ベンチャー法務の部屋

令和4年4月1日施行改正個人情報保護法を踏まえたプライバシーポリシーの具体的な改定ポイント6選

1.プライバシーポリシーとは 

プライバシーポリシー(個人情報保護方針)とは、個人情報の取扱いについて事業者が実施している方針・措置を示すものです。個人情報保護法上、プライバシーポリシーの設置自体が義務付けられているわけではありませんが、個人情報保護上の義務を効率よく遵守し、また遵守状況を公表してユーザーの安心感を得るために、多くの企業がプライバシーポリシーを策定・公表しています。

2.一般的なプライバシーポリシーの構成と改正ポイント

プライバシーポリシーは、下表のような内容から構成されることが一般的です(※1)。下表では、このような一般的なプライバシーポリシーの構成に対応させて、令和4年4月1日に施行された個人情報保護法の改正を踏まえたプライバシーポリシーの主要な改定ポイントを、赤字でまとめています。

なお、令和4年4月1日から施行される改正には、厳密には、「個人情報の保護に関する法律等の一部を改正する法律」による改正と、「デジタル社会の形成を図るための関係法律の整備に関する法律」による改正がありますが、本稿では両者を特に区別せずに説明します。以下、「法」は個人情報保護法、「規則」は個人情報の保護に関する法律施行規則、「政令」は個人情報の保護に関する法律施行令を意味します。また、法・規則・政令の条文番号は、令和4年4月1日時点の条文番号とします。

【一般的なプライバシーポリシーの構成と改正ポイント】

1)会社の名称の基本情報等

―会社基本情報を記載します。

(改正ポイント①)会社の住所及び代表者名を追記しましょう。

2)個人情報保護法等の遵守

―関係法令等を遵守して適正に個人情報/個人データ等を取り扱う旨を記載します。

3)個人情報の取得・利用

―利用目的の公表・通知等を行った上で、適法に個人情報を取得すること等を記載します。

(4)個人情報の利用目的

―個人情報の利用目的を具体的に特定して列挙した上で、利用目的の範囲内で個人情報/個人データを取り扱うこと等を記載します。

(改正ポイント②)本人から得た情報から、本人に関する行動・関心等の情報を分析する場合(Cookieを活用した広告を利用している場合等)は、このような取扱いについて追記しましょう。

(5)個人情報の共同利用

―グループ会社間等で個人データを共同利用する場合には、共同利用者等を記載します。

(改正ポイント③)共同利用する個人データの管理責任者の住所、代表者名を追記しましょう。

(6)個人情報の第三者提供

―個人データを第三者に提供するのはどのような場合か等を記載します。

(改正ポイント④)プライバシーポリシーに対する同意をもって、外国にある第三者に個人データを提供するために原則として必要な「本人の同意」を取得する場合、同意取得の前提として提供しなければならない情報(後述します。)を、プライバシーポリシーに追記しましょう。

7)安全管理措置に関する事項

 ―保有個人データの安全管理(セキュリティ)のために実施している措置等を記載します。

(改正ポイント⑤)「安全管理措置に関する事項」という項目を新設して、安全管理のために実施している措置を追記しましょう。

(8)個人情報に関連する請求・質問・苦情等の受付方法(お問い合わせ窓口)

(改正ポイント⑥)保有個人データの利用停止・消去等の要件や、開示請求の対象となる情報、開示の方法について記載している場合は、改正を踏まえて表現を修正する必要がないか検討しましょう。

3.各改正ポイントの解説

1)(改正ポイント) 「会社の名称の基本情報等」

改正により、個人情報取扱事業者が本人の知り得る状態に置く(本人の求めに応じて遅滞なく回答する場合を含む。)べき事項として、個人情報取扱事業者の氏名又は名称に加えて、住所及び代表者氏名が追加されました(法第32条第1項第1号)。これらの事項を、プライバシーポリシーへの記載をもって「本人の知り得る状態に置く」場合、プライバシーポリシーに、会社の住所及び代表者氏名を追記しましょう。もっとも、プライバシーポリシーとは別に会社概要ページを設けてこれらの情報を掲載したり、プライバシーポリシーに会社概要ページへのリンクを貼り付けたりすることで「本人の知り得る状態に置く」ことも可能です(※2)。また、「本人の求めに応じて遅滞なく回答」することによって「本人の知り得る状態に置く」こともできるので、この意味でも、必ずプライバシーポリシーに記載しなければならないわけではありません。

