これが”プライバシーポリシーの作り方”!
新たな事業を開始したり、新たなサービスを展開するにあたって、プライバシーポリシーを作成する企業や個人事業主は多いと思います。
その作成にあたって、「プライバシーポリシー 作り方」や「プライバシーポリシー ひな形」といったワードで検索して、ヒットしたサイトに書かれている内容を参考にしながら、なんとなくそれっぽいだけの文書を作っていませんか?
個人情報の取扱い方法は、企業によって異なります。
それにも関わらず、”なんとなく”の文書を作成しているだけでは本当に貴社に適しているプライバシーポリシーなのかの判断はできないのではないでしょうか。
また、社長や従業員の時間も有限です。
限られた時間のなかで、本来の業務とは異なる”プライバシーポリシー文書作成”に従事するのは負担も大きいですし、またこの作業を行ったからといって売上げが上がるものでもありません。
だからこそ、第三者であり、かつ専門家でもある者からの視点を加味してプライバシーポリシー文書を作成することが、従業員の負担軽減に加えて、適切・的確な個人情報の取扱いとなり、それが個人情報の漏洩や不適切取扱いといった潜在的な訴訟リスクの回避にもつながります。
専門家に作成を依頼すること。これが最も効率的な”プライバシーポリシーの作り方”です。
様々な業種やサービスのプライバシーポリシーを作成した経験に基づき、単に文書作成するだけでなく、専門家として個人情報取扱いに関するアドバイスもいたします
プライバシーポリシーを作る2つの目的
実は、後述するプライバシーマークを取得する事業者を除き、原則として「プライバシーポリシーを作らなければならない義務」というのはありません。
それでもなぜ「プライバシーポリシー」を作らなければならないと言われるのでしょうか?
その理由は、主に次の2つに対応させるためです。
個人情報保護法上の義務
個人情報保護法では、いくつかの事項について「公表」または「本人(*1)の知り得る状態にする」ことが個人情報取扱事業者の義務として定められていますが、ウェブサイトなどで公表する方法のほうが容易に対応でき、しかも改定(*2)に即座に対応できるメリットがあります。
プライバシーマーク制度
JIPDEC(一般社団法人日本情報経済社会推進協会)が日本産業規格JIS Q 15001に準拠した個人情報保護体制を講じている事業者を評価して「プライバシーマーク」(Pマーク)を与える制度ですが、このJIS Q 15001が要求する事項の中に、特定の内容を含んだ個人情報保護方針を公表することが定められています。
※1「本人」とは、個人情報によって識別される特定の個人を意味します
※2 どのような内容であっても自由に改定できるものではありません
個人情報保護法による公表義務とは?
プライバシーマークを取得しない事業者であっても「プライバシーポリシー」を作成する理由の1つが、個人情報保護法の定める公表等の義務に対応するためです。
正確には、「公表」だけが求められるのではなく、その対象や内容に応じて「公表」または「本人への通知」もしくは「本人が知り得る状態にする」ことが定められています。
この義務により公表等が求められる事項の1つに個人情報の「利用目的」があります。
そしてこの利用目的は、個人情報を取扱うときはできる限り特定しなければならないとされています。
つまり、個人情報を取扱うときは、その利用目的をできる限り特定して、それを公表または本人に通知しなければならないのです。
また、2022年4月より施行された法改正により、「保有個人データの安全管理のために講じた措置」も本人が知り得る状態に置かなければならないようになりました。(個人情報保護法32条1項4号、個人情報の保護に関する法律施行令10条1号)
しかし、「本人に通知」というのは、新しい個人情報を取得するたびに通知が必要となってしまい、事業者にとってはただただ面倒です。
それに比べてウェブサイトなどに掲示するほうが手間がかからず、また変更があった場合でもすぐに対応することができるため、多くの事業者が「ウェブサイトなどへのプライバシーポリシーの掲示」という方法により、個人情報保護法が定める義務を果たすようになっています。
個人情報保護法以外にも掲示が必要な情報も
例えば、アクセス解析でよく利用されているGoogleアナリティクスは、利用規約においてGoogleが情報を収集すること、そしてGoogleアナリティクスを利用していることなどをプライバシーポリシーに記す必要があることが定められています。
(Googleアナリティクス利用規約「7.プライバシー」参照)
つまり、Googleアナリティクスを利用しているのに上記情報をプライバシーポリシーに掲載していない場合は、利用規約違反を問われる可能性があります。
また、2023年6月から施行されている改正電気通信事業法により、特定の事業者にはクッキー(Cookie)など外部に送信する情報について一定の事項を通知または公表する義務(「外部送信規律」と呼ばれます)が課されています。
このような情報は、個人情報の取扱いと一緒にプライバシーポリシーに記載したり、外部送信規律に対応するための単独のページを設けて公表するなどの対応が求められます。
このように、状況によっては、個人情報保護法以外にもプライバシーポリシーを作成して公開する理由があります。
テンプレートの安易な利用は要注意!
