ウェブサイト制作をするうえでよくご相談を受ける、プライバシーポリシーについての記事となります。世界的に見ても、個人情報に関する法律や規則は年々厳しくなっています。

個人情報の取り扱いは企業や団体の信頼に関わる重要なことですので、プライバシーポリシーを制定し、大切に取り扱うようにしましょう。

さて、皆様のウェブサイトではプライバシーポリシーを掲載していますか？

ビジネスを目的として作成したウェブサイトでは、ほとんどの場合、お問い合わせフォームを作成します。すると、お問い合わせフォームを通じて、必ず名前やメールアドレスといった個人情報を取得することになります。

個人情報を取得する場合はプライバシーポリシーの制定が必要になります。

今回はプライバシーポリシーの作り方と、作るうえでポイントとなる事項について解説します。

そもそも個人情報とは？

よく耳にする個人情報という言葉ですが、どういった情報を指すのでしょうか？

個人情報とは、組み合わせることにより個人を特定できる情報を指します。

日本の個人情報保護法では、

・氏名
・生年月日（年齢）
・性別
・連絡先（本籍、住所、電話番号、メールアドレス）
・家族（家族構成）
・住民票、個人番号（マイナンバー）
・職業（勤務先、職位、所属など）
・学歴、職歴
・本人や家族の顔写真や映像（防犯カメラの映像など）
・生体情報（指紋や虹彩、骨格情報、DNAの配列など）

といった個人情報の組み合わせです。

組み合わせることで個人が特定できるというのは、

〇〇会社で働いている（勤務地情報）　＋　××（氏名）　＝××さん
〇〇（職業）＋××（氏名）　＝××さん

このように、情報を合わせることで個人を特定することが可能になります。

例えば、佐藤太郎さんや鈴木太郎さんという名前だけでは複数人が該当し、個人の特定は難しいですが、勤務先やメールアドレスなど、上記のようなほかの情報と組み合わせることにより、個人が特定できてしまいます。

日本の個人情報保護法では、このような情報を個人情報と定義しています。

GDPR（EU一般データ保護規則）では、これらに加えてcookieなどの情報まで含まれています。

プライバシーポリシーとは？

プライバシーポリシーは個人情報の取り扱いに関する方針です。個人情報取扱事業者には個人情報保護方針（プライバシーポリシー）を作成することが求められています。

プライバシーポリシーは、簡単にいうと「皆様の個人情報を適切に管理し、漏洩などに気を付けますよ」というような内容です。

以前は個人情報の取り扱いが5000件以下の事業者は、個人情報取扱事業者ではなかったのですが、2016年の法改正で5000人以下の要件がなくなり、1件でも個人情報を取り扱う場合、個人情報取扱事業者とされます。

個人情報取扱事業者には個人情報の利用目的の通知が義務付けられています。

つまり、プライバシーポリシーを作成していない場合、個人情報を取得するたびに、利用目的の通知を行わなければならないのです。そのため、ウェブサイト上で公開することにより、通知する手間を省くことが可能となります。

他社のものやテンプレートを活用するのも可能ですが、一部カスタマイズが必要になりますので注意しましょう。

なぜウェブサイトへの掲載が必要なの？

プライバシーポリシーはウェブサイトに記載されていなくても問題ありません。

しかし、個人情報取扱事業者に求められている個人情報保護方針の「公表されていること」や「本人が容易に知りうる状態であること」という要件をクリアするためには、ウェブサイトのフッターなどにリンクを設置するなどの措置がとられています。

利用目的などの変更があった際、個人情報を取得した一人ひとりに通知をするのは手間であるため、一般的に「ウェブサイトに掲載する」という方法がとられています。

プライバシーポリシーを作るうえでのポイント

ここからは、より具体的にどういった内容を記載するべきなのかを解説します。個人情報取扱事業者は、プライバシーポリシーは策定を義務付けられていますが、内容について決まっているわけではありません。

というのも、業種や目的によって取り扱い方法が多様であるためです。そのため、自由に作ることができますが、必須の項目もありますので、それらについて解説します。

個人情報を保有する者の氏名、名称

こちらは序文にある「○○は以下の個人情報を定め、適切な取り扱いに努めます」といった部分です。誰が運営し、誰が管理するのかを示す項目となります。プライバシーポリシーの主語にあたる部分で、法人名を記載しなければなりません。

個人情報を取得した場合の利用目的

個人情報保護法18条1では、情報の利用目的を明示するよう書かれています。

この項目は、「お問い合わせに対する回答」「セミナーのご案内」「採用活動において」というように具体的に記述する必要があります。

ここでポイントとなるのは、あいまいな表現を避けることです。よくない例とされるのは、「弊社のサービスのため」など曖昧な表現方法です。可能な限り具体的に明示しましょう。

採用時のエントリーシートなどには、「記載された個人情報は採用活動のためにのみ使用します」といった記載がみられることもありますよね。

個人情報の第三者への開示について

原則として第三者への開示は行わないにしても、例外が発生することがあります。

例えば一部の業務を子会社に委託している場合や、裁判所や警察といった国家機関から情報の開示を求められた場合、開示する義務が発生します。こういった場合の措置を盛り込む必要があります。

例えば、以下のいずれかの場合、個人情報を開示します。

・法令に基づいた開示を求められた場合
・お客様の同意がある場合

というように記述します。

個人情報保護法において、原則は第三者への開示は同意がある場合に限られていますが、適用除外が設けられています。

それは
・人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
・国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人に同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
です。

簡単に説明すると、
一つめは、事故などによる身体の危険や、財産が失われるなどの危険がある場合が当たります。
二つめは、警察や裁判所による捜査により個人情報が必要な場合が当たります。

このような場合には、本人の同意がなくても個人情報を公開することができます。

保有個人データに関する苦情の申出先

個人情報に関する苦情、相談の窓口を設置し、連絡先を記載する必要があります。こちらも必須項目です。個人情報保護法では、個人情報の訂正や削除等に対して、速やかに対応できるように求められています。

担当部署や連絡先を記載する必要があります。一般的には総務部の管轄になることが多いようです。

Cookieについて

2018年5月からGDPR（EU一般データ保護規則）が施工され、Cookieも個人情報として扱われるようになりました。そのためCookieをサイト内で利用している場合、Cookieに関する記述も必要となります。

CookieはGoogleAdsenseなどの広告やGoogleAnalyticsなど、サードパーティクッキーを利用したウェブビーコン型解析ツールに利用されていますので、アクセス解析を行っている場合は該当します。Coocieを何のために利用しているかを明記しましょう。

一般的に、
・Cookieで取得したデータは、アクセス解析のために使用します。
といったような書き方をされていることが多いです。

最後に

2016年の個人情報保護法の改正、2018年のGDPRの施行など、年々個人情報に関する規定が厳しくなっています。また、個人情報の漏洩に対する世間の目も冷たいものになってきています。プライバシーポリシーを適切に定めましょう。

また、いくら厳重な規定を定めても、運営者が法令に則った運営を心掛けなければ意味がありません。運営者は個人情報の取り扱いの重要性を理解し、しっかりと規定を遵守するよう心がけましょう。