「個人でやっている小さな事業だからプライバシーポリシーは不要だ」
そう思っている個人事業主の方は少なくないのではないでしょうか。
しかし、結論から言うと、たとえ個人事業であっても、事業のために個人情報を扱う事業者であれば、その規模にかかわらずプライバシーポリシーを定めるべきです。
個人事業であっても、ウェブサイトにお問い合わせフォームを設置していたり、運営するウェブサービスの利用登録するためにメールアドレスなどの情報を求めたりする場合もあると思いますし、事業を営んでいれば取引先の担当者の氏名なども取得することが普通だと思いますので、日々の事業活動で個人情報を扱っているといえます。
もし個人情報の取り扱いについてルールを定めていなければ、法律違反につながるおそれがあるだけでなく、顧客からの信頼を失ったり、思わぬトラブルに発展するリスクが考えられます。
なぜ個人事業主にもプライバシーポリシーが必要なのか?
個人事業であってもプライバシーポリシーが必要な理由は、主に以下の3つの点に集約されます。
まずは個人情報保護法(以下「法」)における「公表義務」の遵守です。
法では、個人情報を事業のために取り扱う事業者(個人情報取扱事業者)は、個人情報の利用目的をできる限り特定し(法17条1項)、個人情報を取得したときはその目的を本人に通知するか公表することが義務付けられています(ただし予め公表している場合を除く。法21条1項)。
この個人情報取扱事業者とは、法人や団体に限られるものではなく、個人情報を事業活動に利用している事業者はすべて当てはまります。
つまり、プライバシーポリシーを作成し公表することは、この公表義務を果たすための重要な手段です。ウェブサイトなどで利用目的を明確にすることで、法律を遵守し、事業の適正性を保つことができます。
また、事業者と顧客双方の法的安定性の確保という面もあります。
プライバシーポリシーは、事業者が個人情報をどのように取り扱うかというルールを明文化したものです。これにより、顧客は「自分の情報がどんな目的でどのように使われるか」を事前に理解した上でサービスを利用したり自身の情報を開示することができます。
また、事業者側にとっても、個人情報の利用目的などを明確にすることで、法律上の責任範囲を明確にし、予期せぬトラブルや法的紛争のリスクを低減することができます。
さらに、社会的な信頼の獲得と事業機会の創出という観点も重要です。
プライバシーポリシーを適切に策定・公表することは、個人情報を大切に扱う事業者であることの証明になり、顧客や取引先からの信頼を高める上で必要不可欠なものです。
近年、プライバシーへの意識が高まる中で、透明性の高い事業運営は、単なる義務ではなく、事業のブランドイメージを向上させ、新たな事業機会を生み出すための重要な要素となっています。
このように、プライバシーポリシーは単なる形式的な文書ではなく、法律遵守、リスク管理、そして信頼構築という、事業運営に不可欠な役割を担っています。
プライバシーポリシーに記載すべき6つの必須項目
では、具体的にどのような内容をプライバシーポリシーに盛り込むべきか見ていきましょう。以下の6つの項目は、事業内容や規模にかかわらず、必ず記載しておきたい内容です。
なお、「本人」とは、個人情報により識別される特定の個人をいいます(法2条4項)。
1. 個人情報の取得方法と取得項目
どのような方法で、どのような個人情報を取得するのかを明記します。これにより、透明性を高め、顧客に安心感を与えることが期待できます。
2. 個人情報の利用目的
先述したとおり、個人情報取扱事業者は個人情報の利用目的をできる限り特定し、それを本人に通知するか公表しなければなりません。
都度本人に通知するというのは手間がかかることも想定されるため、プライバシーポリシーで公表するという方法が一般的には適していると考えられます。
そのため、利用目的として、取得した個人情報を何に利用するのかを可能な限り具体的に記載します。
3. 個人情報の安全管理措置
従来より、個人情報取扱事業者は安全管理措置を講じる義務がありましたが(法23条)、令和2年の改正により、その措置の内容も本人の知り得る状態に置くことが義務付けられました(法32条1項4号、施行令10条1号)。
そのため、その措置の内容を記載する必要があるのですが、ただそれにより個人データの安全管理に支障を及ぼすおそれのあるものについては除外されていることもあり、プライバシーポリシーには概要のみを記載し、具体的な内容については本人から求められた際に遅滞なく回答する方法でも問題ありません。
