はじめに

2022年4月、改正個人情報保護法が施行された。

今回の改正では「個人情報取扱事業者の公表事項追加」や「安全管理措置事項の追加」など、公表しなければならない事項が多く追加されたため、プライバシーポリシーの改訂作業を行った企業は多いだろう。

しかし、プライバシーポリシーを改訂したから問題ないというのは大きな間違いだ。プライバシーポリシーはあくまでも「個人情報保護を推進する上での考え方や方針」である。つまり、プライバシーポリシーの内容どおりに個人情報が運用されなければ改訂した意味はなく、利用目的外のデータ利用など大きな問題に発展し、法律違反を問われかねない。したがって、プライバシーポリシーを作成・改訂する場合、作成・改訂後のアクションも想定しておかなければならない。

今回は、プライバシーポリシーの概要や作成しないといけない理由、プライバシーポリシーに順守できずに起きた事件、作成・改定後のアクションについて解説していく。

そもそも「プライバシーポリシー」とは？

「プライバシーポリシー」とは、企業が個人情報の取り扱い方法やどのようにプライバシーへ配慮しているかなどを示すための指針のことだ。「個人情報保護方針」あるいは「プライバシーステートメント」と呼ばれることもある。

プライバシーポリシーは個人情報の利用目的や管理方法などが文書としてまとめられており、Webサイトで公開されているのが一般的だ。

利用規約との違い

前述の通り、プライバシーポリシーとは「個人情報保護を推進する上での考え方や方針」を指す。

一方、利用規約とは、「個人情報を含む利用者情報の取扱について定める規定」を指しており、企業は、利用規約に従い、個人情報を取り扱う義務を負う。

場合によっては、プライバシーポリシーが、利用規約の個人情報に関する部分についての通知・公表の役割を果たすこともあり、各企業におけるプライバシーポリシーと利用規約の関係については様々であると言える。

プライバシーポリシーの作成・設置は義務付けられていない

結論からいって、プライバシーポリシーの作成・設置は個人情報保護法で義務付けられていない。したがって、プライバシーポリシーは必ず準備しなければならないものではないわけだ。

しかし、プライバシーポリシーをテーマにした記事を見るとそのほとんどが「プライバシーポリシーの作成は義務」だと解説している。なぜ、義務付けされていないのに義務と解釈されているのだろうか。

それは、プライバシーポリシーを作成しておかないと個人情報に関する法律上の義務を果たせないからだ。

個人情報保護法の第32条1項2号では以下のように定められている。

個人情報取扱事業者は、本人に対し、開示等の請求等に関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。

引用：個人情報の保護に関する法律

個人情報の取り扱いに際して個人情報保護法では、個人情報の利用目的を公表することを義務付けている。

すなわち、プライバシーポリシーの作成義務はなくても、利用目的の公表義務を果たすためには、必然的に企業はプライバシーポリシーを作成しておかなければならないというわけだ。

したがって、個人情報を取り扱う以上はプライバシーポリシーを作成することが望ましいと言える。

プライバシーポリシーは定期的に改訂されている

プライバシーポリシーは個人情報保護法の規定に沿う必要がある以上、法律が改正された際は改正内容を把握し、必要に応じてプライバシーポリシーも改訂する必要がある。

令和4年4月に施行された改正個人情報保護法では、プライバシーポリシーなどで公表しなければならない事項が追加され、多くの日本企業が改訂を迫られた。簡単ではあるが改正ポイントも見ておこう。

主な改正ポイントは以下のとおり。

個人情報取扱事業者の公表事項追加
安全管理措置事項の追加
仮名加工情報の公表事項追加
記載している利用目的を具体的かつ分かりやすく
個人情報関連情報（Cookie）の規制と本人の利用同意取得
個人情報の開示・訂正・利用停止の請求対応
外国への個人情報提供時の情報提供義務

また、自社における個人情報の利用目的や利用範囲が変更されれば当然、プライバシーポリシーを改訂しなければならない。事実、メルカリのプライバシーポリシーも2013年6月25日に制定後、現在に至るまで何度も改訂が行われている。

このように、プライバシーポリシーは1度作成すれば終わりというわけではない。

プライバシーの保護意識が高まりなどで近年プライバシーポリシーを改訂する企業は多い

プライバシー保護意識が高まる一方で、IT企業を中心に個人情報の取り扱い指針が分かりにくいという指摘は多い。このような指摘を受けて、GAFAMを中心に海外の有名企業が一斉にプライバシーポリシーの改訂に乗り出している。

Meta（旧：Facebook）はプライバシーポリシーを4年ぶりに大幅改訂すると発表した。日本経済新聞によれば、わかりやすい文章にイラスト・動画を組み合わせて、中学生でも理解できる内容へ改めるとしており、英語や日本語など約60言語にも対応するそうだ。

Twitterもプライバシーポリシーを改訂したことを発表した。ケータイWatchによれば、今回の改訂は方針の変更ではなく、世界中にいるユーザーへ向けて個人情報の管理意識を高めることを目的としているそうだ。

そのため、可能な限り簡潔に記載され、データポリシーの構成も大きく刷新されている他、法律用語を減らして分かりやすい言葉が使用されている。

プライバシーポリシー記載外のデータ利活用による問題

ここまで、プライバシーポリシーの概要について詳しく見てきた。しかし、プライバシーポリシーはあくまでも「個人情報保護法で規定されている義務を履行していることを示す」ためのものだ。

