ブログ
BLOG
会社のホームページにプライバシーポリシーは載せていますか?
「載せてないけど、必要なの?」
「そういえば、かなり前につくったものを載せて更新はしていないなぁ…」
という方は、ぜひこの記事をチェックしてください。
基礎知識に加えて、「ホームページにプライバシーポリシーのページって必要?」や、「2023年現在、記載が必要な内容について」など、なるべくわかりやすく、噛み砕いた説明で解説いたします。
プライバシーポリシーを見直したり、作成するきっかけになれればと思います。
<当記事について>
こちらの記事は、ホームページ作成における「プライバシーポリシーを改定するきっかけづくり」として、文章について読み解き、解説した記事です。
記事内で挙げたものはあくまで一例です。事業や個人情報の利用状況によって当てはまらないケース、特別な対応が必要なケースなどがあります。あくまで参考としてご覧ください。
この記事における影響等についてのご対応はできかねますのでご了承ください。
目次
1.プライバシーポリシーとは何か?
プライバシーポリシーとは、「個人情報を扱う事業者が、個人情報の取り扱いルールをまとめた考え方」のことです。
2.ホームページに掲載が必要?どういう会社が該当するの?
個人情報を扱う際は、プライバシーポリシーページの作成とホームページでの公表がオススメです。
全ての会社での作成とホームページでの公表が義務化されているわけではありません。ただし、今回の改定では多くの企業が該当しますので、プライバシポリシーの策定・公表を行う必要性が高まりました。
ECサイト・採用サイトはもちろん、メールでの問い合わせや資料請求の受付を行う場合も個人情報を扱う企業として、ホームページへの対応を検討しなければなりません。
3.何が個人情報に該当する?
個人情報とは特定の個人を識別できる情報のことです。
※このあたりの定義も、今回の改訂でしなければいけないことの一つです。
<個人情報に該当するものの一例>
・氏名&電話番号など、組み合わせると個人を特定できる情報
・公的証明書の番号(マイナンバー、運転免許証等)
・個人特有の身体情報(指紋認証データといったもの) …などが一例です。
これらや付随する情報が該当します。
その情報だけ、または複数の情報を組み合わせることによって、個人を特定できる情報が個人情報ということが広義の定義になります。ただ、メールアドレスは、単独の情報でも個人情報に該当する場合があるようです。また、ユーザー名やドメイン名で個人を特定できる場合は、それ単独で個人情報になります。
4.個人情報保護法とプライバシーポリシーの関係
個人情報保護法は、以下のような目的で2003年に制定されました。いまから20年くらい前ですね。
(前略)個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
引用元: 個人情報保護委員会 個人情報保護法等 法令・ガイドライン等
https://www.ppc.go.jp/personalinfo/legal/
個人情報の保護に関する法律(平成15年5月30日法律第57号)第一章 総則(目的)第一条
個人情報は、企業にとって事業を円滑に進めるために重要なデータです。
その重要性を踏まえたうえで、適切に情報を活用することで、「個人情報を事業に活かす」「個人の権利を守る」を両立する目的があります。
「個人情報保護法」は、個人情報を扱う事業者が守るべきルールです。
個人情報を勝手に使ったり、本人に知らせずに他者へ伝えないようにルールが定められています。そして、プライバシーポリシーは、会社がこの個人情報保護法を守って、適切に個人情報を取り扱っていることを示す文書です。
Webのターゲティング広告を筆頭に、続々と新しい個人情報の利用方法が出てきています。その状況に対応するため、個人情報保護法は3年ごとに見直しが行われることになっています。
つまり、個人情報保護法の見直しに合わせて、プライバシーポリシーの見直しをすることも必要になります。
5.個人情報保護法の改正について(2022年4月施行)
直近では、2022年4月に改正した個人情報保護法が施行されています。
改正のポイントは、個人情報保護の強化とデータ利用の促進です。
【個人情報保護の強化】
