BtoB審査を通過するプライバシーポリシーとは？チェックシートとの整合性と実務対応のポイント

「セキュリティチェックシートを丁寧に提出したのに、なぜか審査が通らない」
「追加質問が止まらない」
・・・そんな経験をお持ちの方は、一度プライバシーポリシーを見直してみることも大切です。

取引先はチェックシートの回答とプライバシーポリシーの内容を必ずといってよいほど照合しています。テンプレートのまま放置されたプライバシーポリシーが、BtoB取引の成否に静かに影響しているケースは少なくありません。

審査の現場で起きている「沈黙の不採用」

大手企業との取引を目指してセキュリティチェックシートを丁寧に作成し、自信を持って提出した。ところが、なぜか法務審査で足止めを食らい、追加の質問が次々と届く。あるいは、しばらく待っても返答がない――そんな経験をされた方は少なくないのではないでしょうか？

※ セキュリティチェックシートの全体像について知りたい方はこちら（弊所運営別サービスサイトへ）

審査が通らない理由として、多くの担当者が「チェックシートの回答が不十分だったのかもしれない」と考えます。しかし実際には、原因がまったく別の場所にあるケースも考えられます。
その１つが、プライバシーポリシーの内容の不備です。

大手企業の法務・情報セキュリティ担当者は、あなたが提出したチェックシートの回答を額面通りに受け取るだけではありません。おそらく回答の根拠を確認するはずです。その中でも、インターネット上で誰でも閲覧できる「プライバシーポリシー」は容易に照合できますので、必ずといって良いほど確認しているのではないでしょうか。

たとえばチェックシートに「委託先を厳格に管理している」と書いてあっても、公開されているプライバシーポリシーに委託に関する記述が一切なければ、その回答は「口頭の説明」と同じ扱いのようにみなされるおそれがあります。つまり、正式な公約として認められないということです。

※委託に関してはこちらも記事もご覧ください: 個人情報の取扱いの委託とは？委託先の監督義務と“混ぜるな危険”問題

雛形のままのプライバシーポリシーは、取引先に悪意がなくとも「自社の実態を把握できていない会社」という評価に直結します。そしてその評価は、明示的な「審査落ち」という通知ではなく、返答がこないまま案件が立ち消えるという形で現れることもあります。これがいわば「沈黙の不採用」です。

本記事では、プライバシーポリシーとセキュリティチェックシートの不整合がなぜ問題になるのか、そして今すぐできる確認方法について解説します。

あなたのプライバシーポリシーは「生きて」いるか

まず、以下の3つの質問にYes/Noで答えてみてください。

• 直近1年以内に、プライバシーポリシーを一度でも見直しましたか？
• 自社で使っているクラウドサービスや外部ツールの名前を、プライバシーポリシー（クッキーポリシーなども含みます）の中から見つけられますか？
• 取引先から「データの管理体制を教えてください」と言われたとき、「プライバシーポリシーや個人情報取扱規程のこの箇所を見てください」と即答できますか？

1つでも「No」があれば、今日確認しておくべきポイントがあります。 チェックシート審査のタイミングで初めて気付くより、今気付く方がずっとコストが低いはずです。

特に注意が必要なのは、「会社を設立してからプライバシーポリシーをほとんど更新していない」というケースです。

事業開始時に使った内容・ポリシーをそのまま掲出していると、その後に導入したSaaSやクラウドサービスについて考慮されていない可能性があります。つまり実態との間にズレが生じていると考えられる状態です。

また、プライバシーポリシーには「個人情報取扱規程を定め遵守します」と書かれているにもかかわらず、肝心の「個人情報取扱規程」がどこにあるか把握していないという状況も危険です。
審査の場で担当者がこのような規程文書を参照できなければ、社内での管理体制そのものに疑問が生じてしまいます。

BtoB取引において、プライバシーポリシーや個人情報取扱規程は「あれば良い書類」ではなく、「即座に根拠として提示できる文書」でなければなりません。

「不一致」が招くビジネスチャンスの損失

チェックシートの回答とプライバシーポリシーの内容が食い違っているとき、具体的にどのような問題が起きるのでしょうか。よくある3つのパターンを紹介してみます。

パターン①：委託先管理に関する不一致

チェックシートの設問に「個人データを委託する場合、委託先の監督体制はありますか？」という項目があります。多くの担当者はこれに「はい、適切に管理しています」と回答するのではないでしょうか。

