プライバシーポリシーの作り方
サイトを維持するためにGoogleアドセンスやAmazonアフェリエイトなどをサイト内に表示するには、プライバシーポリシーを表示する必要があります。サイトを維持するためにスポンサーリンクの設置を検討し始めたところだったので、プライバシーポリシーについて個人情報の保護に関する法、個人情報保護委員会並びに経済産業省の情報を基にまとめました。
1 個人情報保護法とプライバシーについて
プライバシーポリシーについてあれこれと考える前に、プライバシーポリシーの法的位置付けから確認することにします。
個人情報保護法は、正しくは「個人情報の保護に関する法律」といい2005年4月に施行され、2017年5月に一部改正が行われています。
この一部改正では
・個人情報の定義の明確化
・個人情報取扱事業者を追加
・事業者が守るべき4つのルール(取得利用、保管、提供、開示請求等)の明確化
・個人情報保護委員会の設置
などの改正が行われました。
個人情報保護法は、「生存する個人に関する情報のうち特定の個人を識別することができる情報」を守るための法律で違反者には罰則規定が定められています。
一方、プライバシーは「私生活や私事など個人の秘密を他人に知られたくない権利」であり法律事項ではないので、権利の侵害に対しては民法709条(不法行為による損害賠償請求)で対応することになります。
個人情報保護法とプライバシーはイコールの関係ではなく、プライバシーポリシーは第三者のプライバシーを扱うにあたり行動指針を明示したものであり、その行動指針の中に個人情報保護法に定める法令事項が含まれいると言えます。
EU諸国においては、GDPRによってプライバシーポリシーの位置付けは罰則規定のある法令事項です。また、自由の国アメリカは、一部の内容以外はプライバシーポリシーは自主規制という位置付けですが、自ら定めたプライバシーポリシーを守らなかった場合には「不公正、欺瞞的行為又は慣行」に当たるとして連邦取引委員会から課徴金や制裁金のペナルティーを受ける可能性があります。
一方、日本ではプライバシーに関する法律は存在しないため、行動指針のプライバシーポリシーを遵守しなかったからと言って法的な罰則を受けることはありませんが、守れないことを定めるのはよろしくありません。プライバシーポリシーを作成するにあたり、遵守する必要性がある法令事項と行動指針の範囲を意識すると作成しやすくなると思います。
2 個人情報の保護義務の対象者
個人情報保護法上の義務を負う者「個人情報取扱事業者」とは、個人情報データベース等を利用している者をいい、施行時は取り扱う個人情報の数が5000人分以下の事業者には適応されませんでしたが、今回の一部改正によりすべての事業者が対象となりました。
事業者とありますが、法人に限定されておらず、営利非営利も問われていないため、個人事業主やNPO・自治会・同窓会などの非営利組織であっても「個人情報取扱事業者」に該当します。
3 個人情報の種類
プライバシーポリシーを作成するにあたり、法令に基づき遵守すべき個人情報保護法の中身について確認します。
個人情報の定義(法第2条第1項)
生存する特定の個人を識別できる情報で文章・図画及び電磁的記録に記載又は記録されているもの。又は音声、動作等により特定の個人を識別することができるもの。
具体例
本人の氏名、生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社における職位等所属に関する情報について本人の氏名と組み合わせた情報、防犯カメラ等に記録された本人と識別できる映像、官報・電話帳・職員録・法定開示書類・新聞・ホームページ・SNS等で公にされている特定の個人を識別できる情報など
個人識別符号(法第2条第2項)
※一部改正で追加
次の①及び②に該当する文字、番号、記号その他の符号のうち政令で定めるもの。
① 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した符号で特定の個人を識別できるもの。
② 個人に提供される役務の利用・個人に販売される商品の購入に関し割り当てられ発行される文章若しくは電磁的に記録された符号等で特定の個人を識別できるもの。
政令で定めるもの(政令第1条関係)
①DNA、顔認証データ、虹彩、声紋、歩行の態様、手指の静脈、指紋、掌紋など
