プライバシーポリシーとは何か
プライバシーポリシーは、別名を個人情報保護方針という――読んで字のごとく、個人情報を保護するための方針です。
個人情報保護法(個人情報の保護に関する法律、平成15年5月30日法律第57号)ではプライバシーポリシーの作成や公開を要求していないのですが、経済産業省が求める個人情報保護マネジメントシステムである「JIS Q 15001:2006」には下記のように明記しています。
個人情報保護法(個人情報の保護に関する法律、平成15年5月30日法律第57号)ではプライバシーポリシーの作成や公開を要求していないのですが、経済産業省が求める個人情報保護マネジメントシステムである「JIS Q 15001:2006」には下記のように明記しています。
4.2 個人情報保護方針
事業者の代表者は,個人情報保護の理念を明確にした上で,次の事項を含む個人情報保護方針を定めるとともに,これを実行し維持しなければならない。
a) 事業の内容及び規模を考慮した適切な個人情報の取得,利用及び提供に関すること(特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下,“目的外利用”という。)を行わないこと及びそのための措置を講じることを含む。)。
b) 個人情報への不正アクセス,個人情報の漏えい,滅失又はき損の防止並びに是正に関すること。
c) 苦情対応に関すること。
d) 個人情報の取扱いに関する法令,国が定める指針及びその他の規範を遵守すること。
e) 個人情報保護マネジメントシステムの継続的改善に関すること。
f) 代表者の氏名
事業者の代表者は,この方針を文書(電子的方式,磁気的方式その他人の知覚によっては認識できない方式で作られる記録を含む。以下,同じ。)化し,従業者に周知させるとともに,一般の人が入手可能な措置を講じなければならない
プライバシーポリシーは、この規定に沿って作成するのが定石です。
なお、「JIS Q 15001:2006 解説」では、上記の文言をそのまま記載するのではなく、事業者としての具体的な内容を記載しなければならないと記しています。
プライバシーポリシー(個人情報保護方針)の例
基本方針
当社は、お客さま並びに当社社員の個人情報を守ることを重大な社会的責任と認識し、個人情報主体の権利の保護、個人情報に関する関連法規を遵守し、コンプライアンス・プログラムを構築し、個人情報保護マネジメントシステムの継続的改善に向け、全社を挙げて取り組むことを宣言します。
活動指針
- 個人情報は、当社事業(営業及び管理活動)ならびに社員の雇用、人事管理上必要な範囲に限定して収集/利用/提供します。
- 個人情報への不正なアクセス、または紛失、破壊、改ざん及び漏えいなどに対して適切な安全対策を講じ、予防及び是正に努めます。
- 個人情報に関する諸法令及びその他の規範、ガイドラインを遵守します。
- 情報処理に関する最新技術動向を踏まえ、コンプライアンス・プログラムの改善を継続的に行っていきます。
- この方針は社内掲示し全社員に周知するとともに、ホームページ等に公開します。
個人情報相談窓口
総務部個人情報相談課
担当 ○○、□□
電話 XXX-XXX-XXXXX
電子メール xxxx@xxxx.xx.xx
平成○○年○○月○○日
株式会社 ○○○○
代表取締役 ○○○○ 印
株式会社 ○○○○
代表取締役 ○○○○ 印
用語の定義
プライバシーポリシーの冒頭では、ここに登場する用語の定義をしておきます。
最低限、以下の用語を定義する必要があります。
最低限、以下の用語を定義する必要があります。
- プライバシーポリシー
- プライバシーポリシーとは何なのか、ご自身の言葉で定義して下さい。
- 個人情報
- 個人情報の対象項目を具体的に記します。例:お客様の氏名、住所、電話番号、電子メールアドレス
個人情報の取得目的と方法について
次に、個人情報の取得目的を明らかにします。
前述のプライバシーポリシー例では「当社事業」内容が曖昧ですが、たとえば会員制通販サイトであるなら、会員の個人情報を商品配送や本人確認の目的に使うのか、それともDM(ダイレクトメール)発送にも流用するのか、明らかにした方がいいでしょう。
また、個人情報の取得方法を明らかにします。
Webサイトから入手するのか、それとも郵送で受け付けるのかなどの手段を明記します。
収集は適法かつ公正な手段によって行わなければなりません。たとえば、ライバル会社の顧客名簿を入手するような手段は不正競争防止法違反の恐れがあります。
前述のプライバシーポリシー例では「当社事業」内容が曖昧ですが、たとえば会員制通販サイトであるなら、会員の個人情報を商品配送や本人確認の目的に使うのか、それともDM(ダイレクトメール)発送にも流用するのか、明らかにした方がいいでしょう。
また、個人情報の取得方法を明らかにします。
Webサイトから入手するのか、それとも郵送で受け付けるのかなどの手段を明記します。
収集は適法かつ公正な手段によって行わなければなりません。たとえば、ライバル会社の顧客名簿を入手するような手段は不正競争防止法違反の恐れがあります。
