状態に置く必要があります。
※以上、ガイドライン上の該当箇所は第三者提供の制限の原則(法第27条第1項関係)
外国にある第三者に個人データを提供する場合は、外国にある第三者への提供の制限(法第28条)の規定が適用されます。法改正によって情報提供の強化が必要になりました(赤字部分)。
原則となる規定は以下になります。
1.外国にある第三者への提供を認める旨の本人の同意を得なければならない(法第28条第1項)
・同意取得時に、外国の名称、外国の制度の情報、第三者の措置の情報を情報提供する必要がある(法第28条第2項)
・この場合、法第27条は適用されない。そのため、委託、共同利用等の例外も適用されない
ただし、以下の場合は適用される条項が異なるため、対応が変わります。
2.第三者が個人情報保護委員会が認定した国/地域(EU及びイギリス)にある場合
・法第28条は適用されない(当該国/地域は法第28条においては外国から除かれるため)
・法第27条(個人データの第三者への提供)が適用される(日本国内への第三者提供と同様)
3.第三者が個人情報保護委員会が定める体制を整備している場合
・法第28条第1項及び第2項は適用されない(当該第三者は法第28条においては第三者から除かれるため)
・法第27条(個人データの第三者への提供)が適用される(日本国内への第三者提供と同様)
・法第28条第3項が適用され、第三者の措置の継続的実施を確保するための措置と本人の求めに応じた措置の情報の提供が必要となる
それぞれの場合ごとに、規定により情報提供が必要となりますが、プライバシーポリシーに情報を記載しておき、同意を取得するといった対応が一般的かと思われます。
詳細につきましては、個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)をご参照ください。
また、外国にある第三者へ業務委託に伴って個人データを提供する場合、先述の通り、外的環境の把握が必要になり、その措置について本人の知り得る状態に置く必要があります。
データ分析等のために個人情報を匿名加工情報・仮名加工情報に加工したりする場合は、関連する事項を公表する義務が発生する場合があります。
仮名加工情報は2022年の法改正により導入されました。義務を考える際は個人情報である仮名加工情報と個人情報でない仮名加工情報に場合して考える必要があります。
・匿名加工情報を作成したときは、当該情報に含まれる情報の項目を公表する必要がある
・匿名加工情報を第三者に提供するときは、提供に当たり、「第三者に提供する匿名加工情報に含まれる個人に関する情報の項目と「匿名加工情報の提供の方法」を公表する必要がある
(なお第三者に対して、提供する情報が匿名加工情報である旨を明示する必要がある)
・個人情報である仮名加工情報を取得した場合には、速やかにその利用目的を公表する必要がある
(自社が保有する個人情報を加工して仮名加工情報を作成した場合には、ここでいう「取得」には該当しない)
・利用目的を変更した場合は、変更後の利用目的を公表する必要がある
該当する場合はプライバシーポリシーに記載することで対応が可能です。
詳細につきましては、個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)をご参照ください。
※匿名加工情報、仮名加工情報(及び個人情報である仮名加工情報と個人情報でない仮名加工情報)の違いと義務の概略については当機構ブログ過去記事にてご説明しております。
Cookie等を利用して個人に関する情報を外部に送信等する場合は、2022年施行の法改正によって新しく導入された「個人関連情報の第三者提供の制限」への対応について確認する必要があります。
また、2023年6月に施行された改正電気通信事業法において「外部送信規律」が導入されており、そちらへの対応についても確認しなければなりません。
それぞれの規制の対象になる場合には、プライバシーポリシーもしくは別の文章において、必要な情報について説明等を行うことになります。詳細は当機構ブログ過去記事にてご確認ください。
法令対応の観点からプライバシーポリシーに記載するべき内容は以上のように多数あり、また、記載が必要な場合に当たるかどうかの判断が必要な項目も多くなっています。
当機構は個人情報保護第三者認証マーク「TRUSTe(トラストイー)」の認証付与を行っております。審査の過程で専門的な知識を持つ審査員がプライバシーポリシーの内容についても確認しております。ご興味をお持ちの際はお気軽にお問合せください。
個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。