プライバシーポリシーとは?
作り方の7つのポイントを
分かりやすく解説!

この記事のまとめ

プライバシーポリシーを作成するときに気を付けるべき7つのポイントを解説!!

この記事では、プライバシーポリシーを作成する初心者の方にむけて、ポイントを分かりやすくご紹介します。
ポイントは、次の7つです。

ポイント1│個人情報を定義しよう
ポイント2│利用目的は具体的に明示しよう
ポイント3│個人情報を第三者に提供する可能性があれば明記しよう
ポイント4│個人情報を共同利用する可能性があれば明記しよう
ポイント5│本人からの開示請求等の対応方法を明記しよう
ポイント6│ウェブサイトのトップページからすぐに見れる場所に置いておこう
ポイント7|個人情報を仮名加工・匿名加工する

※この記事では、法令名を次のように記載しています。

  • 個人情報保護法…個人情報の保護に関する法律
  • 個人情報保護法施行令…個人情報の保護に関する法律施行令
  • 個人情報保護法施行規則…個人情報の保護に関する法律施行規則

会社のプライバシーポリシーを作ってくれ、と言われたのですが、どうやって作ればいいのでしょうか…。必ず書かないといけないことなどが、あるのでしょうか?

会社のプライバシーポリシーをしっかりと作っておくことは、非常に大切ですね。
作成するときのポイントをみていきましょう!

※この記事は、2022年6月22日時点の法令等に基づいて作成されています。

プライバシーポリシー(個人情報保護方針)とは?意味を解説

そもそも、「プライバシーポリシー」という言葉が法律に規定されているわけではありません。
一般に、「プライバシーポリシー」とは、特定のユーザー(個人)を識別することができる情報である「個人情報」、又はその情報に加えて位置情報や購買情報などのユーザーの行動・状態に関する情報である「パーソナルデータ」の取扱い方針(ポリシー)を定めた文書のことを指します。

プライバシーポリシーの作成は義務?

プライバシーポリシーを作成しておく意味はなんですか?

個人情報保護法は、事業者がユーザーから個人情報を取得し、また利用する場合には、法律で定める事項についてユーザーへ公表などすることを義務付けています。そのため、会社ではプライバシーポリシーを作成して、個人情報の取扱いを公表することが一般的です。

個人情報保護法は、個人情報の取扱いに関し、「利用目的」、「第三者提供」、「共同利用」などについて決まりを定めています。特に、事業者がユーザーから個人情報を取得し、また利用等をする場合には、法律で定める事項について個人へ通知、公表などすることを義務づけています(個人情報保護法21条1項)。そのため、事業者は、ユーザーから個人情報を取得し、また利用等をする際には、プライバシーポリシーを作成し、法律で定める事項を公表などする必要があります。

(取得に際しての利用目的の通知等)
第21条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

「個人情報の保護に関する法律」– e-Gov法令検索 – 電子政府の総合窓口e-Gov イーガブ

プライバシーポリシーと利用規約の違いとは

プライバシーポリシー以外にも、サービスを提供する事業者がユーザー向けに作成・公表するものとして「利用規約」があります。

利用規約は、サービスの利用に関して事業者・利用者間に適用されるルールを定めたものです。

利用規約に定められることが多い事項

✅ サービスの内容
✅ サービスの利用料金
✅ サービス利用時の遵守事項
✅ 利用規約の変更手続
✅ 損害賠償
など

利用規約は民法上の「定型約款」に該当します。事業者が利用者に対してあらかじめ表示した場合などには、契約内容の一部として事業者・利用者の双方を拘束します(民法548条の2第1項)。

これに対してプライバシーポリシーは、個人情報等の取扱いに関して、事業者が守るべきルールを自主的に定めたものです。プライバシーポリシー自体に法的拘束力はなく、また利用者側がプライバシーポリシーを遵守する必要はありません。

