プライバシーポリシーは個人事業主やフリーランスに必要?必要な理由と書き方について
プライバシーポリシーというと、個人事業主やフリーランスの方は不要だと思っている方も
いるかもしれません。
実は、個人事業主、フリーランスでも、お客様から個人情報を受け取っている場合は必要です。
ではなぜ必要で、どのような内容を記載すればよいのでしょうか。
プライバシーポリシーが必要な理由と書き方について、お伝えしていきます。
プライバシーポリシーとは何か
近年、個人情報の保護に関する法律(いわゆる個人情報保護法)に基づいて、個人情報を取り扱う事業者
に対し、適切な情報収集・利用・管理をするよう義務づけており、個人事業主であっても利用指針を定める
義務があります。
よく耳にする「個人情報保護方針」の一つとして、プライバシーポリシーを置いているところが多いです。
プライバシーポリシーが必要である理由
上でお話したとおり、個人情報を取り扱う事業者は、プライバシーポリシー等で、利用目的などを定め、
公表する義務があります。(以下、参考条文)
第二十一条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057#Mp-At_32
しかし、この条文の通り、相手から個人情報を取得しない場合、プライバシーポリシーは必要ありません。
そして必ずしも公表する必要はなく、情報をいただいた相手に通知すれば問題ありません。
またここでいう「個人情報」の範囲は、事業によって大きく異なるので注意が必要です。
プライバシーポリシーを公表する必要がある場合
それでは、プライバシーポリシーを公表する必要があるのはどういうときでしょうか。
プライバシーポリシーを公表する必要がある場合、よくあるケースは以下の3点です。
- お客様情報などを取得・管理する場合
- WEB上で個人情報を取得する場合
- お客様に安心して利用していただきたい場合
まず、HPやSNSを通してお客様情報を取得する場合、氏名や生年月日などの問合せフォーム等
で個人情報を得る以外にも、Googleアナリティクスなどを設定している場合や、
位置情報、cookieを取得していると、HP等に来た時点で既に個人情報を取得しています。
(厳密にいうと個人関連情報にあたりますが、ここでは割愛します)
その際に、お客様に都度お知らせするのは大変ですし、管理も難しいため、
プライバシーポリシーとしてWEBページの分かりやすい場所に載せておくのが適切です。
また、昨今、個人情報は簡単に相手に渡せるようになり、その記録は企業が持っています。
今や漏洩リスクはどの企業にも存在するため、ユーザーは自分の個人情報が漏洩したり、
どう扱われているかが心配になる場合があると思います。
プライバシーポリシーを公表しておくと、ユーザーからも自身の情報について問合せしやすいので、
安心してサービスを利用してもらうことができます。
プライバシーポリシーの書き方のポイント
ではプライバシーポリシーが必要な場合、どのように書けばいいでしょうか。
雛形も多くWEB上に出回っていますが、ポイントが分からずに書くと不十分な内容となってしまいます。
「何が必須事項で、どのように書けばいいのか」を知っておくと、今後、取得する情報や
環境が変わった場合にも、対応ができますので確認してみて下さい。
法令で定められている必須事項
法令で、個人情報を取得する場合に、利用目的を伝える必要があることについては触れましたが、
取得したデータを保有・管理する場合、利用者がすぐアクセスできる場所に記載すべき事項が決まっています。
(以下参考条文の抜粋)
第三十二条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057#Mp-At_32
そのため、個人データを保有する場合は、プライバシーポリシー上で、以下の項目を記載しておく必要があります。
①全ての保有個人データの利用目的
利用目的は通知または公表しなければいけない義務となっており、変更した場合も通知が必要です。
また利用目的はざっくりとしたものではなく、出来る限り特定する必要があります。
個々のケースによりますが、ユーザーが理解・承諾できる内容を記載するのが良いです。
具体例:お問い合わせ内容への返信、イベント等の情報提供 など
②個人情報取扱事業者の情報
