プライバシーポリシーについて

１．プライバシーポリシーとは

　プライバシーポリシーとは個人情報保護のための方針のことで、特にWeb業界で多く用いられます。プライバシーポリシーは個人情報保護法（個人情報の保護に関する法律のこと）に基づいて作成されるものとなります。しかし、個人情報保護法中にはプライバシーポリシーという用語は使われていませんので、法律用語とは異なります。

　しかし、個人情報を取り扱う事業者は、個人情報をどのように運用し管理しているのかを対外的に示す指針となるので、重要なものであることには変わりません。

２．個人情報保護法との関連

　「保有している個人情報の把握」と「利用目的の明確化」について、プライバシーポリシーを作成する前に把握しておく必要があります。個人情報を洗い出し、どのような情報があるのかを把握するだけでは不十分で、個人情報を取得する際は「利用目的」を明確にしなければならず、目的外の利用は認められません。利用目的は個人情報を取得する際に通知または公表することになりますので、プライバシーポリシーで公表することを念頭に置いて、できるだけ利用目的を具体化することが重要です。

　問い合わせの中でもありましたが、「時々プライバシーポリシーを変えている企業がある」とのことでしたが、これは、①準拠法である個人情報保護法で何らかの改正がなされ、現状のプライバシーポリシーでは対応できなくなった場合や、➁サービスを変更したために今までの個人情報の取得・利用方法では対応できなくなった場合などが考えられます。

（法令上必要となってくる項目）

　①個人情報の利用目的の周知について

　➁オプトアウトによる第三者提供について

　　※オプトアウトとは、原則として、個人データは本人の同意なく第三者に提供してはいけませんが、その例外規定のことです。つまり、第三者提供が許される場合のことです。

　③保有個人データの開示義務について

　④個人データの共同利用について（提携先などへの提供）

　　※事業者の責任者氏名・名称だけでなく、2022年4月の改正法施行後は、事業者の住所や代表者の氏名を公表する必要があります。

　➄個人データの安全管理措置について

　⑥保有個人データの取扱いに関する相談・苦情の連絡先について

　⑦匿名加工情報について

　　※「匿名加工情報」とは、個人情報を加工することで特定の個人を識別できなくなった情報のことで、個人情報保護法上の個人情報ではなくなります。

　　　目的外利用が発覚し、本人の同意が求められそうにない場合、個人情報を匿名加工情報にすることが選択肢の一つになります。プライバシーポリシーには、匿名加工情報を作成したときには公表する旨を記載し、実際に作成した場合は加工した個人情報の項目を公表する必要があります。

３．すべてのホームページにプライバシーポリシーは必要か

　企業のホームページでは、個人情報を取得するような使用になっていない場合には、プライバシーポリシーは必要ないですが、例えば、「ネット通販」などで、個人情報を入力するフォームを設定している場合には、必要になってきます。

４．個人情報保護法改正について

　私が、香川県に戻り就職した金融機関で、２００３年に個人情報保護法が施行されました。私はシステム部門にいたため組織全体のシステムについて、法令に準拠した運用体制を考えなければなりませんでした。どうにかこうにか形にした記憶があります。その時に、当時の「個人情報保護法」を読みましたが、よく理解できない項目がたくさんありました。

　時を経て、２０１６年に行政書士試験を受けるために、再度個人情報保護法を読み返しましたが、元の原型がないほどに改正がされており、実用的なものに変わっており、驚いたことを覚えています。

　そして令和５年４月１日にも個人情報保護法は改正されました。いままで、

• 民間企業：個人情報保護法
• 国の行政機関：行政機関個人情報保護法
• 独立行政法人等：独立行政法人等個人情報保護法
• 地方公共団体等：地方公共団体ごとに定める個人情報保護条例

と、バラバラになっていた準拠法を国の行政機関と独立行政法人等については、２０２２年４月１日施行の改正で３つの法律が個人情報保護法に統合されたことにより、統合後の個人情報保護法が適用され、そして、２０２３年４月１日以降は、これらに加えて地方公共団体や地方独立行政法人についても個人情報保護法が適用されました。

　これにより、これまで独自に制定した個人情報保護条例を適用していた各地方公共団体等について全国的な共通ルールが定められ、個人情報保護委員会が一元的に制度を所管することとなり、個人情報の保護に関する質の確保などが期待されています。