Step 2-17 プライバシーポリシー
Web担ビギナーの目次を知りたい方はこちら
クイズ
- 多くの企業のWebサイトには、プライバシーポリシーのページがあります。法律で掲載が義務づけられているのでしょうか?
- プライバシーポリシーの掲載は法律で義務づけられている
- 個人情報保護法への対応の一環としてプライバシーポリシーを掲載する企業が多い
結論からいうと、すべての企業がプライバシーポリシーを掲載しなくてはいけないという法律はありません。しかし、個人情報保護法という法律があり、それがプライバシーポリシーの掲載に関連しています。
基本的に、プライバシーポリシーは会社で決め、管理しています。とはいえ、Webサイトの1つのコンテンツとして、なぜ掲載されているのか、基本知識として知っておきましょう。
そこでStep2-17では、「個人情報保護法」について解説し、「プライバシーポリシー」にはどのような内容を記すのか、そのポイントを紹介します。
Step2-17は、Webサイト構築・運用のためのワークフロー中、設計フェーズの「サイト設計」に関わる内容です。
戦略策定フェーズ | 1. プロジェクトの発足 |
---|---|
2. プロジェクトの方向性の決定 | |
3. Web戦略の策定 | |
設計フェーズ | 4. サイト設計 |
開発フェーズ | 5. サイト制作・開発 |
6. 運用準備・運用開始 | |
運用フェーズ | 7. 運用・効果測定・改善 |
個人情報保護法とは
プライバシーポリシーに何を記しているのかを解説する前に、まずは個人情報保護法について紹介しましょう。個人情報保護法は、「個人情報の保護に関する法律」の通称で、個人情報の取り扱い方法を定めた法律です。
個人情報と取扱事業者
では、「個人情報」とは何を指すのでしょうか?
個人情報とは、「生存している個人の情報のうち、特定の個人を識別可能にする情報」を指します。個人的な秘密などの「プライバシー」とは異なります。たとえば、個人情報にあたるものとして次のような情報があります。
- 社員の名前と生年月日、連絡先を集めたExcel表は、個人を特定できますから個人情報。
- yamada_hanako@impress.co.jpというメールアドレスも、インプレスという会社の山田花子さんということがわかりますから個人情報。
- マイナンバー、保険証の記号番号など、個人に割り振られている公的番号も個人情報。
- 指紋だけでなく、顔の画像も個人情報。
こうした個人情報のうち、特定の個人を検索することができるように「個人情報データベース等」に集められている個人情報を個人データといいます。たとえば、先ほど例としてあげた名前と生年月日、連絡先を記したExcel表はこれにあたります。
個人データのうち、事業者が内容の開示、訂正、追加などを行う権限をもっていて、6ヶ月以上保有している場合、そのデータを保有個人データといいます。
個人情報保護法を守る義務のある「個人情報取扱事業者」は、個人データを取り扱っている事業者を指します。そして、Webサイトを運用しているような企業のほとんどが、個人データを扱っている会社、つまり個人情報取扱事業者といえるのではないでしょうか。
個人情報取扱事業者の義務
個人情報取扱事業者が行わなくてはいけない主な義務には次のようなものがあります。
- 利用目的の明確化: 個人情報の利用目的をできる限り具体的かつ明確にする。
- 利用目的による制限: あらかじめ決めておいた利用目的以外には個人情報を利用しない。
- 適正な取得: 偽りなどの不正な手段によって個人情報を取得してはならない。「要配慮個人情報」(人種や信条など、不当な差別や偏見が生じかねない情報)の取得には、本人の同意が必要となる。
- 利用目的の通知、公表: 個人情報の利用目的を、本人に通知、あるいは公表する。
- 正確性の確保: 個人データの内容を正確かつ最新に保つ。利用の必要がなくなったら遅滞なく消去する。
- 安全管理措置: 個人データの漏洩などを防ぐため、適切な安全管理を行う。
- 従業者の監督: 個人データの管理のため、従業員を適切に監督する。
- 委託先の監督: 個人データの取扱いを委託する場合は、委託先を適切に監督する。
- 第三者に提供する場合の制限: 本人の同意を得ないで第三者に個人データを提供しない(ただし、一定の条件に合致する場合は提供可能)。
- 個人データの提供を行う場合、受ける場合の記録義務: 個人データを第三者に渡したり、受け取ったりする場合は、所定の事項を記録し、一定期間(原則として3年間)保存する。
- 利用目的等の公表・開示、訂正、利用停止: 名称や保有個人データの利用目的などを公表する。本人から開示を求められたら開示し、本人からの請求に応じて訂正・追加・削除を行い、違反があれば利用を停止する。
- 苦情処理: 苦情に対応する体制を整備して、迅速に対応する。
なお、法律は今後改正される可能性があります。事実、個人情報保護法は2005年4月に全面施行されていますが、2015年には改正されて2017年5月30日から改正された法律が全面施行されています。そして、2020年にも改正があり、6月12日「個人情報の保護に関する法律等の一部を改正する法律」が公布されました。施行期日は2022年4月1日(法定刑の引上げなど一部は2020年12月12日施行済)ですが、最新の法律に基づくよう、気をつけておきましょう。
プライバシーポリシーに記載したいこと
