• Data Privacy Day Japan

DPD コラム

外出自粛が続く今こそ、プライバシーポリシーの確認ポイントをおさえましょう

新型コロナウイルスの感染拡大防止のため、全国に緊急事態宣言が発令されました。

消費者の皆様においては、外出を控えなければならない中、ECサイトでお買い物をする機会や、動画配信サービス等、これまで利用していなかったオンラインサービスへ登録する機会が増えているのではないでしょうか。

新しく個人情報を登録する時に、プライバシーポリシーはしっかりと確認されていますか。

プライバシーポリシーは事業者の個人情報の取扱いについての規範です。大切な個人情報を預ける前に、しっかりと内容を確認するべきものです。

しかし実際には、長文であったり、普段聞きなれない用語が多かったりして、しっかりと読めていないという方も多いと思います。

そこで今回のコラムでは利用者として気にするべきプライバシーポリシーのポイントをご紹介いたします。

また、事業者の皆様につきましては、作成したプライバシーポリシーの内容に抜け漏れがあった場合、トラブルに発展する可能性があります。事業者として確認するべきプライバシーポリシーのポイントもお伝えします。

  1. 消費者が確認するべきプライバシーポリシーのポイント
  2. 事業者が確認するべきプライバシーポリシーの作り方

 

1. 消費者が確認するべきプライバシーポリシーのポイント

長文であることが多いプライバシーポリシーですが、特に確認すべきポイントをまとめると、以下のようになります。それぞれの項目について説明します。

  • 個人情報の取得主体について
  • 取得する個人情報とその利用目的について
  • 個人情報の第三者提供・共同利用を行う場合の表示
  • 個人情報の開示・訂正・利用停止の手続きの方法について
  • トラッキングについて

 

個人情報の取得主体について

当然のことですが、自分の個人情報を取得するのが誰なのかを明確にしなければなりません。

プライバシーポリシーには必ず記載されていますので、どのような事業者が自分の個人情報を取得するのか、最初に必ず確認しましょう。

 

取得する個人情報とその利用目的について

こちらも当然のことではありますが、個人情報を取得するには必ず「理由」が必要です。

事業者は個人情報を取得するときに利用目的を可能な限り特定し、公表する義務があります。そして、その利用目的を超えて勝手に個人情報を利用することはできません。

個人情報を提供する前に必ず、自分の個人情報が何に使われるのかを確認しましょう。もし、その利用目的に納得ができなければ、契約への同意は避けるべきでしょう。

 

個人情報の第三者提供・共同利用を行う場合の表示

「A社の商品を購入したら、B社の商品のDMがくるようになった。」といったことがまれに発生します。

おかしいと思い、プライバシーポリシーを良く読んでみたら

「(例)取得した個人情報はグループ企業と共有してDMなどでの商品のご案内に利用します。」

と書かれていた、ということがあります。

B社はA社のグループ企業で、A社に渡した情報がB社と共同で利用されていたのです。

これは個人情報の「共同利用」にあたります。他に「第三者提供」として、他の企業へ個人情報を提供することもあります。

個人情報を取得するにあたっては利用目的に共同利用や第三者提供があることを表示することが義務付けられており、プライバシーポリシーに記載されています。第三者提供については利用停止(オプトアウト)の手続きについても記載されています。

この二点はトラブルが起こりやすいため、しっかりと確認してください。

 

個人情報の開示・訂正・利用停止の手続きの方法について

預けた個人情報の利用を停止させたかったり、どのように利用されているのか知りたい場合もでてくるかもしれません。

企業は、利用者からの個人情報に関する問い合わせ(苦情)に対応する窓口と設置し、問い合わせ方法を記載明確にする義務があります。

苦情や開示・訂正受付窓口に関する情報は、多くの場合プライバシーポリシー内に記載されていますので、この記載があるかもチェックしておきます。

 

トラッキングについて

トラッキングとは、簡単にいうとWEBブラウザ上の利用者の行動を追跡する行為です。基本的に利用者の目に見えないところで行われます。インターネットの検索や、ウェブサイトを移動する際にどのような行動をとっていたかによって、利用者の好みなどを把握して、興味を持つと思われる商品の広告の表示などがされるようになります。

この機能については、プライバシーポリシーへの法的な表示義務はありませんが、その有無を表示している事業者もいます。また、ブラウザの機能によってブロックすることが可能な場合もありますので、気になる場合は確認をおすすめします。

以上、5つの項目について解説しましたが、なぜ確認が必要なのか、イメージできたでしょうか。

個人情報を預けるということは、プライバシーポリシーの内容に同意したということが前提となります。トラブルの発生を防ぐためにも、最低限、ここであげた項目についてしっかり確認して、個人情報を登録してください。

2. 事業者が確認するべきプライバシーポリシーの作り方

事業者としては、プライバシーポリシーは個人情報保護法で求められている職務への対応という点から大変重要なものです。

また、法的な義務はありませんが、サイト利用者との信頼関係を構築する上で記載が望ましいと思われる項目もあります。

個人情報保護法で求められている職務の例

  • 要配慮個人情報取得時の同意取得
  • 第三者提供時の同意取得
  • オプトアウトによる第三者提供を行う場合に本人が容易に知り得る状態に置く
  • 匿名加工情報を作成した際、匿名加工情報を第三者提供する際の公表
  • 保有個人データに関し、本人の知り得る状態に置く
  • 共同利用時の本人が容易に知り得る状態に置く 等

法的な義務はないが利用者との信頼関係構築のために記載が望ましい項目の例

  • 自社の、個人情報保護への取り組み姿勢や考え方
  • 目的外利用をしないこと、目的外利用をする場合の手順
  • 業務委託の有無、委託する場合の内容、委託先の監督について
  • 安全管理措置の内容や、従業者の監督方法
  • サイト内で使われているトラッキング技術とその目的 等

 

これからプライバシーポリシーを作成する事業者様においては、こうした項目をしっかりとおさえる必要があります。

また、プライバシーポリシーへのリンクがWEBサイト内のアクセスしやすい場所に貼られているかも重要なポイントです。

詳しくはデータプライバシーデー・ジャパンを運営している一般社団法人 日本プライバシー認証機構が発行したホワイトペーパー「スタートアップ企業必見!『ウェブサイト利用者から信頼されるプライバシーポリシーの作り方』」に分かりやすくまとまっていますので、ぜひそちらをダウンロードいただき、ご参照ください。

一般社団法人 日本プライバシー認証機構 ホワイトペーパーダウンロードページ

また、ネット上で見かけるプライバシーポリシーの中には、法律で求められている項目が書かれていなかったり、消費者に安心を与えるために、項目を追加した方がよいと思われるものが多数見受けられます。

すでにプライバシーポリシーを作成済みの事業者様においても、このホワイトペーパーを参考に今一度見直してみてはいかがでしょうか。