この記事の監修
Webサイトを閲覧している際、「プライバシーポリシー」を目にすることも多いのではないでしょうか。
個人情報を取り扱う事業者の多くは、自社サイト上にプライバシーポリシーを設置し、利用目的等について公表しています。
プライバシーポリシーを設置すれば、個人情報を適切に取り扱っていることを対外的にアピールできるでしょう。
そこで今回の記事では、プライバシーポリシーに記載すべき内容や注意点について、わかりやすくご紹介します。
▼この記事でわかること
- プライバシーポリシーの概要がわかります
- プライバシーポリシー作成時の注意点がわかります
- プライバシーポリシーに記載すべき項目がわかります
▼こんな方におすすめ
- プライバシーポリシーを設置する意図がわからない方
- プライバシーポリシーの作成方法がわからない方
- 作成したプライバシーポリシーが適正か不安な方
プライバシーポリシーとは?
プライバシーポリシーとは個人情報保護方針の一種で、以下の取り扱い方針(ポリシー)を定めた文章のことです。
- 個人情報:特定のユーザー個人を識別できる情報
- パーソナルデータ:位置情報や購買情報など、ユーザーの行動・状態に関する情報
個人情報保護法は改正が多いので、法改正の際は都度内容を見直すなど注意が必要です。
プライバシーポリシーの役割と作成義務
プライバシーポリシーは個人情報保護法をはじめとした各種の法律・ルールなどに対応する役割を担っています。
個人情報に関する取扱いに関しては個人情報保護法で下記のように規定されています。
事業者が個人情報を取得した場合は、あらかじめ利用目的を公表している場合を除き、速やかに、利用目的を、本人に通知又は公表しなければならない。(個人情報保護法第18条1項)
上記の規定によれば、個人情報取得の際はその都度利用目的を知らせるか、事前に公表する必要があります。
一般的に、個人情報を取り扱う場合、プライバシーポリシーにおいて利用目的を記載して公表することで、上記の義務に対応している事業者が多いです。
プライバシーポリシーと利用規約の違い
利用規約とは、商品やサービスの提供者の責任が免除される事項について定めるなど、商品・サービスを売買・利用する取引内容、取引条件を定めたものです。
たとえばECサイトにおいて、商品購入者の「効果を実感できた」という口コミを見て購入した方から「効果がなかった」とクレームを入れられる可能性もゼロではありません。
また、その都度事業者側に責任を求められていては、運営自体が立ち行かなくなってしまいます。
そうした事態を防ぐため、利用規約に特定の事項に対し発生した不利益や損害、トラブルについて責任を負わない旨を免責事項として明記しておくことなどが考えられます。
その他利用規約では、取引内容として、サービスの決済方法や、解約方法等の取引に関する一般的なことを網羅的に定めます。
利用規約には個人情報の取り扱いに関する内容が定められることもありますが、利用規約は取引内容を定めるもの、他方で、プライバシーポリシーは個人情報保護法等に則って適切に個人情報を取り扱いために必要なものです。
このように、プライバシーポリシーと利用規約はは、作成する目的が違うことを認識しておきましょう。
プライバシーポリシーの作り方(ひな形)
ではここからは、具体的にプライバシーポリシーの作り方について解説します。
ここでは以下のひな形を参考に、プライバシーポリシーの記載事項についてみていきましょう。
1. 取得する情報について (1)個人情報について
(2)お客様情報について
2. 取得情報の収集について
3. 取得情報の利用目的について
4. お客様情報の第三者への預託、提供について
5. クッキーの使用について 6. 当社によるお客様情報の訂正について 7. お客様情報の管理およびセキュリティについて 8. 免責・注意事項について 9. 海外からのアクセスについて 10. お客様情報の取扱規定の改善および最新のお客様情報の取扱規定の確認について 11. お客様情報の訂正・追加・削除の手続について 12. お問い合わせ先 〇〇年〇〇月〇〇日 |
基本的な記載事項について
プライバシーポリシーに記載すべき基本的な事項は以下の通りです。
- 個人情報の取り扱いに関する基本方針
- 取得する個人情報・取得方法
- 個人情報の利用目的
