コラム
公開 2023.02.15

複数3172_新規_プライバシーポリシーとは?利用規約との違い・書き方のポイントを弁護士が解説

プライバシーポリシーとは、その事業者による個人情報の取り扱い方針のことです。
プライバシーポリシーを定めて公表したり、個人情報の取得時にプライバシーポリシーへの同意を得たりすることで、個人情報保護法上の多くの義務を果たすことができます。

では、プライバシーポリシーはどのような点に注意して作成すればよいのでしょうか?
今回は、プライバシーポリシーの作り方や作成時の注意点などについて、弁護士がくわしく解説します。

記事を監修した弁護士
authense
Authense法律事務所記事監修チーム
Authense法律事務所の弁護士が監修、法律問題や事例についてわかりやすく解説しています。Authense法律事務所は、「すべての依頼者に最良のサービスを」をミッションとして、ご依頼者の期待を超える弁護士サービスを追求いたします。どうぞお気軽にご相談ください。
<メディア関係者の方>取材等に関するお問い合わせはこちら

プライバシーポリシーとは

プライバシーポリシーとは、個人情報を取り扱う事業者が、個人情報の取り扱いルールなどを定めた規定です。
ただ定めるのみならず、ホームページ上に掲載をするなど取り扱う個人情報の対象者が容易に確認できる場所に設置したうえで、プライバシーポリシーの内容に同意を得るなどしなければなりません。

はじめに、利用規約との違いや作成義務について解説しましょう。

利用規約との違い

プライバシーポリシーと同じく、ウェブサイト上に掲載することの多い規定に「利用規約」があります。
利用規約の中に、個人情報の取り扱いを織り込む場合もあるでしょう。
しかし、プライバシーポリシーと利用規約とは、その目的が大きく異なります。

利用規約は民法上の「定型約款」に該当するケースが多く、サービスの利用にあたってユーザーから適切な同意を得ておくことで、ユーザーと事業者との間の契約となるものです。
一方、プライバシーポリシーはあくまでも事業者側が遵守すべきルールを定めたものであり、ユーザーとの契約となるわけではありません。

作成は義務化されている?

プライバシーポリシーの策定や公表自体は、個人情報保護法で義務付けられているわけではありません。
ただし、事業者側にとっては、プライバシーポリシーを定めておいた方がスムーズでしょう。

この理由については、次で解説します。

プライバシーポリシーが必要な理由

プライバシーポリシーは、なぜ必要なのでしょうか?
主な理由は次のとおりです。

個人情報保護法上の義務を果たすため

個人情報保護法には、事業者が本人に対して通知すべき場面や、個別に同意を得るべき場面が数多く存在しています。
しかし、逐一本人から同意などを得ていては、事務が非常に煩雑となってしまうでしょう。

この事務の煩雑さを軽減する役割を持つものが、プライバシーポリシーです。
なぜなら、個人情報保護法上の義務の多くは、事業者がその旨をあらかじめ公表したり、公表した内容に同意を得ておいたりすることで満たすことが可能であるとされているためです。

つまり、プライバシーポリシーに所定の事項を定めて適切に公表しておくことにより、個々に通知をしたり同意を得たりすべき場面を大きく減らせたりするということです。

Pマークの取得に必要であるため

Pマークとは、個人情報について適切な保護措置を講ずる体制を整備している事業者などを評価する制度です。※1
日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に準拠した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」を適切に運用していると認定されれば、Pマークの使用が認められます。

Pマークを取得していることで、個人情報の取り扱いを適切に行っているとのアピールポイントとなるため、取得を目指す企業が少なくありません。

そして、このPマークを取得するためには、プライバシーポリシーの策定が必須です。
そのため、Pマークの取得を目的としてプライバシーポリシーを策定するケースもあるでしょう。

プライバシーポリシーの雛形

プライバシーポリシーの雛形は、次のとおりです。

※オーセンス様にてお願いできましたら幸いです。

各項目のポイントについては、次で詳しく解説します。

プライバシーポリシー作成のポイント

では、プライバシーポリシーを作成する際には、どのようなポイントを踏まえて作成すればよいのでしょうか?
注意したい主なポイントは次のとおりです。

個人情報を定義する

プライバシーポリシーは、その事業者における個人情報の取り扱いについて定めるものです。
そのため、はじめに自社で取り扱う個人情報を定義しておくとよいでしょう。
個人情報は、個人情報保護法でも次のように定義されています。

第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
1 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
2 個人識別符号が含まれるもの

こちらを参照する形で、たとえば「「個人情報」とは、個人情報の保護に関する法律(以下「個人情報保護法」といいます)に定義される「個人情報」を指します」などと記載します。