プライバシーポリシーを作成するときに気を付けるべき
7つのポイント

プライバシーポリシーを作成する際に気を付けるべきポイントを教えてください。

特に気を付けるべきポイントを7つ説明しますね。一緒にみていきましょう。

プライバシーポリシーを作成するときに気を付けるべき気を付けるポイント(7つ)

ポイント1│個人情報を定義しよう
ポイント2│利用目的は具体的に明示しよう
ポイント3│個人情報を第三者に提供する可能性があれば明記しよう
ポイント4│個人情報を共同利用する可能性があれば明記しよう
ポイント5│本人からの開示請求の対応方法を明記しよう
ポイント6│ウェブサイトのトップページからすぐに見れる場所に置いておこう
ポイント7│個人情報を匿名加工する

ポイント1│個人情報を定義しよう

まず、「個人情報」を定義する必要があります。この点、個人情報保護法には、「個人情報」の定義がありますので(個人情報保護法2条1項)、この定義をプライバシーポリシーに記載すれば最低限問題ありません。

(定義)
第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
(1)当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
(2)個人識別符号が含まれるもの

「個人情報の保護に関する法律」– e-Gov法令検索 – 電子政府の総合窓口e-Gov イーガブ

プライバシーポリシーでは、以下のような記載が考えられます。

記載例

(個人情報)
「個人情報」とは、個人情報の保護に関する法律(平成15年法律第57号、以下「個人情報保護法」といいます。)に定義される「個人情報」を指します。

個人情報保護法の定義によれば、「特定の個人を識別できる情報」のみが「個人情報」となります。具体的には以下のような情報が考えられます。

個人情報に該当する事例

✅  本人の氏名
✅  生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報
✅  防犯カメラに記録された情報等本人が判別できる映像情報
✅  人の氏名が含まれる等の理由により、特定の個人を識別できる音声録音情報
✅  特定の個人を識別できるメールアドレス
✅  個人情報を取得後に当該情報に付加された個人に関する情報(取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、又は照合された結果、生存する特定の個人を識別できる場合は、その時点で個人情報に該当する。)
✅  官報、電話帳、職員録、法定開示書類(有価証券報告書等)、新聞、ホームページ、SNS(ソーシャル・ネットワーク・サービス)等で公にされている特定の個人を識別できる情報

プライバシーポリシーには、「個人情報」と「パーソナルデータ」に関する取扱いを定めることもあるようですが、「パーソナルデータ」については定めなくても良いでしょうか。

個人情報保護法は、「個人情報」に関する規制ですから、「パーソナルデータ」に関しては必ずしも定める必要はありません。もっとも、最近ではプライバシーポリシーの対象として、「パーソナルデータ」を含む場合も多いようですね。

パーソナルデータ」については法律で定められていません。ここでは、「パーソナルデータ」を位置情報や通信履歴などのユーザーの行動・状態に関する情報とします。上記のとおり、単なる位置情報や通信履歴などの情報は、必ずしも特定の個人を識別できる情報ではないため、「個人情報」にはあたりません。

もっとも、ユーザーによっては、個人は特定されていなくても、通信履歴や位置情報などを見られると不快な思いをする人もいるでしょう。また、パーソナルデータが個人情報と紐づいた場合などに個人のプライバシー侵害の問題が生じえます。

こういった情報までプライバシーポリシーで定義する「個人情報」に含めた上で、取扱いを定めることも可能です。具体的には以下のような記載が考えられます。

記載例

(個人情報)
「個人情報」とは、ユーザーの識別に係る情報、通信サービス上の行動履歴、その他ユーザー又はユーザーの 端末に関連して生成又は蓄積された情報であって、当社が収集するものを意味するものとします。

ポイント2│利用目的は具体的に記載しよう

個人情報保護法は、事業者が個人情報を取得し、取り扱う場合には、その利用目的をできる限り特定し、本人に通知又は公表することを定めています(個人情報保護法17条1項、21条1項)。

そして、事業者は、あらかじめ本人の同意を得ない限り、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱うこともできません(個人情報保護法18条1項)。