4. 個人情報の第三者提供について
取得した個人情報を、第三者に提供するのかしないのかを明記します。
特に、本人の同意なく第三者に提供しないのであれば、それを明確に宣言することが大切です。
また、ここで「法令に定める場合」として、「警察からの要請」や「裁判所の命令」など、例外的なケースがあることを示しておく場合もあります。
なお、第三者に提供する場合は、プライバシーポリシーに書いてあれば大丈夫ということではなく、原則としてあらかじめ本人の同意を得る必要があります(法27条1項)。
5. 個人情報の開示・訂正・削除について
本人は、個人情報取扱事業者に対して、自身が識別される個人情報に対する開示、訂正、削除、利用停止等を求めることができ、個人情報取扱事業者は原則としてそれに対応する必要があります(法33条〜35条)。
そして、これらの求めの送付先や必要書類などの手続きについて定めることができるのですが、その内容は本人の知り得る状態に置く必要がありますので(法32条1項3号)、プライバシーポリシーに記載する方法がお勧めです。
6. 事業者の名称
個人情報取扱事業者の住所、氏名・名称は本人の知り得る状態に置く必要があります(法32条1項1号)。そのため、プライバシーポリシーに記載することが望ましいですが、ただ自宅で事業を営んでいるため住所は公表したくないという場合もあると思います。
法では「本人の求めに応じて遅滞なく回答する場合を含む」とされていますので、プライバシーポリシーには記載せず、求められた際に回答するという対応でも可能です。
テンプレートを参考にプライバシーポリシーを作成する
個人事業主であっても自分でプライバシーポリシーを作成するための第一歩をサポートできるよう、上記の6つの項目を踏まえたシンプルなテンプレートを用意しました。
このテンプレートをコピー&ペーストし、ご自身の事業に合わせて書き換えることで、簡易的なプライバシーポリシーを作ることができます。
【プライバシーポリシー】
[屋号または氏名](以下「当事務所」といいます)は、個人情報保護の重要性を認識し、個人情報保護に関する法令を遵守するとともに、以下のプライバシーポリシーに基づき、適切な個人情報の保護に努めます。
1. 個人情報の取得方法
当事務所は、適正かつ公正な手段によって、お問い合わせフォーム、商品購入、サービス申し込みなどを通じて、お客様の個人情報を取得します。
2. 個人情報の利用目的
当事務所は、取得した個人情報を、以下の目的で利用します。
・サービスに関する情報提供
・お問い合わせへの回答
・新商品やキャンペーンのお知らせ
・商品の発送
3. 個人情報の安全管理措置
当事務所は、個人情報の漏洩、紛失、毀損の防止、その他安全管理のために、個人情報保護法に基づき必要かつ適切な措置を講じます。
4. 個人情報の第三者提供
当事務所は、法令に定める場合を除き、ご本人の同意を得ることなく、個人情報を第三者に提供しません。
5. 個人情報の開示・訂正・削除
ご本人から個人情報の開示、訂正、削除の請求があった場合、ご本人確認の上、速やかに対応します。
6. お問い合わせ窓口
当事務所の個人情報の取り扱いに関するお問い合わせは、以下の窓口までご連絡ください。
[連絡先メールアドレス]
[屋号または氏名]
[住所]テンプレートだけで終わらせない
完成したプライバシーポリシーは、作って終わりということではなく、ウェブサイトのフッター、お問い合わせページなど、顧客がいつでも確認できる場所に掲載することが大切です。
なお、この記事で解説したテンプレートは、あくまで多くの事業者に当てはまる「最低限」のものです。
別記事でも解説するとおり、テンプレートだけでは一般的に不十分であり、必要事項を網羅した十分な文章になるケースというのは決して多くありません。
特に、以下のようなケースに当てはまる場合は、より詳細なプライバシーポリシーが必要になります。
- Cookie(クッキー)や位置情報などを第三者と共有している
- 親会社や兄弟会社などと情報を共有している
- 他社が提供するサービスを利用している
- 第三者に個人情報を提供している
- 海外在住者の個人情報を取得している
- ニュースサイトやまとめサイトを運営している
「自分で作るのは少し不安」「自分の事業内容に合わせて、もっと詳しく記載したい」とお考えでしたら、当事務所など専門家へのご相談をお勧めします。
当事務所では、テンプレートを試してみて感じた疑問や不安についてもお気軽にご質問いただけます。
あなたの事業に合わせた、より安全で確実なプライバシーポリシーの作成をサポートいたします。
