企業や個人事業主がウェブサイトを公開する際、「プライバシーポリシーの掲載が必要なのか?」と疑問に思うことがあるかもしれません。
中には「うちは問い合わせフォームがあるだけで、個人情報のデータベースなんて持っていないから、個人情報保護法の対象ではないはず」と考えている方もいるようです。
しかし、このような認識には注意が必要です。実際には、ほとんどの法人が「個人情報取扱事業者」に該当し、個人情報保護法(以下「法」)に基づく義務を負っているといっても過言ではありません。
法の義務を負う事業者とは?
まず押さえておきたいのは、法の規制対象となるのは「個人情報取扱事業者」ということです。
これは、法16条以下の規定が適用される主体であり、一定の要件を満たす場合にのみ、その義務を負うことになります。
では、「個人情報取扱事業者」とはどのような事業者を指すのでしょうか?
「個人情報取扱事業者」とは?
法において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者を指します(法16条2項)。
法16条(定義)2項
2 この章及び第六章から第八章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一 国の機関
二 地方公共団体
三 独立行政法人等
四 地方独立行政法人
ここでいう「個人情報データベース等」とは、特定の個人情報を容易に検索できるように体系的に構成された情報の集合を意味します。これは、電子的なデータベースだけでなく、紙媒体の名簿なども含まれる点が重要です。
※個人情報データベース等の詳細についてはこちらの記事もご参照ください
つまり、「ウェブサービスで大規模な会員データベースを持っているような企業」だけでなく、Excelで顧客リストや社員名簿を作っているような一般的な企業・法人・個人事業主であっても対象になるのです。
データベース化していないから対象外?
ある中小企業がウェブサイトに「問い合わせフォーム」を設置しているとします。
送信された情報は、その会社が管理している特定のメールアドレスに届くだけで、特にデータベースに保存しているわけではない場合、その企業は「個人情報取扱事業者」に該当しないのでしょうか?
このように考えている事業者も少なくないようですが、結論としては、ほとんどの場合「該当する」と考えるべきです。
多くの法人では問い合わせ情報の有無に関係なく、先述のような社員名簿や顧客リストなど、ほかの個人情報データベース等を保有しているのがその理由です。
社員名簿=個人情報データベース等
たとえば、社員の名前・所属部署・連絡先を名前の50音順で記載した「社員名簿」を作成している場合、これも「個人情報データベース等」に該当します。
このような名簿は、検索性があり体系的に整理されているのが通常ですし、また従業員管理のために会社の業務上利用していることが通常ですので、これが電子データか紙媒体かの違いに関係なく、法律上の定義に当てはまります。
つまり、問い合わせフォームからのデータをデータベース化していなくても、他に個人情報データベース等を用いていれば「個人情報取扱事業者」に該当するのです。
プライバシーポリシーの整備は「全事業者の基本」
「うちは問い合わせが来てもメールで対応するだけだから関係ない」
「個人情報保護法は大企業だけの話でしょ?」
こうした認識をしていると、思わぬリスクを招くおそれがあります。
実際には、社員情報や取引先情報をデータベース化して利用している時点で、個人情報取扱事業者に該当します。
そのため、企業・法人である以上は、原則として個人情報保護法上の義務を負うと考えるのが安全です。
まずは、社内にどのような個人情報データベース等が存在するかを確認し、必要に応じてプライバシーポリシーの整備や社内ルールの見直しを行うことが重要です。
そして、「問い合わせフォームしか設置していない」ようなウェブサイトだったとしても、個人情報取扱事業者の義務である「利用目的の通知」(法16条1項、2項)のためにプライバシーポリシーを公開することが望ましいといえます。