執筆者:弁護士 阿久津 透(AI・データ(個人情報等)チーム)
1.はじめに
2022年4月1日に改正個人情報保護法が施行されてから3ヶ月が経過しました。
改正個人情報保護法の施行にあわせて急ピッチでプライバシーポリシー・個人情報保護方針の改正を行った事業者の方も少なくないと思います。
プライバシーポリシーや個人情報保護方針は、一度作成すれば終わりというわけではなく、利用目的や利用方法が変わるのであればそれに応じて修正の要否を検討する必要がありますし、新規サービスをリリースするのであればそのサービスにあったものを作成する必要があります。
そうはいっても、個人情報保護法の規定は複雑ですので、プライバシーポリシーや個人情報保護方針について検討する時に、何から始めればいいかわからないという方も多いかと思います。
今回の記事では、プライバシーポリシーを作成・修正する時の視点を整理していきます。
2.作成の目的
プライバシーポリシーや個人情報保護方針はどのような目的で作成するのでしょうか。
もちろん、個人情報保護法に「事業者はプライバシーポリシーを作成せよ」といった条文があるわけではありません。
個人情報保護法の条文の中には、
・あらかじめ●●している場合を除き・・・しなければならない
・あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない
といった規定が存在します。
また、個人情報保護法上、一定の行為を行う場合に、事前にユーザーの同意を必要とするものもあります。
プライバシーポリシーや個人情報保護方針は、このような個人情報保護法の要請にこたえるために作成するものになります。
時々「プライバシーポリシーのほかに個人情報保護方針を作成する必要がありますか」や、「個人情報保護方針は作成しているのですが、別途プライバシーポリシーもあったほうがよいのでしょうか」といった質問を受けることがありますが、ドキュメントの名称は関係ありません。
名称ではなく、自社が作成しているプライバシーポリシーや個人情報保護方針が、自社のサービスの性質やマーケティング施策を適切に反映しているかどうかと、個人情報保護法の要請を満たしているかという実質的な部分の確認・検討が重要になります。
3.社内で誰が担当すべきか
プライバシーポリシーや個人情報保護方針は、個人情報保護法という法律に関係するものですので、法務部など、法務機能を果たす部門や担当者の方が対応するケースが多いのではないかと思います。
しかし、誰からどのように情報を取得し、それをどのように利用しているのかといったことは、そのサービスの仕組みや、マーケティング施策の仕組みを知っておかないと正確に把握することができません。
この広告は「委託」の範囲にとどまるのか、このクラウドサービスを使うことは外国法人への提供にあたるのか、といったことは法律だけを理解していても答えは出ないですし、逆にマーケティング施策を熟知しているだけでも答えは出ません。
適切な対応をするためには、法務部門だけでなく、マーケティング部門や、情報システム部門などとも連携して対応していく必要があります。
4.チェックポイント
プライバシーポリシーや個人情報保護方針のチェックポイントは細かく上げればきりがありません。
今回は、これから新たに整理・検討を開始する方向けに、プライバシーポリシーや個人情報保護方針に関する相談をする際に検討の入り口としてお伺いすることの多い項目を、チェックリスト形式でまとめました。
あくまで検討の入り口段階のチェックリストですので、これが理解できれば完璧というわけではありませんが、どの部分の検討が必要になるのか、どこの部分の理解が足りないのかといった整理にはお役立ていただけるかと思います。
「?」が付いた項目や、何のことを言っているのかよくわからない項目が複数ある場合には、個人情報保護法の理解や、自社サービスの性質や自社がとっているマーケティング施策の理解があやふやであったり、それぞれが十分に関連付けられていないのかもしれません。
判断に迷う部分が出てきた場合には、遠慮なくご相談下さい。
監修
弁護士 森田 芳玄
(都内の法律事務所にて主に企業法務に携わったのち、2016年GVA法律事務所入所。現在は、企業間紛争、労務、ファイナンス、IPO支援、情報セキュリティ法務を中心としたさまざまな企業法務案件に携わる。情報処理安全確保支援士。ITストラテジスト。システム監査技術者。)