インターネット上のページだけでなく、書籍などにおいて様々な「プライバシーポリシーのひな形(テンプレート)」が公開されています。
特に法務系の担当者が不在である事業者にとっては、新たにプライバシーポリシーの文面を作成するのは容易ではなく手間もかかるため、こういったテンプレートを利用したくなる気持ちもわかります。
しかし、簡単だからといって安易に利用するのは危険です!
実際の運用に
即しているか?
テンプレートはあくまで「必要最低限」のものであったり、「特定の事業やサービスなどを想定」して記載しているものです。
特に、「最低限」のものであれば問題は少ないですが、余計なものが含まれていた場合、それが原因でトラブルが生じるリスクがあります。
逆に、記載すべき事項が抜けている場合もあります。
このように、事業者による実際の運用に適したものであるとは限りません。
的確に文書で
記載できているか?
プライバシーポリシーには「利用目的」や「安全管理措置」など、個人情報保護法で求められる公表事項を記載することになります。
しかし、これらが曖昧な表現であったり、法律が求める内容に合致していない場合、せっかくプライバシーポリシーを定めたとしてもその意義が薄れてしまいます。
改正に対応
しているか?
実は、個人情報保護法は3年ごとに内容を検討し、必要があれば改正されることになっています。つまり、法律の改正によって求められる事項も変わることが想定されますので(※実際過去の改正では公表等すべき事項が追加されています)、利用するテンプレートが現在適用される法律に準拠しているかを確認する必要があります。
これらの点を確認するには、第三者の専門家の視点が重要となります。
誤った内容の”ポリシー”を公表していれば、それだけでトラブルの種になってしまっています。
また、法務部や法務担当者だけで「法的観点のみを主眼において」作成することもお勧めしません。
収集した個人情報をどのように利用しているのかは、社内でしっかり洗い出す必要があるのはもちろん、例えばウェブサービスやウェブシステムの開発をベンダーに委託していた場合は、データをどのように保存・管理しているのか、そしてクッキーの利用などについてもしっかり確認する必要があります。
【古いプライバシーポリシーも要注意】
プライバシーポリシーを作成してから時間が経過している場合は、法令だけでなく、実際の運用に合致しているかを
ぜひ見直してみてください
作って終わり、ではない!情報管理の重要性
プライバシーポリシーは、作ればよいというものではありません。
作成したポリシーに従って、適切に個人情報を取得・管理することが求められます。
「個人情報の管理に投資しても会社の利益にはならない。」
確かに、プライバシーポリシーの作成や情報管理に対して費用を投じても、会社の売上げ・利益が上がるものではありませんし、ビジネス上で大きなメリットが存在するものでもありません。
しかし、これらを軽視することで、個人情報を含む様々な情報が漏えいしたり、情報の不適切な取扱いが発生したりする危険が高まり、その危険が会社に莫大な損害を与えてしまうかもしれません。
そのため、当事務所では、民間資格である「個人情報保護士」に加えて、サイバーセキュリティ専門の国家資格である情報処理安全確保支援士(登録セキスペ)の知見に基づいて、お客様による適切な情報管理についてや、個人情報保護法やサイバーセキュリティに関する法令遵守のためのサポートを提供することが可能です。
事業者やサービスに応じてオーダーメイド
取扱う個人情報も、取得方法も、そして管理方法も事業者やサービスの内容によって異なります。
