プライバシーポリシー作成に雛形を利用する際の注意点|弁護士に依頼した場合の料金は?
全国20拠点以上!安心の全国対応
記事目次
2019年、採用大手のリクルートキャリアが、企業に学生の予測内定辞退率を提供するサービスにおいて、プライバシーポリシーの記載に漏れがあり、学生の個人情報を取得する同意が適切に得られておらず、問題になったニュースをご記憶の方もいらっしゃるのではないでしょうか。
本ケースをはじめ、プライバシーポリシーの内容に漏れや不備がある、テンプレートやひな型をそのまま利用しているなどの場合、内容の不正確性やサービスとの不適合さを指摘されるにとどまらず、個人情報に対する企業の意識の低さが問題になり、トラブルや炎上、場合によってはサービスの停止・廃止を余儀なくされる恐れもあります。
そこで今回は、プライバシーポリシーを作成する際の注意点として、雛形を利用する場合に特に注意すべきことや、弁護士に作成を依頼したりリーガルチェックを受けたりすることのメリット・デメリットについて、費用面を踏まえて解説します。
プライバシーポリシーとは何か?
「プライバシーポリシー」とは、個人情報などプライバシーに関する情報に関する会社の取扱方針を記した文書のことです。具体的には、どのような情報を収集し、どのように利用するのかといった方針を決めます。
会社によっては、複数のサービスを提供していても、プライバシーポリシーが1つしかないというところもあります。しかし、提供するサービスの内容によって、個人情報の収集方法や利用方法は異なるので、プライバシーポリシーは、サービスによって内容を変えるのが望ましいです。
なお、プライバシーポリシーと同様に、会社側が公表する方針として「利用規約」があります。両者は、会社が提供するサービスについての文書という点で共通するので、利用規約の中に、プライバシーポリシーを盛り込むことも可能です。ただ、プライバシーポリシーは、特に個人情報に特化して詳細な決まりを定めています。そのため、プライバシーポリシーを利用規約に含めると複雑化すること、また昨今は個人情報の取扱いに特に慎重さが求められることから、別個に規定されるのが通常です。
プライバシーポリシーの作成は義務なのか
プライバシーポリシーの作成は、義務ではありません。
しかし、平成27年の個人情報保護法の改正により「事業者が個人情報を取得した場合は、あらかじめ利用目的を公表している場合を除き、速やかに、利用目的を、本人に通知又は公表しなければならない。」と規定され(個人情報保護法第18条1項)、ほぼ全ての企業において、個人情報取得の際は、その都度利用目的を知らせるか、事前に公表することが求められるようになりました。
しかし、企業が個人情報を取得する度に、ユーザーに対して利用目的を通知・公表するのは煩雑で現実的ではありません。そこで、企業は、個人情報の取扱いについて「プライバシーポリシー」を定めておくことで、上記個人保護法の規定に従おうとしています。
また、個人情報の管理を徹底していることを対外的にアピールするため、日本情報経済社会推進協会(JIPDEC)が認定するプライバシーマーク(Pマーク)を取得する企業も少なくありません。プライバシーマークを取得するにはプライバシーポリシーの作成は不可欠なので、Pマーク取得の過程でプライバシーポリシーを作成している会社もあります。
プライバシーポリシーに書くべき10の記載事項
プライバシーポリシーは、 会社(事業主)が、どのような範囲で、どのような個人情報を収集し、どのような目的でその情報を利用するのかなどを明確に記載する必要があります。将来的なトラブルを防ぐために記載すべき主な項目について説明します。
1.個人情報の取り扱いに関する基本方針
個人情報の重要性を会社として認識し、法令を遵守することなど、個人情報の取扱いをする上での自社の基本方針を記載します。
2.取得する個人情報と取得する方法
企業がユーザーから直接取得する、氏名や生年月日、メールアドレスなどの個人情報のほか、システム上IPアドレスやCookie、ブラウザの種類などの情報を取得する旨も記載しておきましょう。
また、取得方法について個人情報保護法で「偽りその他不正の手段により個人情報を取得してはならない」とされているため(同法第17条1項)、法令に則って個人情報を取得することを記載しましょう。
3.個人情報の利用目的
個人情報の利用目的は、同法第18条1項で明らかにすることが求められている事項です。