つまり、プライバシーポリシーへ記載しているとおりに個人情報を取り扱わなければならない。記載どおりに実行していなかったり、記載している以外の目的で個人情報を利用したりすれば当然、問題となる。

ここでは、プライバシーポリシーの不履行によって起きた問題についてみていこう。

LINE

LINEは利用者から同意取得していないデータを利活用し広告配信していたと発表した。プライバシーポリシーの改訂に伴う同意取得の際に、誤った設定変更を行うプログラムをシステムに記載したことが原因という。

日本経済新聞によれば、この問題で不具合が国内外約570万アカウントで発生し、同意取得していないデータに基づく広告配信が約1,000件あったそうだ。

プライバシーポリシーの作成・改訂で立ち止まってはいけないという教訓のような事例だといえるだろう。

リクナビ

リクルートは就活情報サイト「リクナビ」にて、同意取得されていないにもかかわらず約7,900人の学生の個人情報を企業に提供するという、通称「リクナビ事件」を2019年に起こしている。

問題となったのは「リクナビDMPフォロー」という同社が企業向けに提供していたサービス。

このサービスはリクナビ内における学生の行動履歴を分析によってアルゴリズムを作成し、アルゴリズムと次年度の学生の行動履歴を照合することで内定辞退率を予測するものだ。

しかし、プライバシーポリシーに第三者への個人情報提供に関する文言の記載漏れがあったことから、同意を取得していないまま学生の個人情報が企業に提供されていたことで大きな問題となった。

ITmedia ビジネスオンラインは、この問題によって「リクナビDMPフォロー」サービスは廃止され、個人情報保護委員会から勧告・指導を受けたことを報じている。

プライバシーポリシー作成後に問題を起こさないために行うべきアクション

過去の問題を見ても分かるとおり、プライバシーポリシーを作成していても利用目的の記載漏れがあったり、記載内容どおりにシステムが作動していなかったりすれば、ユーザーからデータ利用の同意を取得していないことと同じだ。

当然、個人情報保護の意識が足りないといわれてしまうだろう。したがって、プライバシーポリシーを作成・改訂して終了だと認識している場合は考えを改めないといけない。

では、問題を起こさないためには何に気を付けるべきか。ここでは具体的なアクションについてみていく。

ユーザーから取得した個人情報の棚卸し

はじめに行っておくべきことは「個人情報の棚卸し」だ。社内で保有している個人情報を洗い出さなければ、個人情報保護法が義務付けている「適切な情報管理」を実施できない。

したがって、棚卸しを行ってどのような情報があるのか把握するのは欠かせない作業だ。棚卸しで注意すべき点は、取得している個人情報は顧客だけではないということだ。

顧客だけでなく、取引先担当者や従業員、求人応募者など様々な人物から個人情報を取得しているため、棚卸しする際はこれらすべてを細かくチェックする必要がある。

個人情報の所在および管理方法の確認

棚卸しの際には、個人情報が格納されているデータベースや管理方法なども確認しておく必要がある。というのも個人情報の管理方法次第では、外国へのデータ移転に該当する可能性があるからだ。

また、他システムとの連携や紙や電子メールといった該当データベース以外の媒体で保管されている場合、知らないうちに利用目的外でデータが利活用されている恐れもある。

個人情報の所在や管理方法を洗い出し、必要ならば利用目的以外で利活用しないように対策を講じる必要があるだろう。

同意取得している情報か精査

個人情報利用の同意を取得しているかも精査しておくべきだ。なんらかの不具合で同意取得されていない個人情報を利活用していた場合、LINEのような問題に発展しかねない。

したがって、いつ、どこで、どのような利用目的で取得した個人情報なのかもしっかりと把握しておくべきだろう。また、ユーザーにすぐ情報開示できるように保管場所を確認して、同意記録を整理しておくことも大切だ。

プライバシーポリシー内容の精査

リクナビのようにプライバシーポリシーに記載しておらず同意取得していなかったというケースに陥る可能性は0ではない。

したがって、プライバシーポリシー内容を精査し、利用目的を余すことなく記載しているか、改正個人情報保護法の記載義務を果たしているかなども確認しておく必要があるだろう。

社内運用方法の見直し

個人情報の利用目的や利用範囲が変更されたり、個人情報保護法の改正によって規定が変更されたりした場合、プライバシーポリシーを改訂しなければならないのは前述のとおりだ。

改訂する際はプライバシーポリシーに規定した手続きに沿って行い、アプリやWebサイト、ダイレクトメールを活用して改訂した旨や変更点を通知・公表し、同意取得が必要な場合はあわせて手続きを行うとよい。

ただ、プライバシーポリシーを改訂しても社内の運用方法が以前のままだと個人情報を適切に取り扱っているとはいえない。改定内容を履行できるよう、社内の運用方法を見直し、従業員への通知や社内規定の変更も同時に行う必要がある。

まとめ

プライバシーポリシーとは、企業が個人情報の取り扱い方法やどのようにプライバシーへ配慮しているかなどを示すための指針
プライバシーポリシーの役割は「個人情報保護法で規定されている義務を履行していることを示す」こと
個人情報を取り扱う以上、プライバシーポリシーの作成は必須となる
1度作成したら終了ではなく個人情報保護法が改正された際や、利用目的・利用範囲を変更する場合はプライバシーポリシーを改訂しなければならない
プライバシーポリシーに沿った運用ができなければ大きな問題となるため、作成・改訂よりもその後のアクションを重視する必要がある

参考文献