②旅券番号、免許証番号、住民票コード、マイナンバーの番号、基礎年金番号、国民健康保険証番号など公的な機関が発行した符号など
要配慮個人情報(法第2条第3項)
※一部改正で追加
「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪歴、犯罪被害の事実等により差別、偏見、不利益等が生じないよう特に配慮を要するものとして政令で定めたもの。
政令第2条
身体障害、知的障害、精神障害、健康診断の結果、医師の診断や調剤記録、逮捕・拘留・差し押さえ等刑事事件に関する記録、少年法に係る保護事件の記録
法文やガイドラインに目を通して、個人情報に該当する範囲が広く、そんなことまで該当するのかと思ったのが正直な感想でした。違和感を感じたのは、官報・有価証券報告書(法的開示書類)・新聞・ホームページSNSで公開されている情報でも個人情報に当たるとされている点です。自ら公開しておいて個人情報って? と思ってしまうのですが、法令的に個人情報なんだそうです。
注目すべき点は、法第2条第2項第2号に定める個人識別符号に該当する範囲です。法文の文字面だけを読めば、IPアドレスやcookieが含まれるように読めますが、今のところ公的機関が発行した識別符号に限定されており、IPアドレスやcookieは個人情報に含まないという点です。
「今のところ」とした理由は、欧米諸国はIPアドレスやcookieは個人情報に該当するとしてこれらの取り扱いについて制限をかけているからです。
EU加盟国等においては、「欧州一般データ保護規則(GDPR)」を定め個人情報の取り扱いを厳格にしています。(※参照「欧州一般データ保護規則(GDPR)に対応するプラグイン」)GDPRの施行当初は、日本の関係法令はGDPRが求める個人情報の取り扱い水準に十分に達していないとしてGDPRの十分性認定を認められませんでした。。
しかし、個人情報保護法の一部改正を踏まえて、欧州委員会は日本に対してGDPRの十分性認定を与える決定をしました(2018年9月)。私のようにEU諸国と関わり合いのない個人や企業にとっては何ら影響を与えない決定ですが、EU諸国に支店や取り引きのある企業にとっては実務的な手続きが軽減されるとても大きな決定です。
先の述べたとおり、個人情報保護法では個人情報に該当しないIPアドレスやcookieですが、欧米諸国では個人情報として取り扱われています。今後、IPアドレスやcookieの取り扱いが世界標準に合わす流れになるやもしれません。
この点は頭の片隅に残しておいた方がいいと思います。
4 個人情報の規制条文
個人情報保護法は、保護が必要な情報を「個人情報」「個人データ」「保有個人情報」に分けて規制する条文が変わります。
この分類分けと規制条文を理解すると、プライバシーポリシーの記載漏れがなくなると思います。
① 個人情報(第2条第1~3項)
・生存する特定の個人を識別できる情報
・個人識別符号が含まれるもの
・要配慮個人情報
②個人データ(第2条第6項)
①の個人情報のうち、紙媒体、電子媒体を問わず、特定の個人情報を検索できるように体系的に構成したもの(個人情報データベース等)に含まれる個人情報
③保有個人データ(第2項第7項)
②の個人データのうち、開示・訂正・追加・削除の権限を有し、かつ、6ヶ月を超えて保有するもの
対象となる法律条文とその範囲
①個人情報
第15条 利用目的の特定
第16条 利用目的による制限
第17条 適正な取得
第18条 取得に際しての通知
第35条 苦情処理
②個人データ
第19条 正確性の確保等
第20条 安全管理措置
第21条 従業員の監督
第22条 委託先の監督
第23条 第三者提供の制限
第24条 外国の第三者提供制限
第25条 第三者提供の記録作成
第26条 第三者提供受託の確認
③保有個人データ
第27条 事項の公表等
第28条 開示
第29条 訂正等
第30条 利用停止等
第31条 理由の説明
第32条 開示等請求の手続き
第33条 手数料
ポイント・留意点
第15条 利用目的の特定
第16条 利用目的による制限
・利用目的を特定して、その範囲内で利用する。
・利用目的を通知又は公表する。
第17条 適正な取得
・偽りその他不正の手段による取得をしない。
・要配慮個人情報は本人の同意が必要。
第18条 取得に際しての通知
・予め利用目的を公表している場合を除き、本人に利用目的を通知又は公表する。