併せて、自社で実際に取り扱う個人情報についても記載しておくと親切です。
自社で取り扱う個人情報は、個人情報保護法上、公表や本人への通知が求められているものではありません。
しかし、実際に取り扱う具体的な情報は各事業者で異なるため、プライバシーポリシーの冒頭できちんと説明しておくと、ユーザーにとってわかりやすくなるうえ、ユーザーとの間に齟齬が生じにくくなるでしょう。

利用目的を具体的に明示する

プライバシーポリシーでは、利用目的をできるだけ具体的に定め、明記しましょう。
なぜなら、個人情報保護法において、「個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない」とされているためです(同21条1項)。
つまり、あらかじめ利用目的を定めて公表していなければ、個人情報の取得にあたって、個々に対して利用目的を通知しなければなりません。

そして、プライバシーポリシーに記載する利用目的は、できる限り特定することが求められています(同17条1項)。
そのため、たとえば次のように、具体的に記載することが必要です。

  • ご購入いただいた商品をお届けするため
  • 商品の対価のご請求のため
  • アフターサービスを提供するため
  • 当社キャンペーンやアンケートを実施するため
  • マーケティングデータの調査及び分析をするため

一方、「事業活動のため」などの記載では、具体的な記載とはいえないでしょう。

第三者提供する場合にはその旨を明示する

個人情報を他社などの第三者に提供する場合には、原則として、あらかじめ本人の同意を得なければなりません(同27条1項)。
そのため、第三者提供をする場合にはあらかじめプライバシーポリシーに記載をしたうえで、プライバシーポリシー全体について同意を得る形をとることが一般的でしょう。

また、本人の求めに応じて第三者提供を停止することを条件に、あらかじめ同意を得ないで第三者提供ができる「オプトアウト」という方法もあります(同27条2項)。
ただし、この場合にはあらかじめ本人への通知または本人の知り得る状態に置くことが必要となるほか、個人情報保護委員会に届け出ることなどの要件を満たさなければなりません。
オプトアウト方式をとる場合には、プライバシーポリシーに記載することで、「本人の知り得る状態に置く」こととなります。

外国にある第三者への提供に注意する

外国にある第三者へ個人情報を提供する場合には、原則として、あらかじめその旨の同意を取得しなければなりません(同28条)。
また、その際にはその外国における個人情報の保護に関する制度や、提供先の第三者が講ずる個人情報の保護のための措置など、判断の参考となる情報を提供しなければならないとされています(同28条2項)。

これは、単に国名のみを記されてもその国における具体的な制度などがわからなければ、第三者提供について同意するかどうか判断が難しいためです。

共同利用する場合にはその旨を明示する

個人情報を他社と共同で利用する場合には、プライバシーポリシーにその旨を明記しておきましょう。
共同利用の場合には、次の項目を本人に通知するか、プライバシーポリシーに定めるなどして本人が容易に知り得る状態に置くことで、第三者提供に該当しないとされるためです(同27条5項)。

  • 特定の者と共同利用をする旨
  • 共同利用する個人データの項目
  • 共同して利用する者の範囲
  • 共同利用する者の利用目的
  • 個人データの管理について責任を有する者の「氏名(名称)」、「住所」、法人の場合は「代表者氏名」

講じた安全管理措置の内容と苦情の申し出先を明示する

個人情報保護法23条では、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と定められています。
そして、講じた安全管理措置の内容は本人の知り得る状態に置くか、本人の求めに応じて遅滞なく回答しなければなりません(同32条1項4号、個人情報保護法施行令10条)。
ただし、本人の知り得る状態に置くことなどにより安全管理に支障を及ぼすおそれがあるものについては、対象外です。

このような規定が存在するため、プライバシーポリシーには、講じた安全管理措置の内容を記載しておきましょう。

また、個人情報保護法施行令10条では、ほかに本人の知り得る状態に置くなどすべきものとして、「保有個人データの取扱いに関する苦情の申出先」が挙げられています。
そのため、これもプライバシーポリシーに記載しておくことが必要です。

開示請求などの方法を明示する

個人情報保護法では、本人は、事業者が保有している自身の個人データの開示や訂正などを求めることができるとされています(個人情報保護法33条、34条、35条)。
そして、本人が個人データの開示を求める方法については、個人情報を取り扱う事業者側が定めることが可能であり、開示請求などを行う側はこの定めに従わなければなりません(同37条)。

そのため、プライバシーポリシーには開示請求などを行う方法を定め、明示しておきましょう。
これを定めていなければ、個々のユーザーがそれぞれ異なる方法で開示請求をする可能性があり、対応が煩雑となりやすいためです。