しかし、公開されているプライバシーポリシーを確認すると、委託先に関する記述がまったくない、あるいは「必要に応じて委託することがあります」という一行のみ、というケースが少なくありません。
取引先からすれば、「チェックシートでは管理していると言っているのに、どこに、誰に委託しているのか公式な記述がない」という矛盾に見えてしまいます。

パターン②：安全管理措置の抽象性

「個人情報の安全管理のために講じている措置を教えてください」という設問に対し、「AES-256による暗号化」「アクセスログの定期監査」「二要素認証の導入」と具体的に回答する一方で、プライバシーポリシーには安全管理措置についての記載がない場合もあります。

中小規模の会社であれば、これだけで直ちに問題視されるというわけではありませんが、ポイントは具体的な安全管理措置の内容を証跡とともに示すことができるか、というところです。

なお講じた安全管理措置については本人が知り得る状態におく必要があります（個人情報保護法32条1項）

パターン③：データ保存・削除に関する矛盾

「個人データの保存期間および削除ポリシーを教えてください」という設問に「取引終了後1年以内にすべて削除します」と回答しているのに、プライバシーポリシーには保存期間の記載がない、もしくは「法令の定めに従います」とだけ書かれている場合があります。

これも取引先にとってはプライバシーポリシーとの整合性に関して疑いが生じるリスクがあります。

これらの不一致が取引先の目に留まると、どうなるでしょうか。

即座に却下はされないかもしれませんが、「追加確認事項」として差し戻しが発生するケースが少なくありません。担当者間の調整を含めると、1往復のやりとりだけで2〜3週間のロスになります。それが複数回続いた結果、業者選定のタイミングを逃すことになります。

明示的な「不採用通知」はなく、ただ時間だけが過ぎ、最終的に案件が流れていくだけです。

あなたのビジネスの「実態」を翻訳するプライバシーポリシー作成

ここまで読んで、「ではプライバシーポリシーを更新しなければ」と思われた方もいると思います。
しかし、インターネット上にある無料テンプレートを使って更新しても、同じ問題は解決しません。なぜなら、テンプレートはあなたの会社の実態を反映していないからです。

プライバシーポリシーの作成でよくあるのが、「実際に使っているサービス名が一切登場しない」というケースです。クラウドストレージ、チャットツール、会計SaaS、マーケティングツール――日常的に個人データが流れているにもかかわらず、プライバシーポリシーには「適切に管理します」という一文しかないこともよくあります。

これは悪意があるわけではなく、「テンプレートにそう書いてあったから」という理由で導入したものが、事業の実態とかけ離れたまま放置されているケースが多いように感じます。

正しいプライバシーポリシーとは、法律の条文を並べることではありません。 「社内のデータが実際にどこを通っているか」を正確に把握し、それを法的な言葉に翻訳する作業です。

そのためには、ツールの選定経緯・データフローの実態・外部サービスとの連携状況を把握したうえで、ヒアリングを行う必要があります。たとえば以下のような点を確認します。

• 自社のどのSaaSやクラウドサービスに個人情報が渡っているか
• データが国外のサーバーに保存されていないか
• 情報漏洩が発生した場合の連絡・報告フローはどうなっているか
• データの保存期間と削除ルールが実務レベルで決まっているか

当事務所では、このような「実態の言語化」をヒアリングを通じて行います。作成されるのは単なる書類ではなく、取引先が根拠を確認できる、実務と一致したプライバシーポリシーです。

プライバシーポリシーが正しく整備されると、次にセキュリティチェックシートへの回答がスムーズになります。
「プライバシーポリシーのこの箇所をご参照ください」という一言で、曖昧な回答を根拠のある公約として示すことができるようになり、審査通過を加速させることが期待できます。

セキュリティ体制の整備と並行して進めたい方は、弊所の別サービスであるセキュリティチェックシート支援サービスもあわせてご参照ください。

まずはお気軽にお問い合わせください

「自社のプライバシーポリシーがBtoB審査に耐えられるか不安」
「どこから手をつければよいかわからない」
という方は、以下のフォームからお気軽にご連絡ください。

現状のプライバシーポリシーの内容や、直面している課題をお聞かせいただければ、次のステップをご提案します。

審査で差し戻しを受けてから慌てて対応するより、取引の機会が生まれたタイミングで準備しておく方が、時間もコストも大幅に節約できるはずです。