・利用目的を変更する場合は、本人に通知又は公表する。
第19条 正確性の確保等
・利用目的に必要な範囲内で正確に、かつ、不要になったら遅滞なく消去する。
第20条 安全管理措置
・「組織的安全管理措置」「物理的安全管理措置」「人的安全管理措置」「技術的安全管理措置」について実施する。
第23条 第三者提供の制限
・予め本人からの書面又は同意を得る。
第24条 外国の第三者提供制限
・本人から同意を得る。ただし、外国にある第三者が適切な体制が適切な法整備をしている場合は除く。
第25条 第三者提供の記録作成
・第三者に提供又は提供を受けた場合は、一定事項(いつ・誰の・どんな情報を・誰から)を記録し保存期間する。原則は3年間。※例外規定あり
第27条 事項の公表等
・原則、本人に通知する。
第28条~第32条 開示・訂正・利用停止・説明・手続き
・開示等の請求にはこれに適切・迅速に対応する。申し出先を明確にしておく。
5 プライバシーポリシーに記載すべき事項
サイト内で扱う個人情報に対する法的な義務の範囲に漏れがないように留意しながら、訪問者のプライバシーに関するサイトの行動指針を作成します。
プライバシーポリシーは行動指針という位置付けなので、書式など決まっている訳ではありませんが、分かりやすく書くことが大切だと思います。具体的に、私がプライバシーポリシーを定めるにあたり留意した点を説明していきます。
プライバシーポリシーとは直接関係がありませんが、プライバシーポリシーの適応範囲というイメージで明記しました。
どちらかと言えば運営者情報にあたり、プライバシーポリシーとは直接に関係はありません。企業、お店、ECサイトなどの場合は運営者情報は必須事項です。
プライバシーポリシーの法律的な必須事項ではありませんが、サイトの掲載事項によって生じた事柄に対する免責条項を宣言しておくことはとても大切なことです。企業、お店、ECサイトの場合は、「すべては自己責任で」というスタンスとはなりませんが事業内容に合わせて有責、免責の範囲を明記しておいた方がいいかもしれません。
訪問者に遵守してもらいたい事項をプライバシーポリシーの中に混ぜ込んで訪問者に同意してもらうスタンスをとりました。
開示等の請求のために連絡先の明示することは必須事項です。お問い合わせフォーラム以外にも所在地や電話番号、メールアドレスなどを明示する方法もあると思います。
これ以降の項目が本来のプライバシーポリシーの主たる部分になります。
このサイトで取得可能な個人情報を明記しました。当サイトにおける法の規制を受ける個人情報は「氏名」と「e-mailアドレス」だけですが、IPアドレス、cookie及びブラウザユーザーエージェント文字列も個人情報と同等の位置付けにしました。
理由は、当サイトを維持するためにGoogleアドセンスなどの広告表示を行うため、これらのポリシーに合わせる方が望ましいと判断したためです。
法律では取得した個人情報を本人の同意なしに第三者に提供することを禁止しています。プライバシーポリシーの中で第三者へ提供する方法を明記しておき、プライバシーポリシーに同意してもらうことにより訪問者の包括的な同意を得たという解釈で法律を遵守します。
コメントやお問い合わせもワードプレスのテーマとプラグインによって作成していますが、個人情報の取得方法を具体的で分かりやすくなるように明記しました。。
取得した個人情報の種類ごとに分かりやすく細かく書きました。この記事を書くにあたって世に知られている企業のプライバシーポリシーを確認してみましたが、結構ざっくり書いているものが多かったです。もっとも大企業が故に細かすぎると書き切れないのかもしれませんが。何はともあれ実態に合わせて分かりやすく書くことが重要だと思います。
訪問者が、氏名やメールアドレスを取得されるのが嫌ならばコメントやお問い合わせをしなければそれらを取得されることはありません。しかし、IPアドレスやcookieなどは本人の意思に係らずサイトに接続すると自動的に取得されてしまいます。ことcookieに関しては嫌悪感を持たれる方も多くいるのも事実なので、cookieを取得されない方法を明示しました。
個人情報の適正な管理という観点から保存期間を明記しました。と、いってもワードプレスのデフォルトの保存期間を明記しただけです。コメントに関しては削除依頼がない限り1年を超えて掲載するとだけにして削除期日は決めませんでした。
