プライバシーポリシーとは、ウェブサイトに掲載する文章である、という認識を持つ方も少なくないかと思います。
もちろん、それは誤りとはいえず、個人情報保護法やそのガイドラインなどに基づいて、個人情報を取り扱う事業者(個人情報取扱事業者)が、取り扱うことになる個人情報の本人に対して、その取扱方針を示すための“外向け”の文書としてプライバシーポリシーが利用されていることは多いです。
しかし、このような外向けという利用方法以外にも、社内の教育や意識向上のツールとしても有効に活用できることもあります。
法的表示だけにしない
実際のところ、法律上の要請からプライバシーポリシーを整備している事業者は多いと考えられ、特にSaaSなどのWebサービス、ECサイト、会員制ビジネスなどでは、利用者からの信頼確保という目的の他にも、利用する他社サービスから求められるため作成・掲載しているケースも少なくないと思います。
しかし、せっかく作成したプライバシーポリシーであっても、その内容を実際に理解していない従業員が多いままでは、せっかく整備したルールもただの建前に終わってしまう危険があります。
だからこそ、プライバシーポリシーの作成をきっかけにして、しっかり従業員に対しても理解させる「社員教育」という側面も重要になってきます。
社内教育に使える理由
(1)判断基準を明確にすることでミスや事故を防げる
日常の業務においては、受け取った個人情報の扱いに関して様々な判断が求められます。
例えば次のような場合が想定されます。
- 名刺交換した情報を自社の顧客リストに登録してよいか
- お客様のメールアドレスを社外の共有ツールに入力してよいか
- テレワーク中に顧客名簿を個人PCで開いても問題ないか
こうした場面で、明確な方針が社内に共有されていなければ、「なんとなく」や「前からそうしていた」といった曖昧な運用になりかねません。
プライバシーポリシーには、情報の収集目的や利用範囲、共同利用、第三者提供の有無などが明記されているため、判断のよりどころとして活用できます。
(2)研修・教育資料として利用できる
新入社員や業務委託者、アルバイトなどに個人情報などの情報管理の重要性を伝えるには、具体的なルールが必要です。
そのときに、就業規則などと併せてプライバシーポリシーを読み合わせることで、「当社ではこういうルールを外部に向けて明示している」ということを伝えることができます。
また、社内研修のような場面においても、自社のポリシーに基づいた説明ができるよう教育することで、形式的な研修から一歩踏み込んだ実践的な教育につながります。
(3) 実務とのギャップが明らかになり、見直しのきっかけに
先述の2点を実践していくと、「プライバシーポリシーにはこう書いてあるけど、実際は違う運用をしている」という矛盾や齟齬に気が付く場合があります。
想定される事例としては、
- 「第三者提供はしない」と明記しているのに、ネット広告のカスタマーマッチ機能を利用するために広告配信事業者に送信していた
- 商品購入者に定期的に消耗品の案内メールを配信するようにしたが、「利用目的」にはそのような記載がなかった
こうした “プライバシーポリシーと実運用のズレ” を放置すれば、将来的なトラブルや法的リスクにつながります。
つまり、プライバシーポリシーを通じて社内を見直すことで、このようなリスクを軽減し、コンプライアンス水準を高める契機にもなります。
形だけではなく、“伝える”ポリシーに
プライバシーポリシーは、ただ作成し掲載すればよいというものではありません。
”外側”にいる利用者や顧客だけでなく、”内側”の従業員間でもしっかり共有され、実際に“読まれる”ことで意味を持ちます。
どんな情報が、何のために、どのように利用されるか、という基本的な情報を社内外に“伝える”ためのドキュメントとしてプライバシーポリシーを再定義してみませんか?
制度や法律のためだけでなく、また何となく求められるからということではなく、日々の業務を守る道具として、今一度、自社のポリシーを見直す価値があるかもしれません。
