目次
プライバシーポリシーは、定める必要があるのか
Webサイトを見ると、プライバシーポリシーというのが定められています。このプライバシーポリシーとはいったい何なのでしょうか?
プライバシーポリシーとは、事業者がユーザーなどの個人情報をどう取り扱うかをユーザーに表示するものです。
なぜ、プライバシーポリシーを定めて表示しなければならないかというと、個人情報保護法という法律で「個人情報」の「利用目的」や「第三者提供」の規定を定め、外部に表示する義務があるために、事業者としては、プライバシーポリシーを作成する必要があるからです。
従来までの個人情報保護法では「個人情報」の数が5000件以下のところは、個人情報保護法の適用はないとしていましたが、2017年5月30日に施行された改正個人情報保護法では、この規定が撤廃され、すべての事業者に個人情報保護法が適用されることになりました。これにより、大小問わず、すべての事業者がプライバシーポリシーを定める必要があるのです。
以下に、プライバシーポリシーを作成するにあたって、注意すべきポイントを列挙していきます。
利用目的は具体的に特定して明示をする
プライバシーポリシーを作成するにあたって、一番重要になってくるのが、個人情報を取得する「目的」を具体的に特定し、明示することです。例えば、ECサイトで、ある商品をユーザーに販売したとします。
その際、配送先の確認のため、ユーザーに名前や住所などの情報を入力してもらいます。後日、一度買ってもらったユーザーに対して、ダイレクトメール(DM)を送りたいと思ったとしましょう。しかし、これはプライバシーポリシーに定めておかないと、DMを送ることはできません。
名前や住所を入力してもらうときに、「この情報は、DMを送付するときにも使いますよ」ということを明示しなければならないのです。
まず事業者として、取得した個人情報について、今後利用する可能性のあるものは、利用目的を列挙しておくことが必要です。
また、利用目的を記載するときに大事なことは、「具体的に特定する」ということです。巷に溢れている利用規約は、利用目的のところに、「(1)事業目的に使用するため」「(2)当社の販売促進のため」といった表現をしているところが多くありますが、こういう漠然とした記載方法ではダメです。
「当社○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします」といった程度まで具体化しないといけません。
第三者に提供する場合
個人情報保護法では取得した個人情報を第三者に提供するには、原則として本人の同意を必要としています。そのため、個人情報を第三者に提供するためには、プライバシーポリシーにその旨を定めておく必要があります。
取得した個人情報を第三者に提供なんてしないよと思われるかもしれません。意外と通常のWebサービスでも、第三者提供を行うことがよくあります。例えば、次のケースです。
- マッチングサイトやオークションサイトなどのいわゆるCtoCサービスで、連絡先の手段としてユーザー同士の情報を提供する場合
- 広告出稿者に対して、マーケティングデータとして、ユーザー情報を提供する場合
このように第三者提供を行うケースはしばしばありますので、自分のサービスは第三者提供なんて行わないと思い込むのは危険です。しっかり見直しましょう。
グループ会社で利用する場合
取得した個人情報をグループ会社で共有したいというニーズもあるかもしれません。この場合には、(1)個人情報をグループ会社で共同利用すること、(2)共同して利用する個人データの項目、(3)共同して利用する者の範囲、(4)共同利用する者の利用目的などをプライバシーポリシーで定めておく必要があります。
プライバシーポリシーはどこに設置するべきか?
プライバシーポリシーは、作成しただけではユーザーに対して効力が生じません。ユーザーに対してわかりやすい表示をする必要があります。
個人情報保護法では、特に利用目的について、直接本人から書面・電磁的方法で個人情報を取得する場合には「予め、本人に対し、その利用目的を明示」することを求めています。よって、個人情報を入力してもらう画面について、送信画面にプライバシーポリシーを掲載する必要があります。
また、個人情報を第三者提供する場合には、本人に同意してもらうことが必要になるので、個人情報を送信してもらう前に、プライバシーポリシーを表示し、同意ボックスなどでチェックしてもらう必要があります。
