責任の明確化に対応していない企業ホームページが多い！プライバシーポリシーで代表者氏名と住所の記載がない企業は早急に対処を！

2022年10月24日

責任の明確化に対応していない企業ホームページが多い！プライバシーポリシーで代表者氏名と住所の記載がない企業は早急に対処を！

WEBサービスを行っている事業者様の多くは、利用規約とあわせて、プライバシーポリシーを制定されているかと思います。今回の個人情報保護法改正にあわせてプライバシーポリシーもしっかりと見直しをされるのが望ましいのですが、今回は、責任の明確化、について述べたいと思います。

WEBサイトを持っている場合は公表は必須！！

まず、プライバシーポリシーについて、様々な定義がございますが、WEBサイト（WEBサービス）において収集した個人情報をどう扱うのか（保護するのか、それとも一定条件の元に利用するのか）等を、サイトの管理者が定めた規範のことであり、個人情報保護方針とも言われています。利用規約等の作成・公表とあわせて、現在では個人情報を取り扱う事業者には作成・公表が必須と言えます。

ところで、個人情報保護法第32条第1項には、以下の定めがあります。

個人情報保護法第32条第1項（保有個人データに関する事項の公表等）

第三十二条　個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。

当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
（以下省略）

法人の場合は代表者氏名も公表しないといけない！

令和2年の個人情報保護法改正により、当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名」として、『住所並びに法人にあっては代表者の氏名』の明記が求められることとなりました。これまでは、個人情報取扱事業者の氏名又は名称の記載があれば足りたので、社名のみ記載をしていた方がほとんどであったと思います。
今回の法改正により、原則としてプライバシーポリシーの中に、住所、法人代表者氏名の記載も必要とされ、責任の明確化を図られることとなりました。
責任の所在が誰にあるのか、個人情報の取り扱いに関する問い合わせや請求を行いたいと考えるユーザー・利用者が速やかに確認し、連絡することができるよう事業者側に求めている措置の一つ、と言えます。

この点、法人であれば、誰でも取得可能な登記簿謄本等で、会社名も、本店所在地も、代表者氏名も記載がありますので、プライバシーポリシーの中に住所や代表者氏名を記載すること自体はそれほど抵抗はないかもしれません。HP上の会社概要等でもそれらの内容は明記されていることがほとんどかと思います。

個人事業主の場合も住所や氏名を公表しないといけないの？

一方で、個人事業主の方は困る方も少なくないかもしれません。実店舗を有し、事務所を借りている個人事業主の方で、ＨＰ等で所在地や代表者名を公表している方であれば、それほどの抵抗はないと思いますが、例えば、自宅を事務所兼にしており、ＨＰ上でも一般公開をしていない、という個人事業主の方も少なくないと思います。

そのような方も法律に従い一般公開しなければいけないのでしょうか。

上述の法文上では、「本人の知り得る状態」（本人の求めに応じて遅滞なく回答する場合を含む）という記載がありますので、以下のような方法によって対応することも許容されています。

①プライバシーポリシーに、「住所及び代表者氏名については、会社概要をご参照ください」といった記載をし、自社HPの会社概要ページにジャンプできるようリンクを設ける方法
②プライバシーポリシーには住所及び代表者氏名を掲載せず、問合せ窓口を設け、問合せがあった後、遅滞なく口頭又は文書で回答できる体制を構築する方法（ガイドラインによる）

従いまして、個人事業主の方の場合は、②の方法で対応する、という形で運用される方が今後増えていくのではないか、と考えられます。
いずれにしましても、個人情報を保護する、という観点から、法人・団体はもちろんのこと、個人事業であっても、個人情報を取り扱う事業主には、今まで以上の責任の明確化、を求められることとなった、と言えるのです。

法人も個人も責任の明確化の記載がない場合、罰則あり！！

実は法改正により罰則も厳しいものとなっています。
罰則は　勧告　→　命令　→　法定刑　の順に課せられます。
従来、命令違反の場合の法定刑は、個人・行為者は6ヶ月以下の懲役又は30万円以下の罰金、法人は30万円以下の罰金（行為者と両罰）でしたが、改正により、

個人・行為者：1年以下の懲役又は100万円以下の罰金
法人：1億円以下の罰金（行為者と両罰）

以上の通り大幅に引き上げられました。
まずは勧告からで直ぐに罰金が課せられる訳ではありませんが、全体的には特に法人を中心にかなり厳罰化されましたので十分に注意する必要があります。

このように、今回の個人情報保護法の改正は、個人情報を取り扱う事業主に対するより厳しい対応と、その責任の明確化を図る措置を求めており、本コラムで触れたのはその一例にすぎません。
個人情報の取り扱いについてユーザーやお客様から問い合わせがあったときに、すぐに対応できる体制が構築できているのかどうか、対応根拠となる利用規約やプライバシーポリシーが改正法が求める内容になっているのかどうか、今一度見直しをしていただくことが重要かと思います。