令和4年4月1日に改正個人情報保護法が施行されました。これに先立つ3月頃、皆さんのところにも、サービスを利用している企業から、プライバシーポリシー改訂のお知らせが来たものと思います。プライバシーポリシーとは、企業や団体が取得したり保有している個人情報について、その取扱方法を社会一般に公表し、企業や団体の決意を宣言する文書です。多くの企業は、この改正個人情報保護法の施行に合わせ、プライバシーポリシーを改訂しました。
しかし、大企業のプライバシーポリシーであっても、法律に適合していないものが多数見受けられます。そこで、以下では、実際に見受けられるプライバシーポリシーの不備を挙げていきたいと思います。
1 利用目的
個人情報保護法21条1項では、利用目的を公表又は通知しなければならないとしています。そのため、ほとんどのプライバシーポリシーでは、個人情報の利用目的が記載されています。しかし、利用目的を記載する以上、その前提として、どのような情報を取得し利用するのかについても明らかにしなければなりません。どのような情報をどのような利用目的で取得・利用するかわからなければ、本人は安心して個人情報を提供しないでしょう。したがって、プライバシーポリシーにおいても、取得・利用する個人情報の種類を記載すべきです。
また、利用目的と取得・利用する個人情報がずれていることもよくあります。例えば、「お客様に連絡するため」という利用目的であれば、住所・電話番号・メールアドレスは必須でしょうが、生年月日や性別などは全く無関係でしょう。ところが、何の利用目的かわからないのに、生年月日などの情報を取得すると書かれているプライバシーポリシーもあるのです。本当にその情報を取得する必要があるのか、利用目的と見比べて判断する必要があります。
2 共同利用
個人情報保護法27条5項3号では共同利用が規定されており、共同利用する際に、本人に通知し、又は本人が容易に知り得る状態に置くべき事項が規定されています。この中に「利用目的」があるのですが、「自社の利用目的の範囲内で共同利用します」といった記載のみのケースをよく見かけます。しかし、法律では「利用する者の利用目的」と規定されており、自社のみならず共同利用者すべての利用目的を通知等する必要があります。共同利用者と自社の共同利用目的が異なる場合や、共同利用者が自社の利用目的以外の目的で利用する場合には、自社のみならず共同利用者の利用目的も記載しなければならないのです。
また、共同利用する個人データの管理責任者についても本人に通知等しなければならないのですが、今回の改正により、氏名、名称のみならず、住所、代表者氏名も通知等しなければならなくなりました。これはとても小さな改正点なので、多くの企業が見落としています。
3 保有個人データに関する事項の公表等
個人情報保護法32条1項、個人情報保護法施行令10条では、本人の知り得る状態に置かなければならない事項について規定されています。今回の改正により、保有個人データの安全管理のために講じた措置が追加されました。ところが、この点に触れているプライバシーポリシーは多くありません。個人情報保護法32条1項は、常時公開しておくことまでは求めておらず、本人の求めに応じて遅滞なく回答することも認められていますが、本人の求めに応じて遅滞なく回答するのであれば、そのことをプライバシーポリシーに記載しておく方が丁寧でしょう。
また、共同利用のところでも触れたのと同様、ここでも、個人情報取扱事業者の公表等が求められていますが、今回の改正により、氏名、名称のみならず、住所、代表者氏名が追加されています。
さらに、本人は、保有個人データの開示、訂正、利用停止等を求めることができますが、個人情報保護法32条1項3号では、その手続きについても、本人の知り得る状態に置かなければならないとされています。この手続きについては、絶対にプライバシーポリシーに記載しなければならないというものではありませんが、少なくとも企業のウェブページ等に記載しておくのがよいでしょう。もし公表等していない場合、例えば、企業側としては、所定の請求書に必要事項を記載の上、郵送してもらいたいと考えていたとしても、本人から電話で請求されれば、その請求を断ることができなくなるおそれがあります。
4 開示等請求
個人情報保護法33条では、保有個人データの開示が規定されていますが、今回の改正により、個人データを第三者に提供したり、第三者から提供を受けた記録(第三者提供記録)についても開示の対象となりました。
また、個人情報保護法35条では、保有個人データの利用停止等が規定されていますが、今回の改正により、利用停止等が求められる事項が増えました。新たに追加された事項は、次のとおりです。
①違法又は不当な行為を助長し、又は誘発するおそれがある方法により利用した場合
②保有個人データを利用する必要がなくなった場合
③漏えい、滅失、毀損その他の個人データの安全の確保に係る事態が生じた場合
④本人の権利又は正当な利益が害されるおそれがある場合
このように、開示の対象も、利用停止等請求できる対象も拡大しているのですが、これに対応していないプライバシーポリシーが見受けられます。
5 まとめ
上記以外にも、個人情報、個人データ、保有個人データが適切に区別されていないプライバシーポリシーもよく見かけます。
このように不備のあるプライバシーポリシーは何も中小企業に限ったものではなく、大企業のプライバシーポリシーにも散見されます。初めて個人情報保護法が制定された平成15年当時から、ほとんど内容が改訂されていないと思われるプライバシーポリシーすらあるのです。ですので、単に他社のプライバシーポリシーを真似ても、法律に適合したものになるとは限りません。
最新の法律に適合したプライバシーポリシーとなっているか、もう一度、見直されることをお勧めします。