プライバシーポリシーの作成・運用

プライバシーポリシーレビューで指摘されやすい5つの不備と修正のポイント

/ 更新: by プライバシーポリシーの専門家:ビーンズ行政書士事務所

プライバシーポリシーは、一度作成したら終わりではなく、事業の実態や法律の改正に合わせて更新が求められる重要な文書です。しかし多くの事業者は「数年前に検索で見つけたひな形をそのまま使っている」「何か起きるまで見直していない」という状態で運用しているのが実態です。

取引先からセキュリティチェックシートが届いたり、新しいサービスをリリースしたり、あるいはApp Store・Google Playへのアプリ申請を控えたりしたタイミングで、初めてプライバシーポリシーを確認し、これで大丈夫だろうかと不安になる担当者は少なくありません。

私が企業のプライバシーポリシーをレビューすると、ほぼ決まって同じ箇所で指摘が集中します。この記事では、実際のレビューで繰り返し見つかる5つの典型的な不備をまとめました。自社のプライバシーポリシー確認の出発点として、ご活用ください。

「書いてある」と「機能している」の違い

プライバシーポリシーの問題は、多くの場合「ポリシーに何が書いてあるか」ではなく「書いてあることが自社の実態を反映しているか」にあります。

プライバシーポリシーは「自社が個人情報をどう扱うか」を示す文書ですが、その内容は事業ごとに大きく異なります。利用目的も第三者提供も、取り扱うデータ種別も、企業によって違うものです。それにもかかわらず「できるだけ汎用性の高い文言」を求めるあまり、抽象的で実態と離れた記載が残ったままになると考えられます。

また、プライバシーポリシーは法改正だけでなく、事業の些細な変化にも応じた更新が必要ですが、あまり重要視されていない文書であるためか、修正対応を後回しにしがちです。その結果、実態に即していなかったり、数年前の法律に基づいた内容のまま放置されることになります。

こういったプライバシーポリシーに実際に指摘が入る場面は「外から見られるとき」です。
取引先のセキュリティチェックシート対応、ECモール出店審査、官公庁案件への個人情報取扱い確認、App Store・Google Play審査など、事業拡大のタイミングで必ずといってよいほどプライバシーポリシーの内容を問われます

指摘されやすい5つの不備

不備①:利用目的が抽象的すぎる、または実態と合っていない

レビューで最も頻繁に指摘する点です。
「サービスの向上のため」「当社の事業のため」といった曖昧な記載では、個人情報保護法(以下「法」)が求める「できる限り特定」という基準を満たしません。

より重要なのは「実は使っていない目的を書いている」ケースです。
レビューにおいて「この利用目的で実際に利用していますか?」と聞くと「いや、今はしていないです」という答えが返ってくることもあります。

利用目的の問題は、後から修正しようとしたときに複雑になります。特に、第三者に提供するような利用が発生している場合です。その内容に依っては、別途顧客などから同意を取得しなければならない可能性もあります。

不備②:Google AnalyticsやMeta広告などの外部ツール記載がない

外部サービスへの情報送信が発生しているのにプライバシーポリシーに記載されていない、という不備は非常に多く見られます。

アクセス解析ツール、リターゲティング広告、チャットボット、CRM、メール配信ツールなど、事業者が何らかのサービスを利用している場合、その先への情報送信が発生しています。たとえばGoogle AnalyticsやMeta広告などの外部ツールを利用している場合、その導入を適切にポリシーに反映させることが重要です。また、外部送信規律が適用される事業者の場合は、送信先の明記が法令上求められます。

この不備は「ツールを導入したが、ポリシーの更新を忘れていた」というケースがほとんどです。見落とされやすいのは、ツール導入時に法務部門と連携しておらず、システム上の導入とポリシー上の文書が同期していないためです。
そのため、導入から数ヶ月経ってから外部監査や取引先チェックにより記載不足が指摘されます。

不備③:講じた安全管理措置の記載がない、または曖昧

法23条により、個人情報取扱事業者は安全管理措置を講じる義務がありますが、その措置の内容について2022年の法改正により「本人の知り得る状態」(求めに応じて遅滞なく回答する場合も含みます)に置かなければならなくなっています。
つまり、企業が実施しているセキュリティ対策や情報管理体制を、プライバシーポリシーで示す必要が生まれたのです。なお、基本的にはデータ安全管理に支障を及ぼさない範囲で具体的に書くことが求められますが、中小規模事業者の場合は安全管理措置自体がやや緩和されるため、記載内容としても簡素にすることは可能です。

実際には「セキュリティ対策はちゃんとやっているのに、プライバシーポリシーには何も書いていない」というケースが非常に多く見られます。取引先から「貴社はどのような安全管理措置を講じていますか」と聞かれたときに初めて、プライバシーポリシーに書かれていないことに気が付く場合もあります。

セキュリティチェックシートやECモール出店審査では「実施している安全管理措置」が確認される項目になっていることもあります。暗号化、アクセス制限、定期的なセキュリティ診断、従業員への研修など、具体的に実施していることをポリシーに明記することが求められます。

この不備は「対策はしているけど、ドキュメント化していない」という、特に中小企業でよく見られるパターンです。修正する場合は、実際に実施している措置を可能な範囲で正確に記載することが重要です。単に「セキュリティに配慮しています」といった抽象的な表現では、外部監査やチェックシート対応の際に指摘されるおそれがあります。

不備④:保持期間・削除ルールの記載がない、または曖昧

法22条では、個人情報を利用する必要がなくなったときに「遅滞なく消去する」という努力義務があります。この努力義務を果たすためには、企業として「どの個人情報をいつまで保持するのか」を明確に決めておく必要があります。ところが、この保持期間の記載がないプライバシーポリシーは多いです。

