トップページ

by privacy

個人情報の適切な取扱いが求められています

事業を営む上で「個人情報」を取扱う場面はとても多いですが、その一方で、個人情報を提供する側の消費者の意識も高まっています。

「この会社に私の個人情報を提供しても大丈夫なのだろうか?」

「私の知らない会社に提供したりするのかな?」

「個人情報の取扱いについて知りたい」

そんな消費者の不安を払拭するためのアイテムの1つが「プライバシーポリシー」です。

プライバシーポリシーを公表することにより、お客様に対して個人情報を提供する消費者への安心をアピールするとともに、その作成を通じて個人情報を取扱う者としての責任を再認識して厳重に取扱うことで、漏洩などの事故の防止にも繋がることが期待できます。

新しい事業を始めるとき、新しいサービスを立ち上げるときは、その事業やサービスに適したプライバシーポリシーの作成をご検討ください。

プライバシーポリシーを作る2つの目的

実は、後述するプライバシーマークを取得する事業者を除き、原則として「プライバシーポリシーを作らなければならない義務」というのはありません。

それでもなぜ「プライバシーポリシー」を作らなければならないと言われるのでしょうか?
その理由は、主に次の2つに対応させるためです。

個人情報保護法上の義務

個人情報保護法では、いくつかの事項について「公表」または「本人(*1)の知り得る状態にする」ことが個人情報取扱事業者の義務として定められていますが、ウェブサイトなどで公表する方法のほうが容易に対応でき、しかも改定(*2)に即座に対応できるメリットがあります。

プライバシーマーク制度

JIPDEC(一般社団法人日本情報経済社会推進協会)が日本産業規格JIS Q 15001に準拠した個人情報保護体制を講じている事業者を評価して「プライバシーマーク」(Pマーク)を与える制度ですが、このJIS Q 15001が要求する事項の中に、特定の内容を含んだ個人情報保護方針を公表することが定められています。

※1「本人」とは、個人情報によって識別される特定の個人を意味します
※2 どのような内容であっても自由に改定できるものではありません

個人情報保護法による公表義務とは?

プライバシーマークを取得しない事業者であっても「プライバシーポリシー」を作成する理由の1つが、個人情報保護法の定める公表等の義務に対応するためです。

正確には、「公表」だけが求められるのではなく、その対象や内容に応じて「公表」または「本人への通知」もしくは「本人が知り得る状態にする」ことが定められています。

この義務により公表等が求められる事項の1つに個人情報の「利用目的」があります。
そしてこの利用目的は、個人情報を取扱うときはできる限り特定しなければならないとされています。

つまり、個人情報を取扱うときは、その利用目的をできる限り特定して、それを公表または本人に通知しなければならないのです。

また、2022年4月より施行された法改正により、「保有個人データの安全管理のために講じた措置」も本人が知り得る状態に置かなければならないようになりました。(個人情報保護法32条1項4号、個人情報の保護に関する法律施行令10条1号)

しかし、「本人に通知」というのは、新しい個人情報を取得するたびに通知が必要となってしまい、事業者にとってはただただ面倒です。

それに比べてウェブサイトなどに掲示するほうが手間がかからず、また変更があった場合でもすぐに対応することができるため、多くの事業者が「ウェブサイトなどへのプライバシーポリシーの掲示」という方法により、個人情報保護法が定める義務を果たすようになっています。

個人情報保護法以外にも掲示が必要な情報も

例えば、アクセス解析でよく利用されているGoogleアナリティクスは、利用規約においてGoogleが情報を収集すること、そしてGoogleアナリティクスを利用していることなどをプライバシーポリシーに記す必要があることが定められています。
Googleアナリティクス利用規約「7.プライバシー」参照
つまり、Googleアナリティクスを利用しているのに上記情報をプライバシーポリシーに掲載していない場合は、利用規約違反を問われる可能性があります。

また、2023年6月から施行されている改正電気通信事業法により、特定の事業者にはクッキー(Cookie)など外部に送信する情報について一定の事項を通知または公表する義務(「外部送信規律」と呼ばれます)が課されています
このような情報は、個人情報の取扱いと一緒にプライバシーポリシーに記載したり、外部送信規律に対応するための単独のページを設けて公表するなどの対応が求められます。

このように、状況によっては、個人情報保護法以外にもプライバシーポリシーを作成して公開する理由があります。

テンプレートの安易な利用は要注意!

インターネット上のページだけでなく、書籍などにおいて様々な「プライバシーポリシーのひな形(テンプレート)」が公開されています。

特に法務系の担当者が不在である事業者にとっては、新たにプライバシーポリシーの文面を作成するのは容易ではなく手間もかかるため、こういったテンプレートを利用したくなる気持ちもわかります。

しかし、簡単だからといって安易に利用するのは危険です!

実際の運用に
即しているか?

