プライバシーポリシーはネットで無料公開されている雛形を使えば大丈夫だと言えるのか？｜DOUII（ドウイ）利用規約やプライバシーポリシーを毎月見直す定額サービス

2022年11月28日

プライバシーポリシーはネットで無料公開されている雛形を使えば大丈夫だと言えるのか？

このコラムをお読みになっている皆様は、恐らく事業者として利用規約やプライバシーポリシーに対して何らかの関心をお持ちの方々だと思います。そして当サイトだけでなく様々なサイトを検索する中で、様々な”ひな形”が公開されていることもご存知だと思います。あるいは、とりあえず、という形で既にひな形を利用されている方もいらっしゃるかも知れません。
今日はプライバシーポリシーはネットに無料公開されているひな形を使えば大丈夫と言えるのか？について考えてみたいと思います。

その雛形は最新のものですか？

まず、プライバシーポリシーとは何かについてですが、当サイトの「よくあるご質問」で以下の通りご説明しています。

事業者が個人情報保護法の義務を果たすことを外部に向けて示すために作成するものです。プライバシーポリシーの作成自体は法的義務ではないものの、企業の信用拡大には必要であり、多くの企業が作成し公表しています。また個人情報保護法には、直接通知しない場合の利用目的の公表等、あらかじめ公表すべきとされている事項があり、その内容を示すためにも作成の必要性があります。

ここで注目して頂きたいのは、最後の「個人情報保護法には、直接通知しない場合の利用目的の公表等、あらかじめ公表すべきとされている事項があり、その内容を示すためにも作成の必要性があります。」という部分です。

プライバシーポリシーは個人情報保護法の要求に基づいて作成する必要がある訳ですが、この個人情報保護法は2005年施行以来、法改正を積み重ねて来た法律であり、2017年改正において、以後は3年ごとに見直し・改正を行う方針が採られています。

ネットに公開されているひな形はそれなりに良く出来ているものも多い半面、最新の要求事項を反映しきれているものは少ないと思いますし、改正前の法律に基づいていて、改訂されていないものも多く見受けられます。
ひな形を参考にしたいという場合、まずそのひな形がいつ作成され、最新の法改正事項を反映しているものかどうかを良く確認する必要があります。

その雛形はあなたの会社の事業をちゃんと反映できていますか？

次に「会社の事業を反映できているのか？」という視点から考えてみましょう。
2022年4月に施行された改正個人情報保護法には、いくつか大きなポイントがありますが、プライバシーポリシーを作成する際に絶対に押さえておかなくてはならないのが公表が義務付けられている事項です。
代表的な公表事項は以下の通りです。

個人情報取扱事業者の氏名又は名称、住所、法人は代表者の氏名
全ての保有個人データの利用目的
利用目的の通知の求め、開示等の請求に応じる手続き及びそれらの手数料の額
保有個人データの安全管理の為に講じた措置

（Aについては、2022年10月24日の専門家コラム「責任の明確化に対応していない企業ホームページが多い！プライバシーポリシーで代表者氏名と住所の記載がない企業は早急に対処を！」で詳しく触れていますので、参考にして下さい。）

このうち、例えばＢの「全ての保有個人データの利用目的について」の公表については、これまでの法改正を通じて公表内容における具体性が非常に厳しく求められる様になって来ています。

法律の規定は以下の通りです。

個人情報保護法　第17条（第1項）

個人情報取り扱い事業者は、個人情報を取り扱うに当たっては、その利用の目的を出来る限り特定しなければならない。

これに基づいてガイドラインで例示されている、利用目的を特定しているとされる例は以下の通りです。

事例）: 「〇〇事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせの為に利用致します。」; 「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告の為に利用致します。」

かなりのレベルで具体的な表示が求められていることがお分かりになると思います。逆に、例えば「事業活動に用いるため」といった表示は論外であり、「マーケティング活動に利用します」でもアウトです。

上記の事例の様なレベルまで対応出来ているひな形はありませんし、そもそも自社の事業内容に沿った利用目的のひな形がネット上に無料で転がっているはずがありません。
利用目的の公表はプライバシーポリシーの根幹とも言える部分ですので、これをひな形だけに頼ってしまうと、自社の事業活動における個人情報の取り扱いと大きな齟齬が生じてしまうことになりかねません。

ここまで「全ての保有個人データの利用目的」の公表義務を例にとってご説明しましたが、他にも自社の実態に即して公表しなくてはならないことはいくつもあります。これらを満たしてしていないと、すぐに罰金まで行かないとしても、個人情報保護委員会から指摘を受けることになる可能性もあり、こうしたことを通じて、企業名が公表され、大きなレピュテーションリスクにさらされることになった企業も少なくありません。

安易にひな形に頼るのではなく、自社の事業実態に併せてしっかりと検討すること、そして作成して安心するのではなく、法改正を踏まえて定期的に見直していくことが、とても重要であることがお分かりいただけると思います。

法改正があったときはもちろんですが、事業の実態に即したものである為には、「サービス内容を変更した」「顧客情報管理方法を強化した」「新たなマーケティングツールを導入した」「サーバーを変えた」「メルマガ配信をはじめた」等、自社の事業の様々な変化が、プライバシーポリシー見直しの要因となります。当サービスはプライバシーポリシーや利用規約等の定期的な見直しのお手伝いをしています。是非お気軽にご相談下さい。