プライバシーポリシーには個人情報の取扱いに関する様々な事項が記載されますが、その中で特に重要だといえるのは何でしょうか。
実は、プライバシーポリシーを作成する本質的な目的のひとつに、「個人情報の利用目的を特定し明示すること」があります。そしてこの「利用目的の明示」は、単なるマナーや企業のポリシーの問題ではなく、個人情報保護法(以下「法」)で義務付けられている重要なルールなのです。
利用目的は「できる限り特定」しなければならない
法では、個人情報を取得する際に、その「利用目的をできる限り特定すること」が求められています(法17条1項)。
たとえば「マーケティングのため」や「サービス向上のため」といった曖昧な表現では不十分で、具体的に
・「新商品やセミナーの案内メールを送付するため」
・「サービス改善のためのアンケート分析に利用するため」
といった形で、可能な限り明確に示す必要があります。
そして、特定された利用目的は、本人に伝えるか、またはウェブサイトに掲載するなどの方法で公表する必要があります。
書面で取得する場合は、事前の明示が必要
特に注意したいのが、契約書や申込書、アンケート用紙などの紙に記入して取得する場合のほか、ウェブサイトの問い合わせフォームなどに入力してもらうことで電磁的記録として個人情報を取得する場合です。
このような場合には、「あらかじめ」本人に利用目的を明示しておかなければなりません(法21条2項)。
(ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は除きます。なお、この場合は取得後すみやかに利用目的を通知または公表する必要があります)
たとえば申込書の末尾に「この書類で取得する個人情報は、以下の目的で利用します」などと明記したり、ウェブサイト内の「お問い合わせ」フォームで利用目的を明示したプライバシーポリシーを表示したり、そのページへのリンクを設置するという方法が一般的です。
これは後から通知すればよい、あるいはウェブサイトで公表されているからよい、ということではなく、「取得時には本人に対して明示している必要がある」ということです。
したがって、どの事業者であっても、プライバシーポリシーと実際の運用をしっかり連携させることが重要です。
利用目的を通知等しなくてもよい例外もある
ただし、どのような場合であっても利用目的の通知・公表が必要なわけではありません。
法21条4項では、以下の4つの場合に限り、例外的に通知・公表を省略できるとされています。
例外1:本人や第三者の権利利益を害するおそれがある場合
たとえば、DV被害者を保護するために、DV加害者の情報を取得してその加害者に被害者の避難先や連絡先などを伝えないように関係各所で連携するために利用するケースなどが該当します。利用目的を本人(DV加害者)に知らせることがかえってDV被害者の生命・身体などの安全を脅かす可能性があるため、利用目的の通知が不要になります。
例外2:事業者の権利または正当な利益を害するおそれがある場合
たとえば、社内の不正行為の調査のため社員の情報を取得する場合、その目的をあらかじめ通知してしまうと証拠隠滅や口裏合わせなどが行われ、正常な調査が実施できず、その会社にとって不利益を引き起こしてしまうおそれがあります。
例外3:国や自治体の法令業務への協力が必要な場合
たとえば、税務調査や犯罪捜査などに関連して、国税局や警察に対して従業員の個人情報を提供する必要があるとき、その利用目的を本人(従業員)に通知することで調査や捜査に支障が出る場合には、通知・公表は不要です。
例外4:取得の状況から利用目的が明らかな場合
たとえばビジネスの場において名刺交換というのは一般的なものですが、このときに名刺を差し出したということは、その名刺に書かれたメールアドレスや電話番号に対して先方から連絡がくる場合があるというのは当然に予測されるものです。そのため、わざわざ利用目的として「アポイントをとるため」などと明示し通知・公表する必要はありません。
ただし、ビジネスではない個人的なDMを送るなど、名刺を受け取った理由とは無関係な目的で利用する場合は、事前にその目的を示すか、本人の同意(法18条1項)を得る必要があります。
プライバシーポリシーの形骸化を防ぐために
ここまで見てきたように、プライバシーポリシーの中でとても重要なのは、「利用目的を適切に特定し、それを本人が容易に知ることができるようにする」という点にあります。
テンプレートをそのまま貼り付けただけのプライバシーポリシーでは、社内調査などが十分に行われず、会社としての利用目的を網羅できていないことから、これらの要件を満たしていないことが少なくありません。
特に、紙やウェブサイト上のフォームで個人情報を取得する場合は、あらかじめ利用目的を本人に対して明示しなければなりません。
利用目的を特定していないような場合に限らず、特定していたとしてもそれを本人に対して明示していなければ、法が定める義務が実施されていないということになり、プライバシーポリシーとしての機能が十分に発揮できていない状態であるといえます。
法に則り、しっかり伝えることが大切
プライバシーポリシーは、単なるウェブサイトの形式的な要素ではなく、個人情報保護法に基づいた「本人への説明責任」のひとつです。特に利用目的の明示は、その中でも最も基本かつ重要なポイントです。
しっかりとしたプライバシーポリシーを作成し、それに沿った運用を行うことで、法令順守だけでなく、顧客やユーザーとの信頼関係を築くことにもつながります。
形だけではない、伝えるためのプライバシーポリシーとなるよう、一度見直してみてはいかがでしょうか。