個人情報の利用目的は、その種類によって異なるため、利用目的が異なる個人情報はそれぞれ記載しましょう。また、プライバシーポリシーに記載された利用目的以外で、個人情報を利用しないことも記載しましょう。
なお、利用目的の事後的な変更については、変更前の利用目的と関連性を有すると合理的に認められる場合に限り、認められています(同法第15条2項)。また、変更した際は、変更された利用目的について、本人に通知し、または公表しなければなりません(同法第18条3項)。
4.個人情報の管理
同法第20条では、企業が個人情報を取得した場合、漏えい事故などが起きないように適切に管理することが義務付けられています。そこで、プライバシーポリシーには、個人情報を安全に管理する旨を記載しておきます。
5.個人情報の第三者への提供
「個人情報の第三者提供」とは、個人情報を検索可能な状態でデータベース化して第三者に開示することを指します。
個人情報保護法によれば、個人情報データは、原則として本人の同意がなければ第三者に提供できません。例外的に本人の同意なく個人情報を第三者に提供できる条件として、個人情報データを第三者に提供すること、提供する内容と方法・目的を示すこと、本人の要求があれば提供を停止することを、本人に通知するか公表することが定められています(同法第23条2項)。また、平成27年の法改正により、本人の同意なく個人情報データを第三者に提供する場合は、個人情報保護委員会への届出が必要となりました。
6.個人情報の共同利用
取得した個人データを、グループ会社や業務提携先など一定の範囲で共同利用するためには、個人情報を共同利用することと、対象となる情報の内容と利用目的、共同利用者の範囲、管理責任者等の情報を、本人に通知し、または容易に知り得る状態にしておく必要があります。
7.個人情報の開示・訂正・利用停止など
個人情報保護法第27条で、企業は、本人から請求があったときは、保有している個人データの内容を本人に開示したり、間違ったデータの訂正に応じたりすることや、その方法を定めて公表しなければならないとされています。そのため、プライバシーポリシーには、個人データの開示や訂正の手続きの方法について記載しておきましょう。
8.個人情報に関する苦情の申し出先
個人情報保護法第27条1項4号、個人情報法施行令第8条1号に基づいて、個人情報の取扱いに関する苦情の申し出先について、企業は、本人が知り得る状態にしておくべきことが規定されています。プライバシーポリシーにも、企業の苦情窓口を記載しておきましょう。
9.セキュリティ
SSLを導入してウェブサイト経由で個人情報を得る場合は、その旨をプライバシーポリシーに記載することで、ユーザーの信頼感が高まります。
10.改定
プライバシーポリシー等、個人情報に関する取り扱い方針を改定するときは、その状況を明記しておきましょう。後々トラブルになった場合に、いつの段階のプライバシーポリシーが問題になっているか、一見して明らかにすることができます。
なお、上記に加えて、「個人情報取扱業者の氏名または名称」も記載する必要があります。
プライバシーポリシーのひな型・テンプレート
プライバシーポリシーは、「プライバシーポリシー」という名称に関わらず、「個人情報取扱方針」「個人情報保護方針」などと記載ことも少なくありません。内容は、企業が提供するアプリやECサイトの内容によっても変わりますが、一般的に次のような構成で作成されます。次のようなテンプレートをご参考の上、自社のサービスによって精査・調整してください。
===================
プライバシーポリシー(個人情報取扱方針/個人情報保護方針)
株式会社●●●●(以下「当社」といいます)は、当社が取得した個人情報の取扱いに関し、個人情報の保護に関する法律、個人情報保護に関するガイドライン等の指針、その他個人情報保護に関する関係法令を遵守します。
※サービス別のプライバシーポリシーを作成する場合は、「●●サービスについてのプライバシーポリシー」などと区別することも可能です。
プライバシーポリシーの適用範囲として「本プライバシーポリシーは、当社が行う各種サービスにおいて、個人情報もしくはそれに準ずる情報を取り扱う際に、当社が遵守する方針を示したものです。」などと付記してもよいでしょう。
1.取得する情報およびその取得方法、利用目的
当社が取得するユーザー情報は、取得方法に応じて以下のとおりとなります。
(1)ユーザーから直接取得する情報と取得方法