実際には「顧客情報を何年保持するのか、ポリシーに書いていない」「削除ルールが決まっていない」というケースが非常に多く見られます。企業の中では「営業管理のため」「参考資料として」という曖昧な理由で、個人情報が半永久的に保存されていることもよくあります。

セキュリティチェックシートやECモール出店審査では「個人情報の保持期間」が確認される項目になっています。「◯年間保持し、その後は削除する」「契約終了後△ヶ月以内に消去する」といった具体的な期間設定が求められます。

この不備は、特に顧客データベースを長期的に運用している企業で見落とされやすいパターンです。修正する場合は、「なぜその期間なのか」という根拠(契約期間、法定保存期間、事業上の必要期間など)を十分勘案した上で期間を定め、保持期間を明示することが大切です。

不備⑤:アプリとWebサイトで同一のプライバシーポリシーを使い回している

モバイルアプリを提供している企業が、Web向けのプライバシーポリシーをそのままアプリに適用している、というケースがあります。

アプリにはWebサイトにはない情報収集が存在します。位置情報、カメラ、マイク、プッシュ通知、デバイスIDなど、スマートフォンの機能に関連した情報です。これらはApp Store・Google Playの審査時に厳しくチェックされ、アプリ内でわかりやすく表示する必要があります。

アプリ向けのプライバシーポリシーは「このアプリが何を収集し、どう利用するのか」を明確に示す必要がありますが、Web向けの汎用文書では対応しきれない場合がほとんどです。特に審査時に「ポリシーと申告内容が一致していない」と判断されると、アプリのリリースが遅延する可能性があります。

不備が残った場合のリスク

これらの不備をそのままにしておくと、具体的にどんなことが起きるでしょうか。

まず、外部監査や取引先チェックの段階で指摘されるリスクが高いです。
そのときに初めて対応しようとしても、すでに述べた通り、各不備は単独で存在せず、他の要素と絡み合っています。

例えば、新たに外部ツール利用を記載すれば、その送信先との契約内容や利用規約の確認も必要になりますし、利用目的に「外国の事業者への提供」を追加した場合は提供先国に関する情報提供の記載も必要になります。修正には想定以上の手間と検討が必要になるため、期限までに対応できない、という事態に陥りやすいのです。

また、本人から開示請求や訂正請求が届いたときに「ポリシーに書いてあること」と「実際の対応ができること」にズレがあると、法的なトラブルに発展する可能性があります。特に、外国への提供やプロファイリングなどの高度な取扱いについて曖昧なままでいると、事業拡大のタイミングで突然問題化することもあります。

自社のプライバシーポリシーを確認してみる

自社のプライバシーポリシーが上記の不備に当てはまっていないか、以下の項目で確認してみてください。

  1. 利用目的は実際のデータ利用と一致しているか。使っていない目的が書かれていないか。
  2. Google Analytics、Meta広告、CRM、メール配信ツールなど、導入済みの外部ツールが記載されているか。
  3. 実施しているセキュリティ対策・安全管理措置(暗号化、アクセス制限、従業員研修など)が可能な範囲で具体的に明記されているか。
  4. 顧客情報や個人データの保持期間が明記されているか。削除ルールが定められているか。
  5. 外国へのデータ提供が発生している場合、その旨が明記されているか。
  6. アプリを提供している場合、アプリ固有の情報収集(位置情報、カメラなど)が明記されているか。
  7. 開示・訂正・利用停止等の請求に対する手続きが明記されているか。

これらの項目で「いくつか当てはまる」という場合は、全体的な見直しが必要な可能性があります。

ご自身のプライバシーポリシー、確認してみませんか?

「ひな形をそのまま使っている」「法改正後に見直していない」という方は、意外と多いです。まず現状をお聞かせいただくだけでも構いません。

無料簡易相談はこちら

見直しをお考えでしたら、まずは相談を

プライバシーポリシーの見直しは、単に条文を足したり削ったりするだけではなく、実際の事業運用と法律要件の整合性を確認する作業です。前述の通り、各不備は他の要素と絡み合っているため、一箇所の修正が他の箇所に影響を与えることも多々あります。

安易に部分的な修正を行ったことにより別の要件を満たせなくなってしまったという事態は避けたいところです。特に、取引先からの指摘や審査対応を控えている場合は、プロの目で確認してから修正を進める方が、実務的にはスムーズです。

自社のプライバシーポリシーに少しでも不安を覚えたら、お気軽にご相談ください
現状のポリシーを確認させていただいた上で、修正が必要な箇所と優先度、対応スケジュールについてお伝えします。初回相談は無料で承っていますので、何か気になることがあればまずはお気軽にお問い合わせください。

ビーンズ行政書士事務所 代表 行政書士/情報処理安全確保支援士(登録セキスペ)/個人情報保護士
法律とセキュリティの両方の国家資格を持つ、国内でも数少ないプライバシーポリシー専門の行政書士です。ECサイト、SaaS、マッチングサービス、製造業など幅広い業種のプライバシーポリシーを10年以上にわたり作成・見直ししてきました。テンプレートの使い回しではなく、貴社の実際の運用に合ったポリシーをゼロから設計します。
「うちのポリシー、これで大丈夫?」と思ったら、お気軽にご相談ください!
▶ お問い合わせ

「依頼するほどではないが不安はある」という場合は無料診断も行っています▶無料診断

関連記事:

プライバシーポリシーがないとどうなる?義務・罰則・未掲載リスクと対応策 Cookie同意バナーを作る上で気をつけたいポイント プライバシーポリシーの作成を生成AIに任せることの落とし穴 社内教育にも使える?プライバシーポリシーの大切な役割