(2) (改正ポイント) 「個人情報の利用目的」

個人情報保護委員会は、個人情報保護法の内容を補足するために、各種のガイドラインを公表しており、これらのガイドラインも実務の重要な指標となっています。これらのガイドラインも、今回の個人情報保護法の改正にあわせて改正されました。そして、改正後の個人情報保護法ガイドライン(通則編)「3-1-1利用目的の特定(法第17条第1項関係)」では、個人情報の利用目的の特定について、近年のCookie等を駆使したマーケティング活動の発達に鑑みて、以下の内容が追加されました。

例えば、本人から得た情報から、本人に関する行動・関心等の情報を分析する 場合、個人情報取扱事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない。

 【本人から得た情報から、行動・関心等の情報を分析する場合に具体的に利用目的を特定している事例】

事例 1)「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」

事例 2)「取得した行動履歴等の情報を分析し、信用スコアを算出した上で、 当該スコアを第三者へ提供いたします。」

閲覧履歴や購買履歴等の情報を広告等に利用している場合には、上記事例を参照して、その旨を利用目的に追記するようにしましょう。

(3) (改正ポイント) 「個人情報の共同利用」

個人データをグループ会社間等で(本人の同意を得ずに)共同利用するにあたり、あらかじめ本人に通知し、または本人が容易に知り得る状態に置くべき事項の1つとして、個人データの管理責任者の氏名・名称に加えて、改正により、同責任者の住所と(同責任者が法人の場合はその)代表者氏名が追加されました(法第27条第5項第3号)。

個人データを共同利用する場合には、個人データの管理責任者の住所と代表者氏名もプライバシーポリシーに追記しましょう。

(4) (改正ポイント) 「個人情報の第三者提供」

 個人データを外国(EU及び英国を除きます。)にある第三者に提供するためには、原則として「本人の同意」が必要とされるところ、改正により、かかる同意を取得するために、本人に対して以下の参考情報を提供しなければならなくなりました(法第28条第2項,規則第17条第2項)。プライバシーポリシーへの同意をもって「本人の同意」を取得する場合は、以下の事項をプライバシーポリシーに追記しましょう。

【同意を取得するために本人に提供すべき情報】

  • 当該外国の名称(※3)
  • 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
  • 当該第三者が講ずる個人情報の保護のための措置に関する情報(※4)

 具体的な記載内容については、提供先の国にもよるため、個人情報保護委員会が提供する情報を参照しつつ、弁護士等の専門家にご相談いただくことをお勧めいたします。

(5) (改正ポイント⑤)「安全管理措置に関する事項」

 改正により、「保有個人データの安全管理のために講じた措置」(以下「安全管理措置」といいます。)が、新たに、本人の知り得る状態に置く(本人の求めに応じて遅滞なく回答する場合を含む。)べき事項として追加されました(法第32条第1項第4号、政令第10条第1項)。

  したがって、プライバシーポリシーへの記載をもって、安全管理措置を「本人の知り得る状態に置く」場合には、安全管理措置に関する事項を、プライバシーポリシーに新たに盛り込みましょう。安全管理措置の記載例については、個人情報保護法ガイドライン通則編「3-8-1保有個人データに関する事項の公表等(法第 32 条関係)の」【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】の記載等が参考になるでしょう。安全管理措置に関する事項についても、「本人の求めに応じて遅滞なく回答す」れば足りるため、プライバシーポリシーには概括的な内容のみ記載して、詳細については本人の求めに応じて遅滞なく回答するといった対応も考えられるでしょう(※5)。