当社は、当社が提供するインターネットサイト(以下「本サイト」といいます)の運営に必要な範囲で、本サイトの利用者(以下「ユーザー」といいます)から、個人情報保護法にいう「個人情報」を指すものとし、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、住所、電話番号、連絡先その他の記述等により特定の個人を識別できる情報及び容貌、指紋、声紋にかかるデータ、及び健康保険証の保険者番号などの当該情報単体から特定の個人を識別できる情報(個人時期別情報)(以下「個人情報」といいます)を取得することがあります。
※ユーザーから直接取得する情報、ユーザーがアクセスする際に取得する技術情報、位置情報などの個別同意に基づく情報など、個人情報の取得方法が異なる場合はそれぞれ明記しておきましょう。
(2)情報の利用目的
当社は、取得した個人情報を以下に定める目的のために使用します。
※ここでは、商品・サービスの提供、利用料金の請求、ユーザーの本人確認など、個人情報の利用目的を記載します。
※利用目的の変更についても、予め規定に入れておいた方が良いでしょう。
2. 個人情報の管理
当社は、ユーザーから取得した個人情報の管理について、以下を徹底します。
(1)情報の正確性の確保
取得した個人情報については、常に正確かつ最新の情報となるよう努めます。
(2)安全管理措置
当社は、組織的な個人情報の管理については、社内規定による厳重な取扱方法を規定し、規定に基づいた取扱いと厳格な運用を徹底しています。
(3)個人情報管理の委託先の監督
個人情報の管理を外部委託する場合には、当社の規程に基づく委託先にのみ委託し適切に管理します。
(4)個人情報の保存期間と廃棄
取得した個人情報は、保存期間を設定し、保存期間終了後は廃棄します。
3.個人情報の第三者への提供
当社は、取得した個人情報を、第三者に提供することはありません。また、今後、第三者提供を行う場合は、提供する情報と目的を提示し、ユーザーの同意を得た場合のみ行います。
※現在個人情報の第三者提供を行っていない場合も、将来の可能性に備えて記載しておきましょう。
4.個人情報の共同利用
当社は、ユーザーの個人情報に関して、以下のとおり共同利用します。
※個人データを一定の範囲で共同で利用する場合、対象となる個人情報の内容と共同利用者の範囲と責任者、利用目的を記載しておきます。
5.個人情報の開示・訂正・利用停止
個人情報について、開示、訂正、利用停止等のお申し出があった場合には、本人の申し出であることを確認の上、当社所定の方法に基づき対応致します。具体的な方法は、個別にご案内しますので、下記受付窓口までお問い合わせください。
※開示請求などがあった場合、本人確認は必須条件なので記載しておきます。簡潔に記す場合は案内窓口を記載しておくなどして、ユーザーの要求に応じて、取得・保有する個人情報の開示・訂正・利用停止とそのための手続きに関する事項を明記しておきましょう。
6.お問い合わせ先
本サービス、個人情報の取扱いについては、以下の窓口にご連絡ください。
※苦情や問合せに対応する窓口について、問合せ可能な連絡先と連絡方法を記しておきます。
7.セキュリティ
当社は、ウェブサイト経由で、SSLによって個人情報を取得することがあります。
※ECサイトなどのサービスを提供し、サイトから個人情報を取得する場合に記載すべきですが、そうでない限りは不要です。
8.制定日、改定日
制定日 ●年●月●日
改定日 ●年●月●日
※いつ改定されたかを記載し、過去のプライバシーポリシーの閲覧も可能にすると、信頼感が高まります。
テンプレートを利用する際の記載事項の注意点
冒頭でも、リクルートキャリアが企業に学生の内定辞退率の情報を提供するサービスで、プライバシーポリシーの記載に漏れがあり、学生の個人情報を取得する同意が適切に得られていなかったニュースをご紹介しました。その他にも、Tカードの運営会社が捜査機関に会員情報を提供していたことが問題になった事例もあります。捜査機関の要請に基づいて、捜査協力と称してカード会員の個人情報を提供することは法律上問題はないのですが、プライバシーポリシーへの記載が不十分だったために、ユーザーの強い批判と不信感を招きました。
このように、プライバシーポリシーを作成する際は、自社のサービスにおいて、個人情報をどのように利用するか、第三者提供や共同利用についてどのような可能性があるかを踏まえる必要があります。