個人情報の利用停止請求ができる理由と、個人情報利用事業者の責務が増えました。
【データ利用の促進】
今までにあった匿名加工情報に比べて、加工が簡易な仮名加工情報が新設されました。
これらのポイントに基づいて、具体的にプライバシーポリシーをどう修正・追記する必要があるのか、次の章でご説明します。
6.法律改正にともなう変更・追記が必要かチェック
個人情報保護法改正(2022年4月)により、変更や追記が必要な箇所を記載します。
6-1.具体的な利用目的
個人情報をどのように利用するのか、以前よりも具体的な記載が必要になりました。
具体的と言っても、いったい何をどのように書けばいいのか、気になりますね。
各所の文書から、どのように改定するとよさそうか考えてみます。
まずは個人情報保護法の条文を見てみましょう。
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
引用元: 個人情報保護委員会 個人情報保護法等 法令・ガイドライン等
https://www.ppc.go.jp/personalinfo/legal/
個人情報の保護に関する法律(平成15年5月30日法律第57号)第四章 個人情報取扱事業者等の義務等 第二節 個人情報取扱事業者及び個人関連情報取扱事業者の義務(利用目的の特定)第十七条
上記のように「利用目的のできる限りの特定」が必要だと明記されていますが、どの程度記載すべきなのか説明はありません。
次に、個人情報保護委員会のQ&Aを見てみましょう。
Q2-1 個人情報取扱事業者は、個人情報の利用目的を「できる限り特定しなければならない」とされていますが、どの程度まで特定する必要がありますか。
A2-1 利用目的を「できる限り」特定するとは、個人情報取扱事業者において、個人情報をどのような目的で利用するかについて明確な認識を持つことができ、また、本人において、自らの個人情報がどのような事業の用に供され、どのような目的で利用されるのかについて一般的かつ合理的に予測・想定できる程度に、利用目的を特定することをいいます。
このため、特定される利用目的は、具体的 で本人にとって分かりやすいものであることが望ましく、例えば、単に「お客様のサービスの向上」等のような抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解されます。(以下略)
引用元: 個人情報保護委員会 お問合せ FAQ索引 (利用目的の特定)
https://www.ppc.go.jp/all_faq_index/faq1-q2-1/
具体例が出てきました!
①利用する事業の詳細
➁抽象的・一般的でない具体的で分かりやすい利用目的
の記載が必要なようです。
この内容を踏まえて、変更が必要な例、不要な例を考えてみます。
【変更が必要な例】
当社の事業活動に用いるため
〈何の事業か〉不明 【NG】
〈利用目的〉具体的な目的が不明 【NG】
ペット用品通販事業のマーケティングに用いるため
〈何の事業か〉ペット用品通販事業 【OK】
〈利用目的〉具体的な目的が不明 【NG】
【変更が不要な例】
当社は婦人服販売事業における商品の発送、修理などのアフターサービスの提供に用いるため、お客様の氏名・住所・電話番号を利用します。
〈何の事業か〉婦人服販売事業 【OK】
〈利用目的〉商品の発送、修理などのアフターサービスの提供 【OK】
当社は運営するアウトドア用品ECサイトのお客様の購買履歴を分析して、お客様の興味に応じた商品に関する広告を送付または、サイト画面に表示します。
〈何の事業か〉アウトドア用品ECサイト 【OK】
〈利用目的〉広告を送付または、サイト画面に表示 【OK】
できるだけ細かく事業内容や、利用する理由が書いてあるかがポイントですね!
「上記の書き方をすれば絶対にOK」というわけではないですが、今のプライバシーポリシーを変更するかどうか、上記例を参考にチェックしてみてください。
6-2.事業者情報の記載
会社の住所と代表者の氏名は記載されていますか?今回の法改正から記載が必要になりました。
【記載が必要になった情報】
・個人情報取扱事業者の住所
・個人情報取扱事業者である法人の代表の氏名
6-3.安全管理の公表
個人情報の安全管理の方法について記載されていますか?