そのため、プライバシーポリシーにおいても、利用目的を特定し、その利用目的の達成に必要な範囲内で個人情報を取り扱う必要があります。

(利用目的の特定)
第17条  個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

(利用目的による制限)
第18条  個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

(取得に際しての利用目的の通知等)
第21条  個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

「個人情報の保護に関する法律」– e-Gov法令検索 – 電子政府の総合窓口e-Gov イーガブ

利用目的を「できる限り特定」とありますが、どのくらい特定すれば良いのでしょうか。

この利用目的については、会社の事業によって個別に判断することが必要ですが、かなり具体的に特定することが求められている点に注意が必要ですよ。

この点、個人情報保護委員会が作成したガイドラインに次のような記載があります。

個人情報取扱事業者は、個人情報を取り扱うに当たっては、利用目的をできる限り具体的に特定しなければならないが、利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい。

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月発行)

上記のガイドラインに従えば、利用目的については、「当社の○○事業における△△」のように、

①利用する事業者
②業種
③利用態様によって特定する方法

を記載するのが一般的とされます。なお、事業の内容などによって、①利用する事業者、②業種がユーザーにとって明らかな場合にはそれらは省略することも可能とされます。

この点、以下のような記載では、利用目的を具体的に特定していないと考えられます。

利用目的を具体的に特定していないとされる例

✅  事業活動に用いるため
✅  マーケティング活動に用いるため
✅  お客様のサービスの向上のため

利用目的を具体的に特定しているといえるためには、以下のようなレベルの記載が必要です。

利用目的を具体的に特定しているとされる例

✅  ○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのため
✅  給与計算処理サービス、あて名印刷サービス、伝票印刷・発送サービス等の情報処理サービスを行うため
✅  臨床情報や試料を用いた医学系研究を実施する場合、「精神疾患」「がん」など大まかな疾病の括りと用途として「その疾病ならびに治療方法の研究及び開発ならびにこれに伴う海外事業者及び行政機関への提供」のため

また、金融庁が作成した「金融分野ガイドライン」においては、利用目的を具体的に特定しているとした例として以下のような記載をあげています。

金融分野ガイドライン上、利用目的を具体的に特定しているとされる例

✅  当社の預金の受入れ
✅  当社の与信判断・与信後の管理
✅  当社の保険の引受け、保険金・給付金の支払い
✅  当社又は関連会社・提携会社の金融商品・サービスの販売・勧誘
✅  当社又は関連会社・提携会社の保険の募集
✅  当社内部における市場調査及び金融商品・サービスの開発・研究
✅  特定の金融商品・サービスの購入に際しての資格の確認

引用元│金融庁「金融分野における個人情報保護に関するガイドライン」(平成28年11月)

このような記載例に従って、利用目的を具体的に特定する必要があります。

ポイント3│個人情報を第三者に提供する可能性があれば明記しよう

個人情報保護法は、取得した個人情報を第三者に提供する際には、原則として本人から同意を得ることを求めています(個人情報保護法27条1項)。そのため、個人情報を第三者に提供する場合はプライバシーポリシーにおいてその旨を明記し、プライバシーポリシーに対してユーザーに同意してもらう必要があります。

なお、個人情報保護法27条1項にいう「個人データ」とは、データベース化された個人情報を指します(個人情報保護法16条3項)。

(第三者提供の制限)
第27条  個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

「個人情報の保護に関する法律」– e-Gov法令検索 – 電子政府の総合窓口e-Gov イーガブ

具体的なプライバシーポリシーの記載例としては、以下のようなものが考えられます。

記載例

(第三者提供の制限)
当社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供しません。
1 個人データを提供する第三者
●●株式会社
2 提供を受けた第三者における利用目的
●●のため
3 第三者に提供される情報の内容
氏名、住所、●●

なお、第三者提供を行う場合には、トレーサビリティ(追跡可能性)の確保のため、第三者提供に関する記録の作成・保存義務も負うこととなります(個人情報保護法29条)。具体的な方法については、個人情報保護委員会が作成する「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」をご参照ください。