プライバシーポリシーのテンプレートは、どのようなサービスにも適用できる最低限度の内容を記したものにすぎません。テンプレートを利用する際は、特に以下の点に注意して、自社に合わせて追記等していくことが大切です。
- プライバシーポリシーの効力が及ぶ範囲
- 個人情報に関する「収集する情報の範囲」「収集方法(直接・間接)」「利用目的」
- 個人情報の管理について特に外部委託する場合の管理方法や保存期間
- 第三者利用の範囲と条件、ユーザーの同意を得ることの確認
- 個人情報の共同利用をする場合の範囲と条件
- 個人情報の開示や訂正などを求められた場合の手続き等
- 問合せ先や改定日などの情報
専門家に依頼した場合の料金相場
プライバシーポリシーは、弁護士だけでなく、行政書士も行うことができます。行政書士に依頼した場合の費用は、プライバシーポリシーのチェックのみで1万円、作成からだと約2~3万円が相場です。
一方、弁護士も法律事務のすべてを取り扱うことができる専門家として、プライバシーポリシーのチェック、作成を行うことができます。弁護士にプライバシーポリシーについて依頼した場合の費用は、チェックだと1~2万円、作成だと3万円~というところが多いようです。
なお、プライバシーポリシーは、その他のウェブサービスや、サイトやスマホアプリの「利用規約」とセットで作成されることが多く、サービスの内容によっては、「特定商取引法の表記」も作成されることも少なくありません。これらの関連する規約等をあわせて作成の依頼をした場合の費用は、合計で20~30万というのが相場の目安になります。
プライバシーポリシーの内容やボリューム、想定しうる問題の範囲によっても、いずれも料金は異なりますが、行政書士でも弁護士でも、金額に大差はないのが実情です。ただ、行政書士は官公庁に提出する書類の作成や提出手続の代理、事実証明及び契約書の作成を業務とし、紛争やトラブルになった場合の代理人になることはできないので注意しましょう。
弁護士に相談するメリット・デメリット
プライバシーポリシーの作成を弁護士に依頼するメリットは、自社のサービスなどを把握した適切な内容で作成してもらえることです。
上記のリクルートやTカードの会員情報の事例のように、プライバシーポリシーの作成に漏れがあると、その後、大きなトラブルにも発展しかねません。弁護士に依頼することで、こうした過去の事例を踏まえて、漏れのないプライバシーポリシーを作成してもらうことができます。また、万が一、プライバシーポリシーの内容に関してトラブルや紛争になった場合でも、弁護士であれば、会社の代理人として紛争の対応ができるので、安心して任せられます。その点が、行政書士等他の士業の専門家と異なるメリットといえるでしょう。
反面、弁護士にプライバシーポリシーの作成を依頼するデメリットとしては、作成するプライバシーポリシーの内容によっては、費用がかかる可能性がある点です。しかし、プライバシーポリシーの作成を弁護士に依頼した場合の費用が著しく高額になるケースは少ないです。そのため、避けられるリスクとの比較で、弁護士に依頼することを検討する価値は十分にあるでしょう。
まずは、企業法務を扱う弁護士事務所の法律相談を利用し、見積もりを出してもらって検討することをおすすめします。
まとめ
今回は、プライバシーポリシーの作成について、ひな型を利用した場合の注意点や、弁護士に依頼した場合の費用の面等を解説しました。昨今、個人情報の慎重な取扱いの要請が高まっており、ユーザーからも、個人情報の取扱いについて厳しい目が向けられています。それだけに、ネットに落ちているプライバシーポリシーのひな型・テンプレートを安易にそのまま利用していると、思わぬトラブルにつながりかねません。
また、個人情報の取り扱いについてわかりやすく示すことで、ユーザーの信頼確保につながる部分もあるでしょう。
東京スタートアップ法律事務所では、豊富な企業法務の経験に基づいて、お客様のニーズに合ったプライバシーポリシーを作成しております。また、プライバシーポリシーの作成のみならず、利用規約や契約書など、サービス全般に関わるサポートが可能です。プライバシーポリシーをはじめとする相談等がございましたら、お気軽にご連絡いただければと思います。
- 得意分野
- 一般民事
- プロフィール
- 名古屋大学法学部法律政治学科 卒業 名古屋大学法科大学院 修了 弁護士登録 都内法律事務所 勤務 東京スタートアップ法律事務所 入所