個人情報の利用と提供
取得した個人情報を利用する場面を、できるだけ具体的に記します。
たとえば通販サイトで、配送などを他業者に委託する場合は、その業者に個人情報を提供することになります。個人情報の第三者提供として、このような場面を漏れなく記載します。ここに記載がない業者に個人情報を提供することは、ルール違反となります。
ただし、個人情報保護法では、以下のように第三者提供の例外規定があります。
たとえば通販サイトで、配送などを他業者に委託する場合は、その業者に個人情報を提供することになります。個人情報の第三者提供として、このような場面を漏れなく記載します。ここに記載がない業者に個人情報を提供することは、ルール違反となります。
ただし、個人情報保護法では、以下のように第三者提供の例外規定があります。
第23条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。そこで、「個人情報保護法第23条1項にもとづいて個人情報を提供することがあります」と一言断っておいた方がいいでしょう。
1 法令に基づく場合
2 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
3 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
4 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
個人情報の安全管理
個人情報に対する不正アクセスや改竄、消失に対する対策を整えていることを記して下さい。
ここで、導入しているセキュリティ・システムの名称や、施錠などの運用面の細かい対策を述べる必要はありません。それは方針ではなく運用手順に過ぎませんし、そのような情報を開示することは、かえって侵入者を利することになります。
ここでは、「物理的・人的に必要十分な安全対策を講じている」ことと、対策の主管部署を記すだけで十分です。
ここで、導入しているセキュリティ・システムの名称や、施錠などの運用面の細かい対策を述べる必要はありません。それは方針ではなく運用手順に過ぎませんし、そのような情報を開示することは、かえって侵入者を利することになります。
ここでは、「物理的・人的に必要十分な安全対策を講じている」ことと、対策の主管部署を記すだけで十分です。
相談受付窓口
お客様からの個人情報問題に関わる苦情相談窓口を明記します。部署名、電話番号、メールアドレス、URLなどを記します。受付時間や営業日が限られている場合は、それも明示してください。
苦情相談だけでなく、個人情報の開示・訂正・利用停止・消去も受け付けていることを明示してください。
なお、個人情報問題に関する限り、窓口は1本化して下さい。
苦情相談だけでなく、個人情報の開示・訂正・利用停止・消去も受け付けていることを明示してください。
なお、個人情報問題に関する限り、窓口は1本化して下さい。
コンプライアンス遵守
関連する法令、ガイドラインを遵守することを記して下さい。
2008年(平成20年)4月現在、個人情報保護に関する法令、ガイドラインには以下のようなものがあります。
数・種類とも膨大な量の文書ですが、御社が関連するガイドラインを精読し、それに準じていることを明示してください。
2008年(平成20年)4月現在、個人情報保護に関する法令、ガイドラインには以下のようなものがあります。
数・種類とも膨大な量の文書ですが、御社が関連するガイドラインを精読し、それに準じていることを明示してください。
- 個人情報保護マネジメントシステム‐要求事項(JIS Q 15001:2006)
- 個人情報保護委員会
- 個人情報保護:経済産業省
- 個人情報保護:厚生労働省
- 個人情報保護:総務省
- 個人情報保護]:財務省
継続的改善
人的な改善はもちろんのこと、IT技術の進歩に伴う改善を行っていることを明記してください。具体的な製品/サービス/方式名まで示す必要はありません。
代表者名、作成日、更新日
最後に、代表者の氏名とプライバシーポリシーの作成年月日、更新年月日を明記して下さい。
これらが抜けているプライバシーポリシーをよく見かけます。
代表者は従業員と異なり公人と見なされますので、その氏名を公開することは必要です。
これらが抜けているプライバシーポリシーをよく見かけます。
代表者は従業員と異なり公人と見なされますので、その氏名を公開することは必要です。
従業者にも周知する
プライバシーポリシーは、公式サイトがあるなら目立つところに掲げます。実店舗があるなら、目立つところに掲示してください。
もちろん、従業員にも周知します。
正社員だけでなく、派遣社員はもちろんのこと、協力企業にも周知してください。
もちろん、従業員にも周知します。
正社員だけでなく、派遣社員はもちろんのこと、協力企業にも周知してください。
記述はシンプルに、モバイル向けセキュリティポリシーも