開示、訂正、追加、利用停止は、本人から求められた措置の全部又は一部について、その措置をとらない場合又はその措置と異なる措置をとる場合は、その旨を明示する必要があります。なお、これらの依頼には手数料を徴収することができます。
プライバシーポリシーに関する事項ではなく、サイト運営上の免責事項に該当すると思います。欧米は未成年者に対する権利や保護が明確に定められています。日本の場合は、家庭における躾や道徳の範疇内として明確になっていない事項が多いのかもしれません。将来的に日本でも明文化を要求される時代が来るのかもしれないですね。
「13 利用目的」の中に含める方が項目的な流れは自然なのかもしれませんが、あえて別項目にして特別感を出すことにより分かりやすさを優先しました。
「13 利用目的」に明記した内容で法令的には事足りると思いますが、サイトにアフェリエイト広告を表示したり、アクセス解析にGoogleアナリティクスを使用したりすると、その旨を特に明示する必要がある場合があります。
代表的なものは
・Google Analytics(グーグルアナリティクス)
・Google Adsens(グーグルアドセンス)
・Amazon Associate(アマゾンアソシエイト)
です。
企業やお店のサイトに他社の広告表示をすることはないと思いますが、アクセス解析にGoogle Analyticsを使用することがあるかもしれません。Googleアナリティクスの利用規約に使用の明文化が記されているので忘れずに特記するようにしてください。
なお、Amazon アソシエイトを利用する場合には
サイト内にアマゾンアソシエイト又はAmazon.co.jpを宣伝するリンクを設置し、紹介料を獲得するAmazonアソシエイトプログラムの参加者であることを明確し、同プログラム運営規約へのリンクを貼っておく必要があります。
プライバシーポリシーは一回作ったらお終い という物ではなく、法令の改正やサイト運営環境に応じてその都度見直しと修正が必要となるものです。プライバシーポリシーは個人情報の取り扱いの指針なので、時流に合わせてしっかり対応していく旨の方針を明記しました。
6 プライバシーポリシーの表示場所
法令的にサイトのどこに掲載するとか決まりはありませんが、訪問者が見つけやすい場所に掲載する方が望ましいと思います。
具体的にはフッターメニューに入れるのが邪魔にならず、見つけやすい位置のような気がします。もちろんグローバルメニューに入れても問題ありませんが、訪問者の目的はプライバシーポリシーを見に来る訳ではないので、利便性の面から考慮するとグローバルメニューに入れる必要はないかと思います。
当サイトはフッターにサイト名しか表示していません。未だにフッターに何を表示させるか決めかねているだけですが・・・。
そこで「欧州一般データ保護規則(GDPR)に対応するプラグイン」で紹介した「EU cookie Law」を使用してプライバシーポリシーへのリンクと同意を得るようにしました。
このプラグインを利用する利点は、
写真のように、サイト内のどのページにも表示することができ、「詳しくは」のリンクボタンでポップアップメッセージを表示することができます。(プライバシーポリシーページへリンクさせることも可能です。)
ポップアップにプライバシーポリシーへのリンクと同意に関する取扱いを明示しました。。「同意する」をクリックせずに「継続してサイトを閲覧した場合はプライバシーポリシーに同意したものと見なす」は、クリックすることなく読める位置に書くべき事項ですが、スマホで閲覧する場合は文字数が多くなりかなり邪魔になるのでポップアップの中に書くことにしました。
「同意しない」場合についてはあえて明示しないことにしました。嫌ならサイトから既に立ち去っているはずですし、あえて「同意できないならサイトから立ち去れ」と言葉にするのも高圧的な感じがしていい印象を与えないからです。
企業やお店やECサイトを運営するならプライバシーポリシーの明示は必須事項です。
個人的な趣味のブログでも個人情報保護法を遵守する義務はありますし、GoogleアドセンスやAmazonアフェリエイトなどに参加するならばプライバシーポリシーの表示は必須となります。
法令事項の事柄と行動指針の事柄を理解した上で、事業内容や個人情報の取り扱い実態に合わせて、プライバシーポリシーを作成してください。
