近年では多くの企業やサービスのウェブサイトにおいて「プライバシーポリシー」や「個人情報保護方針」といった、自社による個人情報の取扱い方法などについて記載されている文書が掲載されています。
このような状況から、「プライバシーポリシーは作成する義務があるのでは?」「プライバシーポリシーを作らないと何が罰則があるのでは?」と考えてしまうかもしれません。
文書作成の義務はない
結論としては、(プライバシーマークを取得していない企業は)プライバシーポリシーを作成する義務はありません。
また、義務ではない以上、作成しないことによる罰則はありません。
よって、プライバシーポリシーがないからといって、それが直ちに違法であるということではなく、企業にとって大きなリスクが生じるというものでもありません。
企業やサービスにおける個人情報の取得シーンによっては、プライバシーポリシーという文書を作成しないという選択肢もあり得ることになります。
※ただし、プライバシーマークを取得している企業は、JIS Q 15001に基づいて個人情報保護方針を文書化して公表する義務があります
公表することが重要
このように作成義務のないプライバシーポリシーという文書を、なぜ多くの企業などは作成するのでしょうか?
具体的な理由は企業ごとで異なると思いますが、一般的に考えられる理由としては、個人情報保護法(「法」)で定められている義務に対応するため、という点が挙げられます。
代表的な規定として、個人情報取得に際して利用目的を通知または公表する義務(法21条1項)があります。
この規定では、個人情報を取得した場合には、速やかにその利用目的を本人に通知し、または公表しなければならないとされており、基本的にはこれに従う義務がありますが、例外として「あらかじめ利用目的を公表している場合」には適用されません。
多くの場合、個人情報を取得するたびにその利用目的を通知するというのは手間がかかりますし、何らかのミスで通知・公表が行われなかった場合は、この規定に違反する状態、つまり違法状態を作り出してしまうことになります。
そのような状況を避けるためには、先述の例外規定に該当するように「あらかじめ公表」しておく方法が労力が少なく、理にかなっているといえます。
同様に、保有個人データに関して本人の知り得る状態におく、または本人の求めに応じて遅滞なく回答することが義務付けられている以下のような項目もあり、主なものは以下の情報です(法32条1項、個人情報保護法施行令10条)。
- 個人情報取扱事業者の氏名、住所、代表者名
- すべての保有個人データの利用目的
- 開示等の手続きと手数料額
- 安全管理措置
- 苦情の申出先
これらの情報については、プライバシーポリシーとして公表することで「本人の知り得る状態」におくことができ、法に従った企業(サービス)運営をしていることになるのですが、もしプライバシーポリシーがない場合は、本人からの求めに応じて都度回答しなければならなくなり、企業にとっては大きな負担になるのではないでしょうか。
コンプライアンスのために
まとめますと、プライバシーポリシーや個人情報保護方針といった文書を作成し公表する義務はありませんが、ただ一般的な企業運営においては、法を遵守するという目的に加えて円滑な業務遂行のためにも、プライバシーポリシーを作成・公表することが有効であるといえます。
なお、プライバシーポリシーの作成有無にかかわらず、個人情報を取り扱うにあたってその利用目的をできる限り特定しなければならない(法17条1項)とされていることもあり、個人情報の取扱いを始める前にしっかりとその利用目的等を検討することは必要です。
プライバシーポリシーが公表されていない場合、このような利用目的について検討されているかという点や、先述の公表等の義務がある事項について本当に回答しているのかといった点が不明確になり、コンプライアンスを軽視しているようにも見えてしまうことで取引先企業や個人情報を提供している消費者から悪印象をもたれてしまうリスクが生じてしまうおそれがあります。
まとめ
Q. プライバシーポリシーがないとどうなる?
A. プライバシーマークを取得している場合を除き、それだけで違法になったり罰則があったりするものではないが、企業運営において負担が増えたり、取引先や顧客からみてコンプライアンスの疑念が生じるおそれがある