また、個人情報保護法では「オプトアウト」と呼ばれる、一定の要件を充たす代わりに本人から明示的な同意を得ずに個人データを第三者提供できる手続を定めています。

このオプトアウトによる第三者提供を採用する場合、事業者は、本人の求めに応じて個人データの提供を停止し、個人情報保護委員会規則に定める事項を通知又は本人が容易に知りうる状態に置き、さらに個人情報保護委員会へ届出を行う義務を負います(個人情報保護法27条2項、3項、4項)。

ポイント4│共同利用する可能性があれば明記しよう

個人データをグループ会社などの間で共同して利用する場合にも同意を得る必要がありますか。

個人情報保護法には、第三者提供の例外として本人の同意を得ずに利用できる場合が列挙されていますが、その1つとして共同利用する場合が挙げられていますよ。

個人情報保護法には、本人の同意を得ずに個人情報を第三者に提供して利用することができる場合が定められています。

(第三者提供の制限)
第27条  個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5)当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(6)当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。
(7)当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
2~4  略
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
(1)個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
(2)合併その他の事由による事業の承継に伴って個人データが提供される場合
(3)特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

「個人情報の保護に関する法律」– e-Gov法令検索 – 電子政府の総合窓口e-Gov イーガブ

単に第三者へ個人データを提供する場合とは別に、個人データをグループ会社などの間で共同して利用する場合には、一定の事項をプライバシーポリシーに記載して本人の知りうる状態におくことにより、本人から同意を得ずに利用することできます(個人情報保護法27条5項3号)。

また、記載が必要な一定の事項とは、以下の事項を指します。

共同利用する際の記載事項

✅  共同して利用されることがある旨
✅  共同して利用される個人データの項目
✅  共同して利用する者の範囲
✅  利用する者の利用目的
✅  当該個人データの管理について責任を有する者の氏名又は名称・住所(法人の場合は代表者の氏名も)

具体的には、以下のような記載が考えられます。

記載例

(個人データの共同利用)
当社は、ユーザーの個人データを以下とおり当社のグループ企業と共同して利用することがあります。
1. 共同して利用される個人データの項目
氏名、住所、電話番号、年齢、商品購入履歴
2. 共同して利用するもの範囲
○○株式会社及びその子会社・関連会社
3. 利用する者の利用目的
当社のグループ企業の商品・サービスをお知らせするため
4. 当該個人データの管理について責任を有する者の氏名又は名称・住所
○○株式会社
東京都○○
個人情報取扱責任者 ○○

ちなみに、通販サービス等において、宅配事業者へ配送委託する場合は、宅配事業者に名前や住所等の個人データを提供する必要が生じます。

個人情報取扱事業者が利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託する場合は、本人の同意を得ることなく、委託先へ個人データを提供することも認められます(個人情報保護法27条5項1号)。
このような委託に伴う第三者への個人データの提供は、個人情報保護法上、プライバシーポリシーにその旨を明示する必要はありませんが、「個人データを適切に取り扱っている」ということを示す意味で、プライバシーポリシーに記載する会社も多いです。

ポイント5│本人からの開示請求等の対応方法を明記しよう

個人情報保護法は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態においておく義務を事業者に課しています(個人情報保護法32条1項)。

なお、「保有個人データ」とは、「データベース化された個人情報のうち、以下のいずれかに該当しないもの」を指します(個人情報保護法16条4項)。

・当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
・当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
・当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
・当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの

