A17B7D88-3694-4BA1-8075-9BD62393C817.jpg

PRIVACY POLICY

当ウェブサイトは、取得した個人情報の取扱いに関し、個人情報の保護に関する法律、個人情報保護に関するガイドライン等の指針、その他個人情報保護に関する関係法令を遵守します。

3−1,個人情報取り扱いに関する基本方針
個人情報の重要性を会社として認識し、法令を遵守することなど、個人情報の取扱いをするうえでの自社の基本方針を記載します。

 

3−2,定義
プライバシーポリシーで使用する言葉の定義を記載します。

例えば、「個人情報」の定義を記載ししたり、「個人データ」の定義を記載します。

なお、「個人データ」とは、個人情報のうち、検索可能な方法で管理しているもの(例えばエクセルで一覧にしていたり、50音順の名簿で管理しているもの)をいいます(個人情報保護法第2条6項)。

「個人データ」は、個人情報の中でも保護の必要性が高いものとして、法律上、例えば本人の同意なく第三者に提供することが原則として禁止されるなど、「個人情報」より1ランク上の規制が適用されます。

 

3−3,事業者の名称、住所、法人代表者氏名
令和2年個人情報保護法改正(令和4年4月施行)により、個人情報取扱事業者が、本人の知りうる状態におかなければならない事項として、以下の項目が追加されました(個人情報保護法第27条1項1号)。

 

個人情報取扱事業者が個人の場合はその氏名と住所
個人情報取扱事業者が法人の場合は、法人名、住所、代表者氏名

 

これらの項目がプライバシーポリシーに入っていないときは追記しておきましょう。

 

3−4,個人情報の取得方法
個人情報保護法上、企業は「偽りその他不正の手段により個人情報を取得してはならない。」とされています(個人情報保護法第17条1項)。

これを踏まえて、自社においても個人情報を法令を遵守して適法に取得することを記載します。

 

3−5,利用目的
企業が個人情報を取得するときは、個人情報の利用目的を公表するか、または、本人に伝えることが義務付けられています(個人情報保護法第18条)。

そのため、プライバシーポリシーには、必ず個人情報の利用目的を記載してください。

前述した通り、個人情報の種類ごとに利用目的が違いますので、種類ごとに記載することが適切です。また、プライバシーポリシーに記載のある利用目的以外の利用はできないことが原則になります。

例えば、「商品の配送やアフターサービスのため」という利用目的で顧客から個人情報を取得した場合に、自社の商品についてのダイレクトメールを送付するためにその個人情報を利用することはできません。

そのため、利用目的は社内における個人情報の全ての利用を想定して、網羅的に記載するようにしてください。

 

3−6,個人データを安全に管理するためにとった措置の内容
企業には、その取り扱う個人データに漏えいや紛失などの問題が生じないように安全に管理するための措置をとることが義務付けられています(個人情報保護法第20条)。

令和2年個人情報保護法改正(令和4年4月施行)により、この「保有個人データの安全管理のために講じた措置」の内容が、「本人の知りうる状態におかなければならない事項」に追加されましたので、この点をプライバシーポリシーに追記する必要があります(個人情報保護法施行令第8条1項)。

例えば、保有個人データの安全管理のための従業員向け研修の実施や定期的な管理状況の点検、取扱規程の策定、不正アクセスから保護する仕組みの導入などといった、各企業の取り組みの内容を記載することになります。

この点については、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」を参考に、各企業の実情を踏まえて記載を検討することが必要です。

※個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」は以下をご参照ください。

 

▶参考情報:法令・ガイドライン等「個人情報の保護に関する法律についてのガイドライン(通則編)」
 

3−7,個人データの共同利用について
グループ会社や提携先と個人データを共有して利用する場合は、個人データの共同利用について以下の項目を本人に通知するか、公表することが法律上義務付けられています(個人情報保護法第23条5項3号)。

 

個人データを共同利用すること
共同して利用される個人データの項目
共同して利用する事業者の範囲
責任者の氏名又は名称

 

そのため、グループ会社や提携先と個人データを共有して利用する場合は、これらの項目をプライバシーポリシーに記載します。

なお、個人情報の共同利用の予定がない場合は、この項目の記載の必要はありません。

 

3−8,個人データの第三者提供について
個人データを本人の同意なく第三者に提供することを予定している場合は、以下の項目を本人に通知するか、公表することが法律上義務付けられています(個人情報保護法第23条2項)。

 

個人データを第三者に提供すること
第三者に提供する個人データの項目
第三者への提供の方法
本人の求めがあれば第三者への提供を停止すること
第三者への提供の停止についての本人の求めを受け付ける方法

 

ただし、平成27年9月の個人情報保護法の改正により、個人データを本人の同意なく第三者に提供する際には、個人情報保護委員会への届出が必要になっていますので注意してください。

平成27年9月の個人情報保護法改正に伴うプライバシーポリシーへの影響については、以下の記事で詳しく解説していますので、ご参照ください。