コラム「プライバシーポリシーの掲載事項」
個人情報保護に関する権利者意識の高まりとIT社会の進展による情報漏洩の危険性の増大を踏まえ、個人情報について細心の注意を払った上での取扱いが求められます。
個人情報保護法には、個人情報の保護のためにいくつもルールが設けられておりますが、そのうち公表や通知を要するとされている事項があります。公表や通知の方法については当該事項に関する書面の郵送やパンフレットへの掲載等様々な方法が考えられるところですが、インターネット上に自社のホームページを設けている企業は、上記個人情報保護法で公表等を要するとされる事項について「プライバシーポリシー」等の名称でまとめて公表されていることが多いです。
個人情報保護法の規定に基づき、「プライバシーポリシー」に掲載すべき事項を下記1から3にまとめました。
1 個人情報の利用目的
個人情報取得の際には、個人情報の利用目的を本人に通知するか、公表しなければなりません。個人情報を大量に取得する場合に、利用目的をその都度本人へ通知することはコストがかかります。「プライバシーポリシー」で利用目的を公表しておけば、本人への通知は不要となります。
「プライバシーポリシー」に掲載する個人情報の利用目的は、個人情報がどのような事業のためにどのような目的で利用されるかが、本人に想定できる程度に具体的に特定する必要があります。利用目的を変更する場合の制限があるため、利用目的掲載のときには、将来個人情報を利用する可能性のある用途を検討のうえ、掲載しておくことが適切です。
2 保有個人データに関する事項
保有個人データとは、個人情報取扱事業者が開示や内容の訂正等行う権限を有する個人データです(個人データ:特定の情報を検索できるように体系的に構成されたデータベース等を構成する個人情報。例えばエクセルでまとめた顧客名簿に掲載された氏名等)。保有個人データに関する事項のうち、下記①~⑤に挙げる事項は、「本人の知り得る状態」(本人が知ろうとすれば、知ることができる状態)に置く必要があります。「プライバシーポリシー」等に掲載して公表しておけば、「本人の知り得る状態」にあるといえるため、別途の方法をとる必要はありません。
①個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
②全ての保有個人データの利用目的
③開示、訂正、利用停止等の請求手続(以下に補足があります。)
④保有個人データの取扱いに関する苦情の申出先
⑤認定個人情報保護団体に加入している場合は、当該団体の名称及び苦情の申出先
③については、以下に補足いたします。
令和2年法改正により本人が電磁的記録による保有個人データの開示を求めることができるようになりましたので、③の開示請求手続の掲載にあたっては電磁的記録による開示方法を掲載する必要があります。
次に、同じく令和2年法改正により、第三者提供記録(個人データを第三者に提供し、又は第三者から個人データの提供を受ける場合に作成が義務付けられる記録)の開示請求が本人からあった場合は、原則として開示しなければならないため、こちらの開示請求手続に関しても③の開示請求手続として掲載する必要があります。
さらに、開示請求に際し手数料を定めた場合は、その手数料の額を掲載する必要があります。
3 その他の事項
(1)個人データをオプトアウト(本人による同意なしに個人情報を第三者へ提供し、本人からの異議が出た場合に提供を停止する方法)により第三者へ提供する場合は、第三者に提供される個人データの項目等の法定事項を本人に通知するか、本人が容易に知り得る状態(本人が知ろうとすれば、時間的にも、その手段においても簡単に知ることができる状態)に置く必要があります。
(2)個人データを他企業等と共同して利用する場合は、共同利用をする旨や共同して利用する者の範囲等の法定事項を本人に通知するか、本人が容易に知り得る状態に置く必要があります。
なお、「公表」「本人の知り得る状態」「本人が容易に知り得る状態」という用語が出てきて紛らわしいのですが、例えば、自社のホームページのトップページから1回程度の操作で到達できる場所へ上記事項を掲載したプライバシーポリシーを掲載する場合や、事務所の窓口でポスターやパンフレットにプライバシーポリシーを継続的に掲示する場合は、全ての用語の場合をカバーできます。
弁護士 大山口鉄朗
2021年11月30日執筆