法改正の前も「個人情報を安全に管理する対策を行う義務」はありましたが、今回の改正で「その対策の公表」が必要になりました。「個人情報をどう安全に扱っているのか」を本人が知ることができる状態にするために、プライバシーポリシーのページに記載しておくのがオススメです。
【記載する内容の例】
・個人情報取得・利用・保管・廃棄についての取り扱い規定を策定しています。
・個人情報の取り扱いについて、全従業員に定期的に研修を行っています。
・個人情報のデータベースへのアクセス制限を実施しています。
6-4.共同利用時の公表内容追加
共同利用とは、持っている個人情報を、本人に知らせてある他社と一緒に使うことです。他社にはグループ会社や子会社も含まれます。「自社と、子会社のA社とで情報を利用しますね」といった記載が必要、ということですね。
また、複数の会社で個人情報を利用する場合、そのうち1つの会社が管理責任者となります。管理責任者は、請求があったときに開示に応じるなど、個人情報を責任を持って管理しなければなりません。
…というわけで、今回の法改正で下記2点の追記が必要になりました。
【記載が必要になった情報】
・管理責任者の住所
・管理責任者が法人の場合は、代表者の氏名
前述の「6-2.会社(個人情報取扱事業者)が公表する内容の追加」と同じ情報ですね。
プライバシーポリシーに共同利用の記載がある場合、管理責任者の住所と代表者名が書いてあるかチェックするとよさそうです。
6-5.Cookie使用時の同意取得
今回の法改正で、「個人関連情報」の定義が新たにつくられました。
個人関連情報には、ウェブサイトの閲覧履歴、位置情報、Cookie(クッキー)に含まれる情報などが該当します。
<参考記事>
cookieとは?有効にした場合のメリット・デメリットと削除の仕方も紹介
この個人関連情報を第三者に提供するときに、「第三者の情報と組み合わせて、個人特定可能なデータにすると想定される場合」には規制の対象となりました。今回の改正で、Cookieもその範囲だという判断がなされたようです。
例えば、「化粧品販売サイトが口コミサイトからCookieの情報をもらって、自分の顧客データと組み合わせる」といった場合は、以下のような対応が必要です。
【化粧品販売サイトがすべきこと】
お客様から、口コミサイトから個人関連情報をもらうこと、それを個人データと組み合わせることの同意をもらう。
【口コミサイト側がすべきこと】
化粧品販売サイトがCookieの情報をもらうことに関して、お客様本人の同意を得ているかを確認して、同意を得ていることを記録する。
Cookieを使用したり、情報提供を受けている場合は、プライバシーポリシーにCookieポリシー(使用目的・収集する情報の種類・第三者への提供・拒否削除方法など)を記載しましょう。
6-6.請求があった場合の対応
今回の法改正で、個人情報をもっている会社が、その個人データを利用する必要がなくなったとき、本人が利用停止や消去などを請求できるようになりました。ユーザー側から「このサービスを終了するなら、私の住所や名前などの情報を削除してください」という申し立てができる、ということですね。
今後も法改正の度に、請求できるケース、請求できる内容の拡大が見込まれます。
持っている個人情報に対してなんらかの請求があった場合にすぐ対処できるよう、データを整理しておくことが大切です。プライバシーポリシーには、請求時にすみやかに対応する旨を書くのが丁寧かと思います。
7.仮名加工情報とは?
