近年では多くの企業やサービスのウェブサイトにおいて「プライバシーポリシー」や「個人情報保護方針」といった、自社による個人情報の取扱い方法などについて記載されている文書が掲載されています。
このような状況から、「プライバシーポリシーは作成する義務があるのでは?」「プライバシーポリシーを作らないと罰則があるのでは?」と考えてしまうかもしれません。
結論から言うと、“プライバシーポリシーという文書の作成”自体が直ちに法律上の義務になるケースは多くありません。
一方で、後述するとおり、個人情報を取得する以上、利用目的の通知・公表など、実務上は避けられない対応があります。
文書作成の義務はない
結論としては、(プライバシーマークを取得していない企業は)プライバシーポリシーを作成する義務はありません。
また、義務ではない以上、作成しないことによる罰則はありません。
よって、プライバシーポリシーがないからといって、それが直ちに違法であるということではなく、企業にとって「直ちに違法」とは限らないものの、“説明の手間”や“審査・信用面の不利”が生じることがあります。
企業やサービスにおける個人情報の取得シーンによっては、プライバシーポリシーという文書を作成しないという選択肢もあり得ることになります。
ただし次のような場面では、法律的な観点より先に「URLで提示できるプライバシーポリシー」を求められ、未整備だと手戻りや予期せぬ事態が起きがちです。
- スマホアプリの公開・更新(App Store / Google Play ではプライバシーポリシーURLの提出が求められます)
- 取引先のセキュリティチェック/委託先審査(チェックシートにおいてプライバシーポリシーが提示されているURLを問われることがある)
- 広告・解析ツール導入後の問い合わせ増(Cookie等の説明が必要になる)
※ただし、プライバシーマークを取得している企業は、JIS Q 15001に基づいて個人情報保護方針を文書化して公表する義務があります
公表することが重要
このように作成義務のないプライバシーポリシーという文書を、なぜ多くの企業などは作成するのでしょうか?
理由はシンプルで、個人情報保護法上の「通知・公表」「本人の知り得る状態」などの対応を、漏れなく&一括で行うために適しているからです。
具体的な理由は企業ごとで異なると思いますが、一般的に考えられる理由としては、個人情報保護法(「法」)で定められている義務に対応するため、という点が挙げられます。
代表的な規定として、個人情報取得に際して利用目的を通知または公表する義務(法21条1項)があります。
この規定では、個人情報を取得した場合には、速やかにその利用目的を本人に通知し、または公表しなければならないとされており、基本的にはこれに従う義務がありますが、例外として「あらかじめ利用目的を公表している場合」には適用されません。
個人情報保護委員会のガイドラインでも、取得時点での手戻りを避ける観点から「あらかじめ利用目的を公表していることが望ましい」と整理されています。
多くの場合、個人情報を取得するたびにその利用目的を通知するというのは手間がかかりますし、何らかのミスで通知・公表が行われなかった場合は、この規定に違反する状態、つまり違法状態を作り出してしまうことになります。
そのような状況を避けるためには、先述の例外規定に該当するように「あらかじめ公表」しておく方法が労力が少なく、理にかなっているといえます。
同様に、保有個人データに関して本人の知り得る状態におく、または本人の求めに応じて遅滞なく回答することが義務付けられている以下のような項目もあり、主なものは以下の情報です(法32条1項、個人情報保護法施行令10条)。
- 個人情報取扱事業者の氏名、住所、代表者名
- すべての保有個人データの利用目的
- 開示等の手続きと手数料額
- 安全管理措置
- 苦情の申出先
これらの情報については、プライバシーポリシーとして公表することで「本人の知り得る状態」におくことができ、法に従った企業(サービス)運営をしていることになるのですが、もしプライバシーポリシーがない場合は、本人からの求めに応じて都度回答しなければならなくなり、企業にとっては大きな負担になるのではないでしょうか。
さらに、窓口情報(連絡先)や削除・保管期間などが曖昧だと、利用者からの問い合わせが最初からクレームの色を帯びてしまい、それに対応する担当者の工数とリスクが跳ね上がるおそれがあります。
自社のウェブサイトやサービスで、利用目的の公表や保有個人データの説明ができていますか? 「何を書けばいいかわからない」「今のままで足りているか不安」という場合は、まず確認ポイントを整理するところから始められます。
→ まず状況を整理する(無料)
公表とは
なお、個人情報保護法でいう「公表」とは、広く一般に自己の意思を知らせること、不特定多数の人々が知ることができるように発表することを指すとされており(個人情報保護法ガイドラインより)、たとえばWebサイト掲載・パンフ配布・窓口掲示や備付け等が該当します。
コンプライアンスのために
ではここで改めて確認してみてください。
- 自社サイトにプライバシーポリシーは掲載されていますか?
- 掲載されている場合、利用目的や問い合わせ窓口は明記されていますか?
- アクセス解析や広告ツールを使っている場合、その説明は含まれていますか?
まとめますと、プライバシーポリシーや個人情報保護方針といった文書を作成し公表する義務はありませんが、ただ一般的な企業運営においては、法を遵守するという目的に加えて円滑な業務遂行のためにも、プライバシーポリシーを作成・公表することが有効であるといえます。
“未掲載で困ること”を現場目線で並べると、次の3つに集約されます。
- 審査・取引の手戻り(URL提示を求められる)
- 問い合わせ対応コストの増加(都度説明・属人化)
- 信用低下による離脱(フォーム送信前の不安)
なお、プライバシーポリシーの作成有無にかかわらず、個人情報を取り扱うにあたってその利用目的をできる限り特定しなければならない(法17条1項)とされていることもあり、個人情報の取扱いを始める前にしっかりとその利用目的等を検討することは必要です。
プライバシーポリシーが公表されていない場合、このような利用目的について検討されているかという点や、先述の公表等の義務がある事項について本当に回答しているのかといった点が不明確になり、コンプライアンスを軽視しているようにも見えてしまうことで取引先企業や個人情報を提供している消費者から悪印象をもたれてしまうリスクが生じてしまうおそれがあります。
近年ではどのウェブサイトやウェブサービスでもプライバシーポリシーを公開していることのほうが多いため、個人情報を提供する側である顧客や利用者にとっては、「プライバシーポリシーを公開していない」時点で印象としては大きくマイナスになります。
ただ作れば良い、というものではない
ここまでの説明でプライバシーポリシーの必要性を感じて、実際に作成しようとする場合に注意すべき点があります。
それは、ネット上に無数に存在するテンプレートの利用や、昨今広まっている生成AIを利用することです。
これらを利用することで手軽に“それっぽく”作ることは容易ですが、実際の取得データ(問い合わせフォームなどの他、アクセス解析、広告、決済、委託先など)と齟齬が出やすい点には注意が必要です。
(参考:プライバシーポリシーの作成を生成AIに任せることの落とし穴)
自社だけで難しいと感じる場合は、専門家とともに作成することがお勧めです。
実際に使っているツールや取得しているデータを洗い出し、それに合った内容を一緒に整理します。
→ まず状況を聞かせてください(無料)
まとめ
Q. プライバシーポリシーがないとどうなる?
A. プライバシーマークを取得している場合を除き、それだけで違法になったり罰則があったりするものではないが、企業運営において負担が増えたり、取引先や顧客からみてコンプライアンスの疑念が生じるおそれがある