(6) (改正ポイント⑥)「個人情報に関連する請求・質問・苦情等の受付方法(お問い合わせ窓口)」

個人情報保護法の改正により、保有個人データの利用停止・消去等の要件が緩和されたほか(法第35条第5項)、保有個人データの開示対象に第三者提供記録が追加され(法第33条第5項)、開示方法も本人が指定できるようになる(第33条第2項)等の変更がありました。したがって、「(8)個人情報に関連する請求・質問・苦情等の受付方法(お問い合わせ窓口)」といった項目の中で、利用停止・消去等の要件や、開示対象となる情報の種類、開示の方法といった詳細な内容まで記載している場合、改正に合わせて文言を修正しなければならない可能性があります。

(7)  その他のポイント

 上記のほか、会社の事業活動の内容や、プライバシーポリシーの記載ぶりによっては、以下のような事項についても修正を行う必要が生じる可能性があります。

  • 個人関連情報の第三者提供
メディア企業からCookie等の情報(当該メディア企業からは個人が識別できず当該メディア企業にとっては「個人データ」に該当しない情報)を受け取り、かつ、受け取った情報を(自社で他の情報と照合する等して個人を識別可能な状態で)「個人データ」として取り扱っている場合は、当該メディア企業から自社への情報提供について、本人の同意を得ておく必要があります(法第31条第1項)。かかる本人の同意をプライバシーポリシーへの同意をもって取得する場合には、上記のような情報(個人情報保護法上、「個人関連情報」にあたります。)の提供を受けることについて、プライバシーポリシーに記載しておく必要があります。
  • 学術研究機関等に関する例外事由の追記
原則として、個人データは、本人の同意を得なければ第三者に提供できませんが、例外的に本人の同意を得なくても提供可能な事由が個人関連情報上、列挙されています(法第27条第1項第1号~第7号)。改正により、このような例外事由として、学術研究機関等が当該個人データを学術研究目的で提供する場合や、学術研究目的で取り扱う必要がある学術研究機関等に個人データを提供する場合が追加されました(法第27条第1項第6号・第7号)。他にも、例外的に本人の同意を得ずに個人情報の利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる事由や、例外的に本人の同意を得ずに要配慮個人情報を取得できる事由にも、学術研究機関等に関する記載が追記されました(法第18条第3項第5号・第6号、法第20条2項第5号・第6号)。これらの例外事由について、改正前の個人情報保護法が列挙していた事由をそのままプライバシーポリシーに記載している場合は、改正を踏まえて記載を調整しなければならない可能性があります。

4.まとめ

本稿では、個人情報保護法改正に伴う、典型的・一般的なプライバシーポリシーの改定ポイントをお伝えしました。もっとも、改定のポイントは、個々の企業の活動状況や、現在のプライバシーポリシーの記載ぶりによって異なり、本稿でご紹介していない事項について修正の必要が生じる可能性も大いにあります。

当事務所では、プライバシーポリシー改定のご依頼や、個人情報保護法の改正に関するリーガルアドバイスも数多く取り扱っています。お気軽にお問い合わせからご連絡ください。

(※1)会社の個人情報の取扱い状況や方針によって、プライバシーポリシーに記載すべき事項は異なるので、あくまでも一般的な例としてご参照ください。

(※2)個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)の一部を改正する告示案」に関する意見募集結果(別紙2-1)」(令和3年8月2日)(以下「パブコメ通則編」といいます。)意見番号446。

(※3)「当該外国の名称」については、特定できない場合には、これに代えて、特定できない旨及びその理由等を情報提供することでも足りるものとされています(法第28条第2項,規則第17条第3項)。

(※4)「当該第三者が講ずる個人情報の保護のための措置に関する情報」については、情報提供できない場合には、これに代えて、特定できない旨及びその理由について情報提供することでも足りるものとされています(法第28条第2項,規則第17条第4項)

(※5)パブコメ通則編意見番号456

執筆者
崔 加奈
アソシエイト/弁護士

お問い合わせ
メールでお問い合わせ
お電話でお問い合わせ
TEL.06-6136-7526(代表)
電話/平日 9時~17時30分
(土曜・日曜・祝日、年末年始を除く)
page top