ウェブページ上の見やすい場所に掲載する

プライバシーポリシーの設置場所は、法令で具体的に規定されているわけではありません。
しかし、プライバシーポリシーに定めるべき事項の多くは、「本人が容易に知り得る状態」に置くことが必要とされています。
そのため、ホームページ内を探してようやく見つけられるような状態では、「本人が容易に知り得る状態」とはいえず不適切でしょう。

なお、「個人情報の保護に関する法律についてのガイドライン(通則編)」のp75によれば、「ホームページのトップページから 1 回程度の操作で到達できる場所等」が設置場所として適切であるとされています。※2
これを参考に、プライバシーポリシーはウェブページ上の見やすい場所に設置しましょう。

プライバシーポリシー作り方・書き方の注意点

プライバシーポリシーを作成する際には、次の点に注意しましょう。

実情に即した内容にする

プライバシーポリシー作成の基本は、事業者の実情に合わせて作成することです。

初めてECサイトを運営する事業者などの中には、他社のプライバシーポリシーを「コピペ」して掲載している場合もあるようです。
しかし、他社のものを流用したプライバシーポリシーでは、実際には自社とは関係のない事項が盛り込まれていたり、自社の運用とは異なる記載になっていたりすることが多いでしょう。

実情に即していないプライバシーポリシーを公表していると、いざトラブルになった際に不利となりかねません。
そのため、プライバシーポリシーは自社における個人情報の取り扱い内容に即した内容で作成することが必要です。

作成した内容を理解しておく

プライバシーポリシーを他社のウェブサイトなどから転載した場合には、書かれている内容を理解できていないケースもあるようです。
しかし、自社のウェブサイト上で公表している以上、いざプライバシーポリシーとは異なる個人情報の取り扱いなどが問題視された際に、「プライバシーポリシーの内容を知りませんでした」などという言い逃れは困難でしょう。

そのため、自社のプライバシーポリシーについては、内容をよく理解しておくことが必要です。

弁護士に相談する

プライバシーポリシーの作成は、実は非常に奥の深いものです。

公表しているプライバシーポリシーの内容に問題があれば、個人情報の取り扱いに関してトラブルになった際に不利となる可能性があるほか、SNS上で「炎上」してしまうリスクもあります。
また、個人情報保護法は非常に頻繁に改正されますが、最新の改正内容に合わせた内容となるように、適宜改訂していかなければなりません。
これを自社のみで行うことは容易ではないでしょう。

そのため、プライバシーポリシーを作成する際には、無理に自社のみで行わず、弁護士へご相談ください。
弁護士のサポートを受けることで、自社の実情に即したプライバシーポリシーの作成が可能となり、万が一の際に自社の身を守るツールともなり得るでしょう。

まとめ

プライバシーポリシーの策定や公表自体は、個人情報保護法上の義務ではありません。
しかし、仮にプライバシーポリシーを適切に定めて運用していなければ、本人に対して逐一通知をしたり同意を得たりする必要が生じ、非常に煩雑です。
事実上、個人情報保護法上の義務を適切に履行するためには、プライバシーポリシーの策定が不可欠であるといえるでしょう。

しかし、実情に即したプライバシーポリシーを自社のみで作成することは容易ではありません。
そのため、プライバシーポリシーを作成する際には、弁護士へご相談ください。

Authense法律事務所では、プライバシーポリシーの作成などウェブサイト運営にまつわるリーガルサポートに力を入れています。
プライバシーポリシーの作成や運用でお困りの際には、Authense法律事務所までお気軽にお問い合わせください。

無料資料ダウンロード

開催したセミナーのレポートや、サービスの概要資料、
契約書の雛形など、企業法務に役立つ資料を無料でダウンロードできます。

充実の企業法務コンテンツ

Authenseの
無料メルマガ

Authense法律事務所のメールマガジンでは、実務に役立つ企業法務や労務情報、最新の法改正情報などの資料ダウンロードのご案内、
セミナー情報などをお届けしています。ご登録は無料です、ぜひご登録ください。

01.

契約書の雛形や法改正情報などの
資料ダウンロード

契約書の雛形や法改正資料など、実務にすぐにお役立ていただける資料のダウンロードURLをご案内しています。

02.

多彩な内容のセミナーに
ワンステップでお申し込み

生成AIの業務活用法から労務や企業法務の基本知識などを弁護士がわかりやすく説明するセミナーを多数開催しています

03.

THE INNOVATORS

Authenseが発刊しているビジネスマガジン「THE INNOVATORS」
各分野のトップのインタビューや最新ビジネストピックスなど、ここでしか見られないコンテンツが多数揃っています。

THE INNOVATORSAuthenseが発刊する経営者向けのビジネスマガジン

お問い合わせ

電話でのお問い合わせ

弁護士へのご相談可能な時間帯
平日:10:00~18:00(最終受付)/土日祝日:10:00~17:00(最終受付)

Pagetop