- 個人情報の管理
- 個人情報の第三者への提供
- 個人情報の共同利用
- 個人情報の開示・訂正・利用停止など
- 問い合わせ先
- SSLセキュリティ
- 改定
- 制定日・改定日
個人情報の取り扱いに関する基本方針
一般的に前文で特に必ず記載しなければならない事項はありません。
法令を遵守する旨を記載したり、プライバシーポリシーの役割を示したりするとよいでしょう。
読みやすいように、法人の場合は自社名を「当社」とすることをおすすめします。
取得する個人情報・取得方法
ユーザーから直接取得する氏名や生年月日、メールアドレスなどの個人情報を網羅的に記載してください。プライバシーポリシーを作成する担当者は、社内でどのような情報を取得しているのか社内調査を行い、漏れがないように記載する必要があります。
また、個人情報保護法上の個人情報に該当しない可能性はあるものの、ユーザーから見ると、個人情報と同視され得る情報として、システム上のIPアドレスやCookie、ブラウザの種類等の情報を取得する際には、これらも記載することも少なくありません。
個人情報保護法上の個人情報に該当するかどうかは専門的な判断が必要ですので、弁護士等の専門家に問い合わせるのがおすすめです。
また、必ずしも取得方法を記載しなければならないわけではありませんが、いつ個人情報を取得するのかというユーザーの予測可能性を確保してあげる観点から、取得方法も記載しておくのが良いかもしれません。
取得する個人情報の利用目的
個人情報保護法では、個人情報の利用目的を明らかにするよう求めています。
記載にあたって、利用目的が異なる個人情報はそれぞれの利用目的を記載するようにしましょう。
利用目的をどの程度具体的に記載する必要があるかについての判断は難しいですが、ユーザーが見て、個人情報が何に使うか認識できる程度の具体性をもって記載する必要があります。
また、プライバシーポリシーに記載された利用目的以外で個人情報を利用しない旨を記載しておくことも大切です。
なお、利用目的を事後的に変更する場合、変更前の利用目的と照らし合わせて合理的であると認められる必要があります。
利用目的を変更した場合は変更した旨をユーザーに通知し、公表しなければなりません。
個人情報の管理
個人情報を取得した場合、漏洩事故などが起きないよう、適切に管理することが義務付けられています。
そのため、プライバシーポリシーで個人情報を安全に管理する旨を記載しておく事が多いです。
個人情報の第三者への提供
個人情報保護法では、原則として本人の同意がなければ個人情報のデータを第三者に提供できないことになっています。
また、例外的に本人の同意なく個人情報を第三者に提供できる条件として次の事項が定められています。
- 利用目的として第三者提供をする旨を明記
- 第三者提供する個人データの項目
- 第三者への提供の方法
- 本人の要求があれば停止する旨を本人に通知するか公表すること
- 上記の本人の求めを受け付ける方法
なお、本人の同意を得ずに個人情報データを第三者に提供する場合、個人情報保護委員会へ届け出ることが必要です。
個人情報の共同利用・委託に伴う提供
取得した個人データを関連会社など、一定の範囲で共同利用するためには次の事項をユーザーに通知し、または容易に知り得る状態にしておく必要があります。
- 個人情報を共同利用すること
- 共同して利用される個人データの項目
- 共同して利用する者の範囲
- 共同して利用する者の利用目的
- 責任者の氏名又は名称
個人情報の開示・訂正・利用停止など
本人から請求があったとき、一定の要件を満たす場合には、保有している個人データの内容を本人に開示するほか、間違ったデータの訂正に応じなければなりません。
そのため、プライバシーポリシーには個人データの開示や訂正、利用停止にかかる手続きの方法を記載しておく必要があります。
問い合わせ先
保有している個人データについて相談や苦情が合った場合の連絡先を記載しましょう。
改定・制定日・改定日
改定があれば必要に応じて記載し、制定日・改定日もあわせて記載しておきましょう。
プライバシーポリシーに追記すべき項目とは
事業を運用するにあたり、アクセス解析ツールやWeb広告を掲載している場合は、その旨についてプライバシーポリシーに追記しておきましょう。
