今や誰しも1度は目にしたことがある「プライバシーポリシー」。 今回は、プライバシーポリシーについてのアドバイス経験も豊富な寺門先生が分かりやすく解説しています。
プライバシーポリシーは何のためにあるのか
企業の法務担当、マーケティング部門の方々にとってプライバシーポリシーは、個人データを活用していく上で必須のものであり、言わば「当たり前のもの」として存在しています。そのため、改めて「プライバシーポリシー」とは何のためにあるのかと問われると、答えに困る方も多いのではないでしょうか。
プライバシーポリシーは、個人情報保護法上要求される、個人情報の利用目的の通知・公表義務や、保有個人データに関連する事項の公表義務などを果たすために用意している側面が大きいですが、必ずしも法令上必須とはされない内容についても、ユーザへの透明性の観点から記載するのがトレンドです。
プライバシーポリシーには何が記載されているのか
それぞれの企業によってプライバシーポリシーの記載粒度は様々ですが、法律上記載が要求される事項については、最低限カバーしている必要があります。そのためどんなプライバシーポリシーでも個人情報の利用目的、個人情報に関する開示請求等、これに関するお問い合わせ先などは必ず書いてあります。
他にも例えば、個人データの共同利用、すなわち例えば「グループ会社との間で個人データを共同で利用しています」ということ(子会社、関連会社のある企業は自分達の顧客情報をグループ間で共有するお取り組みをしていることがあります)を記載している例があります。ただ最低限のもの以外でも、最近は、収集している個人情報の種類や、データの提供先についての詳細情報が記載されていたりするなど、プライバシーポリシーの中身を充実させることが最近のトレンドになってると思います。
プライバシーポリシーが必要な場面とは
典型的な場合として、企業のコーポレートサイトのフッターに「プライバシーポリシー」や「個人情報の取扱いについて」という形で公表する例があります。それをもって、企業の事業活動において取り扱う個人情報全般についての利用目的の通知公表義務等を果たしているわけです。また、アプリやウェブのサービス登録画面で表示する例も多いです。当該サービスにおける個人情報の取扱いについて規律しています。
なお、必ずしも「プライバシーポリシー」というタイトルである必要はありません。申込書の裏面などに「申し込みの際に提供される個人情報はこのように取り扱わせていただきます」といった形で示されている例もあります。
最後に
プライバシーポリシーに関するご相談というのは、大小様々なプロジェクトで必要になり、その意味で、本当に一番多いご相談と言えます。どんなデータの活用においても、スタートライン、ベースラインとなるのは、お客様に示している利用目的や、どういった第三者に対してデータを渡す可能性があるのかといったものです。
プライバシーポリシーにて設定した範囲の中でしか個人情報は使えませんから、まずはプライバシーポリシーが自分達の考えているデータ活用全体をカバーする中身になっていることが大事です。データ活用において、プライバシーポリシーは、「一丁目一番地」と言っても過言ではありません。
TMIプライバシー&セキュリティコンサルティング 取締役
TMI総合法律事務所 パートナー弁護士
サイバーセキュリティ、データ利活用、ドメイン保護、eコマース、AI、IoT、プラットフォーム・アプリ・システム開発、ソフトウェアライセンスの法務を専門とし、内閣サイバーセキュリティセンターのサイバーセキュリティ関連法令タスクフォース、経済産業省大臣官房臨時専門アドバイザー、陸上自衛隊通信学校非常勤講師、情報処理安全確保支援士会理事を歴任する。解決困難な案件や厳しい状況下でのタスクも常に笑顔を絶やさず、前向きにチームをリードし、案件の解決に粘り強く導くことを信条とする。