企業サイトに掲載するプライバシーポリシーを甘くみない

企業サイトを作成するときは、トップページの分かりやすい場所(通常は、最上段もたは最下段)に表示します。中小企業者から企業サイト開設の相談を受けると、このプライバシーポリシーを他の企業サイトのものを流用すればよいと甘く考えている人がいます。

プライバシーポリシー (privacy policy) は、 その企業が収集した個人情報をどう扱うのか(保護するのか、それとも一定条件の元に利用するのか)などを、企業の経営者が定めた規範のことです。個人情報保護方針などともいいます。

プライバシーポリシーの作成は企業の義務

プライバシーポリシーの作成は、企業の義務といってもよいものです。

企業が個人情報を取得するときは、個人情報の利用目的を公表するか、または、本人に伝えることが義務付けられています(個人情報保護法第18条)

そのため、個人情報の利用目的を公表したり、個人情報を収集した全員に対して説明するためには、文章、つまりプライバシーポリシーとしてまとめておく必要があります。

企業が個人データを保有しているときは、本人から請求があったときに保有している個人データの内容を本人に開示したり、個人データに間違いが見つかったときに訂正に応じたりするための手続きを定めて、公表することが義務付けられています(個人情報保護法第27条)

企業であれば、従業員や顧客の個人情報をデータや名簿で管理していることが通常ですから、個人データを保有していない会社というのはまずありません。

そして、個人データの開示や訂正の手続きを定めて公表するためには、その手続きを文章化してプライバシーポリシーとしてまとめておくことが必要になるのです。

プライバシーポリシーを企業サイトに掲載すること自体は、義務ではありませんが、掲載しないのであれば、別の方法で個人情報の利用目的などを本人に伝える必要があります。

個人情報の利用目的や開示・訂正手続きなどは企業ごとに異なるものですから、他社のプライバシーポリシーを流用してそのまま使うことなんてできません。

プライバシーポリシーの記載事項

プライバシーポリシーへ記載する項目は、概ね次のとおりです。

  • 個人情報取り扱いに関する基本方針
  • 個人情報の定義
  • 個人情報の取得方法
  • 個人情報の利用目的
  • 個人情報の管理方法
  • 個人データの共同利用について
  • 個人データの第三者提供について
  • 個人データの開示、訂正等の手続きについて
  • 個人情報の取扱いに関する相談や苦情の連絡先

なお、 EUのGDPRGeneral Data Protection Regulation:一般データ保護規則) に対応するため、Cookieや通信ログの扱いについて記載する場合もあります。