ここでは、プライバシーポリシーに追記すべき項目について見ていきます。
Googleアナリティクス
アクセス解析を目的としてGoogle アナリティクスを利用している場合、プライバシーポリシーでその旨を明記しなければいけません。
利用規約でも以下のように述べられています。
お客様はプライバシー ポリシーを公開し、そのプライバシー ポリシーで Cookie の使用、モバイル デバイスの識別情報(Android の広告識別子、iOS の広告識別子など)、またはデータの収集に使われる類似の技術について必ず通知するものとします。また、Google アナリティクスを使用していること、および Google アナリティクスでデータが収集、処理される仕組みについても開示する必要があります。
Googleアドセンス
Google アドセンスを利用し、自サイトに広告を掲載している場合も一定の事項をプライバシーポリシーに記載する必要があります。
なお、以下の点も忘れずに明記しましょう。
- cookieによってユーザーに合わせた広告の配信を行っていること
- ユーザーは自身でcookieを無効にできること
Googleもその点について、以下のように述べています。
プライバシーポリシーには次の情報を記載する必要があります。
Google などの第三者配信事業者が Cookieを使用して、ユーザーがそのウェブサイトや他のウェブサイトに過去にアクセスした際の情報に基づいて広告を配信すること。
Googleが広告Cookieを使用することにより、ユーザーがそのサイトや他のサイトにアクセスした際の情報に基づいて、Googleやそのパートナーが適切な広告をユーザーに表示できること。
ユーザーは、広告設定でパーソナライズ広告を無効にできること(または、www.aboutads.infoにアクセスすれば、パーソナライズ広告に使われる第三者配信事業者のCookieを無効にできること)。
引用:Google AdSense「サイトのプライバシー ポリシーについて」
Amazonアソシエイト
Amazonアソシエイトを使って、自サイトに広告を張り付ける場合もその旨明記しなければなりません。
乙は、乙のサイト上または甲が乙によるプログラム・コンテンツの表示またはその他の使用を許可したその他の場所のどこかに、「Amazonのアソシエイトとして、[乙の名称を挿入]は適格販売により収入を得ています。」または本規約に基づき事前に許可された内容と実質的に同じ文言を目立つように明示しなければなりません。
プライバシーポリシー作成時の注意点
プライバシーポリシーは設置場所や、ひな形を流用する際の扱いに注意しましょう。
設置場所はフッターに固定表示がおすすめ
プライバシーポリシーの設置場所に特に決まりはありません。
しかし、一般的にはフッターに固定表示で設置されているケースが多く見受けられます。
誰でもアクセスできるよう、わかりやすい位置に設置するようにしましょう。
プライバシーポリシーは定期的に見直そう
事業内容の変化に伴い、個人情報の種類や利用目的が変わる恐れがあるほか、法改正によって変更が生じることもあるでしょう。
そのため、プライバシーポリシーは一度作った後も定期的な見直しが必要です。
ひな形を流用する際は自社に合わせて編集しよう
プライバシーポリシーのひな形はWebサイト上に数多く掲載されているため、それらを参考にして作成することも可能です。
しかしひな形をそのまま使用すると、必要な要項が十分に記載できない可能性がありますので、事業に適した形に変更しなければなりません。
先にお伝えしたようなひな形を流用する場合、一言一句チェックを欠かさずに行いましょう。
また、すべての文言をそのまま流用するのではなく、参考程度に留めたうえで自社に合うように編集することが大切です。
もし作成が難しい場合は、専門家である弁護士に依頼することをおすすめします。
まとめ
今回の記事ではプライバシーポリシーの作り方と題し、記載すべき内容や注意点についてお伝えしました。
プライバシーポリシーは設置したらそれで終わりというものではなく、法改正等に応じて適宜変更していく必要があります。
正しいプライバシーポリシーの作成はユーザーからの信頼感獲得にも繋がるため、状況に応じて専門家に相談しつつ作成するようにしましょう。
この記事の監修