この点、事業者が個人情報を取得している場合には、当該個人情報は保有個人データに該当することが多いです。

本人の知り得る状態においておく必要がある事項

✅  当該個人情報取扱事業者の氏名又は名称・住所(法人の場合は代表者の氏名も) (32条1項1号)
✅  全ての保有個人データの利用目的(利用目的の本人に対する通知・公表義務を負わない場合を除く) (32条1項2号)
✅  保有個人データの利用目的の通知の求め又は開示・訂正等・利用停止・第三者提供停止の請求に応じる手続及びその手数料の額(32条1項3号)
✅  保有個人データの安全管理のために講じた措置(本人の知り得る状態に置くことにより、安全管理に支障を及ぼすおそれがあるものを除く)(32条1項4号、施行令10条1号)
✅  保有個人データの取扱に関する苦情の申出先 (32条1項4号、施行令10条2号)
✅  認定個人情報保護団体の対象事業者である場合は、当該認定個人情報保護団体の名称及び苦情の解決の申出先(32条1項4号、施行令10条3号)

個人情報保護法は、本人からの保有個人データの開示、訂正、利用停止等の請求に対応する義務を事業者に課しています(個人情報保護法33条、34条、35条)。

開示等の請求については、請求に応じる手続(受け付ける方法)を本人に公表する(「本人の知り得る状態」に置いておく)必要があります(個人情報保護法32条1項3号)。事業者側としても、本人からの請求であることを確実にするため、また手数料を回収するためにも、請求に応じる手続を明確に定めておくのが望ましいです。

また、個人情報保護法施行令は、開示請求等の手続において、以下の事項を定めることができるとしています(個人情報保護法施行令12条)。

開示請求等を受け付ける方法

✅  開示等の請求等の申出先
✅  開示等の請求等に際して提出すべき書面の様式、その他開示等の請求等の方式
✅  開示等の請求等をする者が本人又はその代理人であることの確認の方法
✅  開示等をする際に徴収する手数料の徴収方法

プライバシーポリシーでは、以下のような記載が考えられます。

記載例

(個人データの開示)
当社は、ユーザーから、個人情報保護法の定めに基づき個人データの開示を求められたときは、ユーザーご本人からのご請求であることを確認の上で、ユーザーに対し、遅滞なく開示を行います(当該個人情報が存在しない時はその旨を通知いたします。)。ただし、個人情報保護法その他の法令により、当社が開示の義務を負わない場合は、この限りではありません。なお、個人データの開示につきましては、手数料(1件あたり●円)を頂戴しておりますので、あらかじめご了承ください。

(個人データの訂正及び利用停止等)
1 当社は、ユーザーから、個人データの内容が事実でないという理由によって、個人情報保護法の定めに基づきその内容の訂正、追加又は削除(以下「訂正等」といいます。)を求められた場合には、他の法令の規定により特別の手続が定められている場合を除き、ユーザーかご本人からのご請求であることを確認の上で遅滞なく必要な調査を行い、その結果に基づき、個人データの内容の訂正等を行い、その旨をユーザーに通知します。
2 当社は、ユーザーから、個人データが、予め公表された利用目的の範囲を超えて取り扱われているという理由、又は不正の手段により取得されたものであるという理由により、その利用の停止又は消去(以下「利用停止等」といいます。)を求められた場合には、遅滞なく必要な調査を行い、その結果に基づき、個人データの利用停止等を行い、その旨ご本人に通知します。ただし、個人データの利用停止等に多額の費用を有する場合その他利用停止等を行うことが困難な場合であって、ご本人の権利利益を保護するために必要なこれに代わるべき措置をとる場合は、この限りではありません。

(お問い合わせ窓口)
ご意見、ご質問、苦情のお申出その他利用者情報の取扱いに関するお問い合わせは、下記の窓口までお願いいたします。

住所:●
株式会社●
個人情報取扱責任者:●
連絡先:●

事業者は、保有個人データについて、その取扱いに関する苦情の申出先を本人に公表する(「本人の知り得る状態」に置いておく)必要があります(個人情報保護法32条1項4号、個人情報保護法施行令10条2号)。そこで、記載例では「お問い合わせ窓口」の案内を記載しています。

なお、「本人の知り得る状態」とは、ホームページへの掲載、パンフレットの配布、本人の求めに応じて遅滞なく回答を行うこと等、 本人が知ろうとすれば、知ることができる状態に置くことをいい、常にその時点での正確な内容を本人の知り得る状態に置かなければなりません。