テンプレートはあくまで「必要最低限」のものであったり、「特定の事業やサービスなどを想定」して記載しているものです。
特に、「最低限」のものであれば問題は少ないですが、余計なものが含まれていた場合、それが原因でトラブルが生じるリスクがあります。
逆に、記載すべき事項が抜けている場合もあります。
このように、事業者による実際の運用に適したものであるとは限りません。

的確に文書で
記載できているか?

プライバシーポリシーには「利用目的」や「安全管理措置」など、個人情報保護法で求められる公表事項を記載することになります。
しかし、これらが曖昧な表現であったり、法律が求める内容に合致していない場合、せっかくプライバシーポリシーを定めたとしてもその意義が薄れてしまいます。

改正に対応
しているか?

実は、個人情報保護法は3年ごとに内容を検討し、必要があれば改正されることになっています。つまり、法律の改正によって求められる事項も変わることが想定されますので(※実際過去の改正では公表等すべき事項が追加されています)、利用するテンプレートが現在適用される法律に準拠しているかを確認する必要があります。

これらの点を確認するには、第三者の専門家の視点が重要となります。
誤った内容の”ポリシー”を公表していれば、それだけでトラブルの種になってしまっています

また、法務部や法務担当者だけで「法的観点のみを主眼において」作成することもお勧めしません。
収集した個人情報をどのように利用しているのかは、社内でしっかり洗い出す必要があるのはもちろん、例えばウェブサービスやウェブシステムの開発をベンダーに委託していた場合は、データをどのように保存・管理しているのか、そしてクッキーの利用などについてもしっかり確認する必要があります

古いプライバシーポリシーも要注意
プライバシーポリシーを作成してから時間が経過している場合は、法令だけでなく、実際の運用に合致しているかを
ぜひ見直してみてください

事業者やサービスに応じてオーダーメイド

取扱う個人情報も、取得方法も、そして管理方法も事業者やサービスの内容によって異なります。

当事務所では行政書士だけでなく個人情報保護士の資格も保有しております代表がしっかりヒアリングの上、お客様に最適なプライバシーポリシーをご提案いたしております。

なお、ウェブシステムやウェブサービスの作成をベンダーに委託している場合、ユーザー側としてはシステムの詳細まで把握・理解できていないこともありますので、可能であればヒアリング時にベンダーの担当者の方もご同席いただくことで、より正確なプライバシーポリシーを作成することができます。

また、方針(ポリシー)の文書を作成して終わり、ではなく、個人情報など各種情報の取扱いについて、お客様と一緒に考え、そして運用していくコンサルティング業務も承っています

【プライバシーポリシー作成報酬】
通常 ¥33,000〜(消費税込)
クッキーポリシーを含む場合 ¥55,000〜(消費税込)
外部送信規律に対応する場合 ¥55,000〜(消費税込)
個人情報取扱いに関するコンサルティング 内容に応じてお見積もりいたします

まずはお気軽にお問い合わせください

ご相談から納品までの流れ

通常以下の流れで進みます。お急ぎの場合などは若干前後する場合がございます。
(※お急ぎの場合であっても、メールだけで受注を確定することはございません。必ず面談のお時間をいただきますので予めご了承ください。)

  • メールでのお問い合わせ
  • ご面談(Zoom または 対面)
  • 確定したお見積もりのご提示
  • 正式にご依頼いただける場合は当事務所所定の業務委託申込書のご提出
  • 作成開始。通常3営業日以内に最初の原稿案をご提示
  • 内容の確認・修正
  • 完成・納品(Wordファイル)・請求書発行
  • お支払い・業務完了

よくある質問

Q.サービスごとに作成する必要がある?

A. 一般的には、サービス内容によって個人情報の利用目的が異なることが多いと思いますので、サービスごとに作成することが望ましいです。ただ、各サービスの内容や既存のプライバシーポリシーの内容によっては、基本となるプライバシーポリシーを1つ定めた上で、サービスごとに異なる箇所だけ上書きするような運用が適している場合も考えられます。

Q. プライバシーポリシーを作らないと罰則がある?

A. プライバシーポリシーを作成しないことに対する罰則はありません。しかし、個人情報を取扱う場合は利用目的をできるだけ特定しなければならず、また公表などの義務が課されていますので、これらの義務は遂行する必要があります。
これらの義務を遂行しないことにより個人の権利利益を保護するために必要があると判断された場合は、個人情報保護委員会から是正措置や是正命令が発せられることもあり、これらに違反した場合は懲役または罰金が課される場合があります。

Q. もっと安い値段で作るところもあるが?

A. 確かに格安で対応している事業者もいますし、テンプレートを少し変えただけで提出するようにすれば、当事務所でももっと安価でサービス提供できると思います。
しかし、プライバシーポリシーに記載する個人情報の「利用目的」や「安全管理措置」については、お客様ごとに大きく異なるものであり、実情を正確に反映される必要がありますので、十分なヒアリングは欠かせません。
当事務所では、代表行政書士によるヒアリングを行った上で検討を重ねて、お客様ごとにマッチしたプライバシーポリシーをご提示いたしておりますため、この報酬額にて見積もっております。