セキュリティ企業TRUSTeは、2011年(平成23年)の調査では97%のWebサイトがプライバシーポリシーを定めているが、その読みにくさが問題だと指摘しています。(TRUSTe Privacy Index 2011 Website Edition)
調査によると、アメリカ人の平均的読解力が中学2年生レベルであるのに対し、プライバシーポリシーには大学2年生レベルの読解力が必要で、すべて読むのには平均で10分程度かかるとのことです。
プライバシーポリシーには、「第三者とユーザーデータを共有(31%)」、「ユーザーの位置情報を収集(36%)」、「サイト内のユーザー追跡を第三者に許可(72%)」などが明記されている一方で、68%がユーザーアカウントの削除方法を記載していませんでした。また、93%はユーザーデータの保持期間について記載がありませんでした。
モバイル端末に最適化したプライバシーポリシーを用意しているのは2%しかありませんでした。
自社のプライバシーポリシーを作成したら、記述がシンプルであるか、モバイル端末向けに最適化した表示がなされているかどうか確認することが必要です。
調査によると、アメリカ人の平均的読解力が中学2年生レベルであるのに対し、プライバシーポリシーには大学2年生レベルの読解力が必要で、すべて読むのには平均で10分程度かかるとのことです。
プライバシーポリシーには、「第三者とユーザーデータを共有(31%)」、「ユーザーの位置情報を収集(36%)」、「サイト内のユーザー追跡を第三者に許可(72%)」などが明記されている一方で、68%がユーザーアカウントの削除方法を記載していませんでした。また、93%はユーザーデータの保持期間について記載がありませんでした。
モバイル端末に最適化したプライバシーポリシーを用意しているのは2%しかありませんでした。
自社のプライバシーポリシーを作成したら、記述がシンプルであるか、モバイル端末向けに最適化した表示がなされているかどうか確認することが必要です。
完成度の高いプライバシーポリシー
以上を漏れなく簡潔に記した、完成度の高いプライバシーポリシーを列挙します。作成の際の参考にしてください。
参考書籍
|
図解入門ビジネス 最速プライバシーマーク取得がよーくわかる本 | ||
| 著者 | 打川和男 | ||
| 出版社 | 秀和システム | ||
| サイズ | 単行本 |
|
|
| 発売日 | 2011年05月 | ||
| 価格 | 1,980円(税込) | ||
| ISBN | 9784798029573 | ||
| 改正プライバシーマーク制度設置及び運営要領に対応。3ヶ月でできる組織の構築からPマーク取得申請まで。運営要領の改正でどこが変わったか?認証基準JIS Q 15001:2006のポイントは。これからPマークを申請するにはどうなる。すでにPマークを取得している場合には。個人情報保護法とPマークの関連は。すぐに役立つ規定・様式のサンプル付き。 | |||
|
個人情報保護マネジメントシステム実践マニュアル―JIS Q 15001:2006対応 | ||
| 著者 | 日本システム監査人協会 | ||
| 出版社 | 森北出版 | ||
| サイズ | 単行本 |
|
|
| 発売日 | 2011年01月 | ||
| 価格 | 4,620円(税込) | ||
| ISBN | 9784627851214 | ||
| 個人情報保護の仕組みをつくる。JISに対応したマネジメントシステムの実務を詳しく解説。付録のCD-ROMには、「すぐに使える書式・規程のサンプル集」を収録。 | |||
|
個人情報保護法のしくみと実務対策 | ||
| 著者 | 渡部喬一 | ||
| 出版社 | 日本実業出版社 | ||
| サイズ | 単行本 |
|
|
| 発売日 | 2004年08月 | ||
| 価格 | 2,860円(税込) | ||
| ISBN | 9784534037824 | ||
| 平成17年4月、いよいよ個人情報保護法が全面施行される。本書は、平成16年6月に経産省から示された「新ガイドライン」をもとに、法の要点、個人情報の取得・利用・管理のポイントをわかりやすく解説する。実務の現場で考えられる素朴な疑問をQ&A方式で、法の要点をわかりやすい概念図で示し、そのまますぐに使える書式例を満載。巻末には、同法の全文および施行令、経産省新ガイドラインの概要を収録。 | |||
参考サイト
- 「個人を特定する情報が個人情報である」と信じているすべての方へ:プライバシーフリークカフェ,2014年4月11日
- Webサイトのプライバシーポリシーの現状を調査–長すぎること以外にも問題がいくつか:TechCrunch,2011年12月1日
- 改正JIS Q 15001:2006とプライバシーマーク制度:ITpro
- JISC 日本工業標準調査会
(この項おわり)
プライバシーポリシーは、すべて同じ文章というわけではありません。その事業に合わせて作成する必要があります。
今回は、プライバシーポリシーの作成方法について紹介することにします。