ポイント6│ウェブサイトのトップページからすぐに見れる場所に置いておこう

個人情報保護法には「公表」(個人情報保護法21条1項)と定められていますが、具体的には、プライバシーポリシーはどのように周知させれば良いのでしょうか。

ユーザーが確認しやすいようウェブサイトのトップページからすぐに見れる場所に置いておくことが一般的ですね。

個人情報保護法は、前述した通り、ユーザーから個人情報を取得し、また利用等をする際には、一定の事項について「本人への通知」又は「公表」を義務付けています(個人情報保護法21条1項)。

個人情報保護委員会の作成したガイドラインによれば、「公表」とは以下のようなこととされています。

「公表」とは、広く一般に自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること)をいい、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法によらなければならない。

【公表に該当する事例】
事例1)自社のホームページのトップページから 1 回程度の操作で到達できる場所への掲載
事例2)自社の店舗や事務所等、顧客が訪れることが想定される場所におけるポスター等の掲示、パンフレット等の備置き・配布
事例3)(通信販売の場合)通信販売用のパンフレット・カタログ等への掲載

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月発行)

この点、「公表」については、手続が容易なため、「ウェブサービスのトップページから1回の遷移(操作) で到達できる場所へ掲載する」方法を採用する会社が一般的です。

ポイント7|個人情報を仮名加工・匿名加工する

個人情報を加工して「仮名加工情報」又は「匿名加工情報」として利用する場合には、それぞれの取扱いについてもプライバシーポリシーに明記しておきましょう。

  • 仮名加工情報
    →他の情報と照合しない限り、特定の個人を識別できないように個人情報を加工して得られる個人に関する情報です(個人情報保護法2条5項)。
    (例)プレゼン用社内資料に掲載する匿名データ
  • 匿名加工情報
    →特定の個人を識別できないように、かつ復元できないように個人情報を加工して得られる個人に関する情報です(個人情報保護法2条6項)。
    (例)いわゆる「ビッグデータ」
仮名加工情報に関する記載例

(仮名加工情報の取扱い)
1.当社は、仮名加工情報(個人情報の保護に関する法律に定義される意味を有します)を作成する場合には、以下の対応を行います。
(1)法令で定める基準に従って、適正な加工を施すこと
(2)法令で定める基準に従って、削除した情報や加工の方法に関する情報の漏えいを防止するために安全管理措置を講じること
(3)作成の元となった個人情報の本人を識別するために他の情報と照合しないこと

2.当社は、仮名加工情報の利用目的を変更した場合には、変更後の利用目的をできる限り特定し、それが仮名加工情報に係るものであることを明確にしたうえで、公表します。

匿名加工情報に関する記載例

(匿名加工情報の取扱い)
1. 当社は、匿名加工情報(個人情報の保護に関する法律に定義される意味を有します)を作成する場合には、以下の対応を行います。

(1)法令で定める基準に従って、適正な加工を施すこと
(2)法令で定める基準に従って、削除した情報や加工の方法に関する情報の漏えいを防止するために安全管理措置を講じること
(3)作成した匿名加工情報に含まれる情報の項目を公表すること
(4)作成の元となった個人情報の本人を識別するための行為をしないこと

2.当社は、匿名加工情報を第三者に提供する場合には、提供しようとする匿名加工情報に含まれる個人に関する情報の項目と提供の方法を公表するとともに、提供先となる第三者に対して、提供する情報が匿名加工情報であることを明示します。

プライバシーポリシーのひな形(テンプレート)

参考文献

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月)

金融庁「金融分野における個人情報保護に関するガイドライン」(平成28年11月)

岡村久道「個人情報保護法」(商事法務)

影島広泰「改正個人情報保護法と企業実務」(清文社)

雨宮美季ほか「良いウェブサービスを支える利用規約の作り方」(技術評論社)

長谷川俊明ほか「個人情報保護・管理の基本と書式」(中央経済社)