テクノロジーが進化し、AIの導入などが現実のものとなった今、「働き方」が様変わりしてきています。終身雇用も崩れ始め、ライフプランに不安を感じている方も多いのではないでしょうか。
本連載では、法務・税務・起業コンサルタントのプロをはじめとする面々が、副業・複業、転職、起業、海外進出などをテーマに、「新時代の働き方」に関する情報をリレー形式で発信していきます。
今回は、IT企業経営者としての経験も持つ弁護士・中野秀俊氏が、「プライバシーポリシー」を作成するときのポイントについて語ります。
ほとんどのウェブサービスには、「プライバシーポリシー」というものが定められています。このプライバシーポリシーとはどういったもので、なぜ定める必要があるのでしょうか? また、定める際にはどのような点に注意する必要があるのでしょうか? 解説していきます。
プライバシーポリシーで注意すべきことは?
「プライバシーポリシー」とは、事業者がユーザーなどの個人情報をどう取り扱うかをユーザーに表示するものです。これは、個人情報保護法で「個人情報」の「利用目的」や「第三者提供」の規定を定め、外部に表示する義務があるとされています。
プライバシーポリシーを作成するにあたって、注意すべきポイントは以下の通りです。
■利用目的は具体的に特定して明示をする
プライバシーポリシーを作成するにあたり一番重要になってくるのが、個人情報を取得する「目的」を具体的に特定し、明示することです。つまり、取得した個人情報を何に使うかを明示することが求められます。
例えば、ECサイトで、ある商品をユーザーに販売したとします。主に配送先の確認のため、ユーザーに名前や住所などの情報を入力してもらいます。そして後日、一度買ってもらったユーザーに対して、ダイレクトメール(DM)を送りたいと思ったとしましょう。しかし、これはプライバシーポリシーに定めておかないと、DMを送ることはできません。
名前や住所を入力してもらうときに、「この情報は、DMを送付するときにも使いますよ」ということを明示しなければならないのです。
つまり、事業者として、取得した個人情報について今後利用する可能性のあるものは、利用目的を列挙しておくことが必要です。
また、利用目的を記載するときに大事なことは、「具体的に特定する」ということです。世に出ているプライバシーポリシーの中には、「(1)事業目的に使用するため」「(2)当社の販売促進のため」といった表現をしているところが多くありますが、こういう漠然とした記載方法では良くありません。
「当社○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします」といった程度まで具体化しましょう。
■第三者に提供する場合
個人情報保護法では取得した個人情報を第三者に提供するには、原則として本人の同意を必要としています。そのため、個人情報を第三者に提供するためには、プライバシーポリシーにその旨を定めておく必要があります。
“取得した個人情報を第三者に提供なんてしないよ”と思われるかもしれませんが、意外と通常のWebサービスでも、第三者提供を行うことがよくあります。
例えば、マッチングサイトやオークションサイトなどのいわゆるCtoCサービスで、「連絡先の手段としてユーザー同士の情報を提供する場合」や「広告出稿者に対して、マーケティングデータとして、ユーザー情報を提供する場合」です。
このように第三者提供を行うケースはしばしばありますので、自分のサービスは第三者提供なんて行わないと思い込むのは危険です。しっかり見直しましょう。
■グループ会社で利用する場合
取得した個人情報をグループ会社で共有したいというニーズもあるかもしれません。この場合には、(1)個人情報をグループ会社で共同利用すること、(2)共同して利用する個人データの項目、(3)共同して利用する者の範囲、(4)共同利用する者の利用目的などをプライバシーポリシーで定めておく必要があります。
プライバシーポリシーの設置場所は?
では、プライバシーポリシーはどこに設置するべきでしょうか。プライバシーポリシーは、作成しただけではユーザーに対して効力が生じません。ユーザーに対してわかりやすい表示をする必要があります。
個人情報保護法では、特に利用目的について、直接本人から書面・電磁的方法で個人情報を取得する場合には「予め、本人に対し、その利用目的を明示」することを求めています。よって、個人情報を入力してもらう画面について、送信画面にプライバシーポリシーを掲載する必要があります。
また、個人情報を第三者提供する場合には、本人に同意してもらうことが必要になるので、個人情報を送信してもらう前に、プライバシーポリシーを表示し、同意ボックスなどでチェックしてもらう必要があります。
執筆者プロフィール : 中野秀俊
グローウィル国際法律事務所 代表弁護士、グローウィル社会保険労務士事務所 代表社労士、みらいチャレンジ株式会社 代表取締役、SAMURAI INNOVATIONPTE.Ltd(シンガポール法人) CEO。
早稲田大学政治経済学部を卒業。大学時代、システム開発・ウェブサービス事業を起業するも、取引先との契約上のトラブルが原因で事業を閉じることに。そこから一念発起し、弁護士を目指して司法試験を受験。司法試験に合格し、自身のIT企業経営者としての経験を活かし、IT・インターネット企業の法律問題に特化した弁護士として活動。特に、AI・IOT・Fintechなどの最先端法務については、専門的に対応できる日本有数の法律事務所となっている。