個人情報を取り扱う事業者の以下情報を記載する義務があります。
①事業者の氏名または名称、②住所、③法人の場合は代表者の氏名、④苦情の申出先
を記載します。事業者情報と問合先をまとめて掲載している企業も多いです。
③開示・訂正等・利用停止の請求に応じる手続きとその手数料
ユーザーから請求があった時は、その請求に対して応じる義務があります。
その場合の手続や対応について記載する必要があります。問合せ先、本人確認方法、流れなど、
事前に開示しておくことができれば記載しておきます。手続きについて詳細を開示できなくても、
対応する旨や手数料などの記載が必要です。
④取得した個人データを共同利用する旨
取得したデータをグループ企業などで共同利用する場合、その旨を記載します。記載事項としては、
①共同利用する旨、②共同して利用するデータの項目、③利用範囲、④利用目的、⑤当該個人データの管理
について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名、を記載しておく
必要があります。その範囲を超えて、共同利用しない旨も明記します。
また、共同利用しない場合はその旨を記載しましょう。
⑤第三者提供をしない旨
取得した個人データは、第三者提供は原則禁止です。そのため、第三者提供はしない旨を明記しておきます。
もし、第三者提供が必要な場合は、あらかじめ本人の同意を得ることが義務となっております。
委託先に情報を提供する場合は、この場合の第三者提供には当たらず、監督義務が発生します。
第三者提供の可能性がある場合は、専門家に相談することをおススメします。
⑥安全管理のために講じた措置
安全管理のために、基本方針、取扱規程を定めている旨、監査を実施していることなど、個人情報を管理する上
での取り決めを記載しておきます。ただし、機器の管理方法や、アクセスの認証方法など、個人データの安全管理
に支障をきたすことは記載しないようにします。どこまで記載するか分からない場合は専門家に相談してみて下さい。
記載しておくとよい項目
記載しておくと良い項目の一つとして、「プライバシーポリシーの改訂」が挙げられます。改訂の方法や見直しの
時期などを記載します。また、プライバシーポリシーには改定日を明記するようにします。
今後も個人情報保護についてのルールが変更された場合に、どの改訂に合わせて策定されているのかを確認
できると、ユーザーの安心感も高まります。
プライバシーポリシーを定める上での注意点
プライバシーポリシーは作成するだけでは定めたと言えません。
ユーザーに分かりやすく、伝わる必要がありますし、安全管理措置の中で、運用を見直す機会も必要です。
ここでは2点、注意すべき点を記載します。
掲載する場所
プライバシーポリシーですが、ユーザーがすぐ分かる・アクセスして確認できるところに掲載しなくては
意味がありません。そのため、ホームページのフッターの所にリンクを貼るなどの工夫が必要です。
なお、個人情報保護委員会のガイドラインにて、「公表」の定義は、以下の通りとされています。
事例1) 自社のホームページのトップページから1回程度の操作で到達できる場所への掲載
個人情報保護法ガイドライン(通則編)より
運用上注意していくこと
運用上の注意としては、①プライバシーポリシーを適宜見直し、改訂していく、②利用目的や業務上取得する
情報が出てきた場合は速やかにプライバシーポリシーに反映していく、③スタッフ・関係者へのプライバシー
ポリシーの共有・教育を日常から取り入れていくこと、が挙げられます。
見直し⇒改訂については、1年位のスパンで、ルールを決めておくと良いです。
改訂したら、通知することもお忘れなく。
法令が改正されたから改訂、ではなく、日常の業務の中で、個人情報をどう扱っていくかを、関係者で定期的に
見直す仕組みにしていくことが、適切なプライバシーポリシーを運用していくコツになります。
まとめ
いかがでしたか?
プライバシーポリシーが必要な理由、そしてその書き方について簡単にお伝えいたしました。
まだ作成していなかった方も、ぜひこの機会に作成してみて下さいね。
ご不明点等ございましたら、お気軽にお問合せくださいませ。
お読みいただき、ありがとうございました。
※分かりやすさを重視して記載しましたので、細かい点などは個々のケースによって異なります。
あらかじめご了承ください。