個人情報取扱事業者には上記のような義務があり、プライバシーポリシーでは、「利用目的の通知、公表」を行うとともに、適切に個人情報を扱っていることをユーザーに知らせているのです。
なお、同じ企業のWebサイトであっても、ECサイトやメディアサイトなど、複数のサイトを運用していて、個人情報の取扱いに違いがある場合には、サイトごとにプライバシーポリシーを作成する場合があります。サイトごとに、どのような目的で、どのような個人情報を取得して、運用するのかを明記するわけです。
では、Web担当者Forumの運用会社であるインプレスのプライバシーポリシーを例に、記載項目をみていきましょう。
- 個人情報の利用目的: 個人情報を利用する目的を明示。
- 個人情報の第三者提供: 原則として第三者提供はしないが、法令等に基づく場合など、提供する場合の例外を明示。
- 個人情報の管理: 個人情報の漏洩などがないよう、適切に管理することを宣言。
- 個人情報の照会・訂正・削除: 本人からの請求に基づき、照会・訂正・削除を行うことを明示。
- その他ご留意いただきたい点: 事前に承諾のあるユーザーにサービス紹介のメールを送ることがあるなど、あらかじめお知らせしておいた方がよい内容を記載。
- お問合せのリンク: お問合せを受け付けるページへのリンクを掲載。
上記のように、プライバシーポリシーには個人情報保護法に基づき、Webサイトで取り扱っている個人情報を適切に取り扱っていることを記しています。その他、インプレスでは、「クッキー、Webビーコンについて」も記しています。
「クッキー」は、ご利用者様の情報をブラウザー内に保存することで、再入力の手間を省いたり、ご利用者様にとって最適なコンテンツを表示することができる機能です。「Webビーコン」("クリアGIF"と称されることもあります)は、サイトおよびページのアクセス状況を計測するための技術です。
このように、各用語を解説した上で、何のためにクッキーやWebビーコン機能を用いているのか、個人を特定する情報は含んでいないこと、得られたデータの取扱いについて記しています。会社によって、明示しておきたい内容は異なりますから、まずは自社のプライバシーポリシーをじっくり読んでおきましょう。
先に紹介したように、2020年6月12日に「個人情報の保護に関する法律等の一部を改正する法律」が公布され、施行期日は2022年4月1日(法定刑の引上げなど一部は2020年12月12日施行済)です。利用目的の記載内容等、プライバシーポリシーに関連してくるような改正がありましたので、改正内容に合わせて修正する必要が出てきます。実際には法務部門などから、具体的な更新依頼があると思いますが、記事の最後にある「もっと学び、成長するために」を一読しておくとよいでしょう。
2-17では、「個人情報保護法」と「プライバシーポリシー」について紹介しました。2-18では、「Webサイトのセキュリティポリシー」について解説します。
- ポイント
- 2-17「プライバシーポリシー」のポイント
- 個人情報とは「生存している個人の情報のうち、特定の個人を識別可能にする情報」である。
- 個人データとは「特定の個人を検索することができるように集められている個人情報」である。
- 個人情報取扱事業者とは、個人データを取り扱っている事業者である。
- プライバシーポリシーには、個人情報の取扱いについて、ユーザーから得られるデータの取扱いについて明示する。
- やってみよう
- あなたのサイトで扱っている個人情報をノートに書き出してみましょう。
- 自社サイトのプライバシーポリシーを読み、あなたの業務との関わりをノートに書き出してみましょう。
- もっと学び、成長するために
- 個人情報保護法を巡る動向について(総務省) https://www.soumu.go.jp/main_content/000657718.pdf
- 個人情報の保護に関する法律等の一部を改正する法律(概要)(個人情報保護委員会) https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf
- 令和2年 改正個人情報保護法について(個人情報保護委員会) https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/
- 改正法に関連するガイドライン等の整備に向けた論点について(個人関連情報)(個人情報保護委員会) https://www.ppc.go.jp/files/pdf/210407_kojinkannren.pdf
個人情報についてもっと知りたい方は次を読んで学びましょう。
コメント
記事の内容が間違っているように思います
yamada_hanakoというメールアドレスで山田花子という事がわかると書いてあります。
しかし山多花奈子かもしれないのだから、それを「わかる」とは言えません。
「推測」であって「特定(わかる)」ではないはずです。
そしてインプレスのプライバシーポリシーの記載を見本として紹介しています。
しかしプライバシーポリシーの記載に間違いがあります。
日本マイクロソフト株式会社のリンク記載をミスしていて繋がりません。
さらにバリューコマース株式会社のリンクも記載ミスしています。
さらに株式会社スケールアウトのリンクも間違っています。
ご指摘ありがとうございます
インプレスのプライバシーポリシーのページに関するご指摘、誠にありがとうございます。
担当部署に修正を依頼しました。
また、プライバシーポリシー記載内容の定期的な確認のフローに関しても調整を進めます。