今回の法改正で「仮名加工情報」が初めて設定されました。
仮名加工情報とは「個人情報を加工して、個人を特定できないようにした情報」です。
仮名加工情報は、他のデータと組み合わせない限り個人を特定できません。
法改正以前から、「匿名加工情報」という「個人を特定できない&他のデータと合わせても個人を特定できるように戻せない情報」の設定はありました。しかし、個人情報を匿名加工情報へ加工するには、専門知識や技術力が必要です。そのため、利用は大手企業などが中心となっていました。
その一方、仮名加工情報は簡単に加工ができて、個人情報より緩やかなルールで利用できます。規模の小さい会社でも、比較的簡単・安全にデータの分析を行えるのが、仮名加工情報です。
7-1.仮名加工情報への加工方法
どのように手を加えれば個人情報から仮名加工情報へと取り扱い方が変わるのか、簡単に例を挙げてご紹介しますね。
仮名加工情報の加工方法の一例です。
【個人情報】顧客番号123 山田翔太さん 22歳 男性 腕時計(品番456)を購入
上記の情報に該当する範囲は狭く、ほぼ特定の一個人ですよね。
よって、これは個人情報になります。
【仮名加工情報】顧客番号123 22歳 男性 腕時計(品番456)を購入
一方、名前を削除することで該当する個人の範囲が広がり、例にある「山田翔太さん」だと特定することが難しくなりました。仮名加工情報への加工は、このようにして行います。
7-2.個人情報より制約が少ない
仮名加工情報は個人情報と比較すると、利用に関する制約が少なくなります。
①情報の利用目的の変更について
②情報漏洩の際の報告義務について
③本人からの開示請求への対応について
ひとつずつ解説します。
①情報の利用目的の変更について
【個人情報】
・もとの利用目的の一般的に合理的な関連のある範囲でのみ変更が可能。
〈もとの利用目的〉イチゴの販売開始時期や値段等の販売情報をお知らせする。
〈変更可能な利用目的〉加工事業開始に伴い、イチゴジャムの販売情報をお知らせする。
【仮名加工情報】
・もとの利用目的とは関連のない目的での変更が可能。
〈もとの利用目的〉イチゴの販売開始時期や値段等の販売情報をお知らせする。
〈変更可能な利用目的〉生産する果物・果物加工品の売上予測・購買傾向分析に用いる。
※利用目的の変更後には公表が必要です。(個人情報と同じです。)
➁情報漏洩の際の報告義務について
【個人情報】
・個人情報保護委員会への報告と、本人への通知が必要です。
【仮名加工情報】
・個人情報保護委員会への報告、本人への通知、どちらも不要です。
③本人からの開示請求への対応について
【個人情報】
・速やかに、持っている情報を見せる必要があります。
【仮名加工情報】
・本人に情報を見せる必要はありません。
7-3.仮名加工情報活用のメリット
仮名加工情報は、売上データをマーケティングに活用する場合などに便利に使えます。
【メリット①】
実務のみで使用している個人データを情報分析に使用できるようになります。
・例えば、販売の実務に使用する目的のみ(商品の配送、アフターサービスなど)で取得した個人情報が売上分析で使用できるようになります。
【メリット➁】
管理に手間がかかりません。
・流出しても、個人情報保護委員会への報告・本人への通知が不要のため、情報管理体制をゆるめることができます。
・本人からの「データを見せてほしい」という請求に応えなくてよいため、それに備えた情報整理を行っておく必要がありません。
個人情報を加工して仮名加工情報として利用する可能性がある場合は、仮名加工情報の取り扱いについても、プライバシーポリシーに記載しましょう。
8.まとめ
今までの内容をまとめると、
・プライバシーポリシーは個人情報を扱うホームページには掲載が必要
・個人情報保護法が改正される度に、プライバシーポリシーの見直しが必要
ということになります。
2022年4月の個人情報保護法改正時に、プライバシーポリシーを見直していない場合は、
一度、見直してみてはいかがでしょうか。
適切なプライバシーポリシーをホームーページにて掲載すると、貴社のサイトへの信頼感も高まるかと思います。
また、個人情報保護法は3年ごとに改正されることが決まっています。プライバシーポリシーは定期的に見直しができる状況にしておくことをオススメいたします。
愛知県内から名古屋市を中心にホームページ制作を行っている会社
株式会社 WWG(ダブルダブルジー)
愛知県 名古屋市中村区名駅5-16-17 花車ビル南館5F
TEL: 052-890-7007(2021-12/16~変更)
※ ホームページ制作や活用サポートのお問い合わせはコチラから
株式会社WWG ブログ編集部
ライター T
WWGのブログ記事作成専門チームです。ホームページ制作やWEBに関することをはじめ、デザイン・コーディング・SEO・人材採用・ビジネス・地元についてのお役立ち情報やニュースを発信しています。