特集

読んでますか? プライバシーポリシー

  ▼”プライバシーポリシー”で検索
プライバシーポリシー、読んでいますか?最近では「プラポリ」と言う人もいます。プライバシーポリシー” でGoogle検索したところ表示された関連ワードは以下のとおりでした。

  • google プライバシーポリシー
  • プライバシーポリシー 雛形
  • プライバシーポリシー 例文
  • プライバシーポリシー テンプレート
  • プライバシーポリシー 書き方
  • プライバシーポリシー サンプル
  • プライバシーポリシー 文例
  • プライバシーポリシー 意味
  • プライバシーポリシー 義務
  • 個人情報保護法

どうやらプライバシーポリシーを作る時の参考情報を探している人が多いようです。今回は、よく目にするけれどいまいち馴染みにくいプライバシーポリシーについて解説していきます。

 

▼プライバシーポリシーはコピペでよいか
日本企業のWebサイトで目にするプライバシーポリシーは、個人情報保護法が成立した後に掲載が一般化してきました。カタカナで表記されていることからわかるように、もともとは海外で使われていた用語です。

たいてい「プライバシーポリシー」と「個人情報保護方針」は同じものとして扱われます。「ポリシー」や「方針」の中で、多くの企業は、個人情報保護に取り組む旨を宣言していますが、「ポリシー」や「方針」には、雛形のコピペか、コピペを少し改変しただけと思しき文章が見受けられます。

一方、消費者や顧客の立場では、プライバシーポリシーを読み込む人は少数でしょう。多くの会社が掲げているけれど、あまり気にされることがない、それがプライバシーポリシーです。法令を守り個人情報を保護します、と宣言するだけで、しかも読まれないならば実質的には空疎であり、日本全体で大きな無駄が発生しているようにも思えます。

 

▼オプトインを得るための文章
例えばECサイトで商品を注文して自分の情報を入力する時に、「個人情報の取り扱いについて」といった文章が表示されているのを見たことがあると思います。あの文章は、企業がWebサイトに掲げているプライバシーポリシーとは別物です。

個人情報保護法では、個人情報を取得する場合には利用目的を本人に通知する義務があり、通知するべき内容は取得場面によって異なります。そして取得した個人情報の目的外の利用はNGであり、どのような利用について同意した人の情報なのかが分かるように管理しなければなりません。

個人情報の入力ページのあの文章は、個別の利用目的に応じて本人のオプトインを得るために掲載すべきはずです。しかし、その文章をプライバシーポリシーと混同し、その企業が扱う個人情報の利用目的全てをまとめて書いているケースが散見されます。

このようなケースは、包括的に目的を掲示することで企業として義務を果たしている体を取っているだけであり、いわば怠慢です。企業が間接的に情報を取得した本人に向けて、その企業の個人情報の利用目的全てをWebサイトに掲載する必要がある場合はあり得ますが、利用目的を限定せず情報を取得することは個人情報保護法の趣旨に反します。

個人情報の取得に関しては、個人情報保護マネジメントシステムの規格であるJIS Q 15001で法律よりも厳しく規定されています。詳細はJIS Q 15001に譲るとして、プライバシーポリシーとオプトインを得るための文章が別物であることを覚えておきましょう。

 

▼ポリシーとステートメント
個人情報保護方針について、個人情報保護委員会が2016年11月30日に公表した「個人情報保護法ガイドライン(通則編)」には次のように書かれています。
http://www.ppc.go.jp/files/pdf/guidelines01.pdf

8-1 基本方針の策定
個人情報取扱事業者は、個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である。具体的に定める項目の例としては、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等が考えられる。

3-6 個人情報の取扱いに関する苦情処理(法第 35 条関係)
消費者等本人との信頼関係を構築し事業活動に対する社会の信頼を確保するためには、「個人情報保護を推進する上での考え方や方針(いわゆる、プライバシーポリシー、プライバシーステートメント等)」を策定し、それをホームページへの掲載又は店舗の見やすい場所への掲示等により公表し、あらかじめ、対外的に分かりやすく説明する。

このガイドラインでは、方針、ポリシー、ステートメントが一括りにされています。法律やJIS Q 15001でも区別されていませんが、敢えてポリシー(方針)とステートメント(宣言)とを区別してみましょう。

  • ポリシー(方針)   :社内向け
  • ステートメント(宣言):社外向け

ポリシーは個人情報についての取扱いの方針を示すものであり、それを示すことで社内の取扱いに一定の方向性を持たせるものです。一方、社外に公開されている「個人情報保護方針」や「プライバシーポリシー」は、ステートメントです。ステートメントは当該組織の外部利害関係者に対する約束となります。

ステートメントがポリシーと同一の内容になることもあるでしょう。ただし、ポリシーをそのままステートメントにすることには弊害があります。すなわち、外部に約束したことを簡単に破るわけにはいきませんから、ポリシーが当たり障りない抽象的な内容になりがちです。わざわざ社内用と社外用の両方を作るより一つの方が楽です。当たり障りのないポリシーの雛形が人気を集めるのも頷けますね。

 

▼漏洩防止だけが個人情報保護ではない
通常、ポリシーに基づいて社内の規程が作られていきます。これがポリシーをおざなりにするべきではない理由です。ポリシーとステートメントを区別すれば、ポリシーにはステートメントよりも具体的な内容を盛り込むことができます。

個人情報保護と聞くと、すぐに個人情報漏えい防止と考えてしまいますが、個人情報保護はそれだけではありません。「個人情報保護法ガイドライン(通則編)」が示しているように、自社の個人情報の取り扱いに関して、正確な情報を分かりやすく丁寧に伝える活動も個人情報保護の一部と捉えるべきではないでしょうか。丁寧なプライバシーステートメントの例がありましたので紹介します。

<楽天株式会社>

楽天株式会社は、2017年2月13日に個人情報保護方針の改定を予定しており、それに先立って改定内容をWebサイトに公開して解説しています。

国内有数の巨大なECサイトを運営し、大量の顧客の個人情報を保有している同社にとって、顧客の情報は自社の重要な資産です。顧客に継続して利用してもらうためには信頼が必要ですから、顧客に対して情報を公開し、コミュニケーションを取る(姿勢を見せる)ことで企業の信頼感を醸成していくという狙いがあるのでしょう。

「よくあるご質問」を覘くと「会員登録していないのにメールが届いた」という内容の質問が見受けられ、同社の面目躍如といった趣きではありますが、漏えい防止だけでない個人情報保護の有意義な取り組みとして参考になります。