当事務所の代表は、行政書士だけでなく個人情報保護士と情報処理安全確保支援士という2つの情報処理系の資格も保有しておりますので、しっかりヒアリングの上、お客様に最適なプライバシーポリシーをご提案いたしております。
なお、ウェブシステムやウェブサービスの作成をベンダーに委託している場合、ユーザー側としてはシステムの詳細まで把握・理解できていないこともありますので、可能であればヒアリング時にベンダーの担当者の方もご同席いただくことで、より正確なプライバシーポリシーを作成することができます。
また、方針(ポリシー)の文書を作成して終わり、ではなく、個人情報など各種情報の取扱いについて、お客様と一緒に考え、そして運用していくコンサルティング業務も承っています。
【プライバシーポリシー作成報酬】
通常 ¥33,000〜(消費税込)
クッキーポリシーを含む場合 ¥55,000〜(消費税込)
外部送信規律に対応する場合 ¥55,000〜(消費税込)
個人情報取扱いに関するコンサルティング、サポート 内容に応じてお見積もりいたします
ご相談から納品までの流れ
通常以下の流れで進みます。お急ぎの場合などは若干前後する場合がございます。
(※お急ぎの場合であっても、メールだけで受注を確定することはございません。必ず面談のお時間をいただきますので予めご了承ください。)
- メールでのお問い合わせ
- ご面談(Zoom または 対面)
- 確定したお見積もりのご提示
- 正式にご依頼いただける場合は当事務所所定の業務委託申込書のご提出
- 作成開始。通常3営業日以内に最初の原稿案をご提示
- 内容の確認・修正
- 完成・納品(Wordファイル)・請求書発行
- お支払い・業務完了
よくある質問
Q.サービスごとに作成する必要がある?
A. 一般的には、サービス内容によって個人情報の利用目的が異なることが多いと思いますので、サービスごとに作成することが望ましいです。ただ、各サービスの内容や既存のプライバシーポリシーの内容によっては、基本となるプライバシーポリシーを1つ定めた上で、サービスごとに異なる箇所だけ上書きするような運用が適している場合も考えられます。
Q. プライバシーポリシーを作らないと罰則がある?
A. プライバシーポリシーを作成しないことに対する罰則はありません。しかし、個人情報を取扱う場合は利用目的をできるだけ特定しなければならず、また公表などの義務が課されていますので、これらの義務は遂行する必要があります。
これらの義務を遂行しないことにより個人の権利利益を保護するために必要があると判断された場合は、個人情報保護委員会から是正措置や是正命令が発せられることもあり、これらに違反した場合は懲役または罰金が課される場合があります。
Q. もっと安い値段で作るところもあるが?
A. 確かに格安で対応している事業者もいますし、テンプレートを少し変えただけで提出するようにすれば、当事務所でももっと安価でサービス提供できると思います。
しかし、プライバシーポリシーに記載する個人情報の「利用目的」や「安全管理措置」については、お客様ごとに大きく異なるものであり、実情を正確に反映される必要がありますので、十分なヒアリングは欠かせません。
当事務所では、個人情報保護士と行政書士である代表によるヒアリングを行った上で検討を重ねて、お客様ごとにマッチしたプライバシーポリシーをご提示いたしておりますため、この報酬額にて見積もっております。
お問い合わせ
プライバシーポリシーの作成や修正、見直しに関するご質問は以下のフォームからお寄せください。