プライバシーポリシーのQ＆A

平成29年5月30日の法改正前は、過去6か月間いずれの日をとっても5000人分以下の個人情報しか扱っていない事業者は、例外的に「個人情報取扱事業者」にあたらないとされていました。

しかし、平成29年5月30日の法改正によってこのような例外が撤廃され、あらゆる規模の事業者が「個人情報取扱事業者」にあたることになりました。これにより、これまで個人情報保護法上の義務を負わなかった小規模な事業者も、「個人情報取扱事業者」としての義務を負うことになります。

このため、個人情報を扱う事業者は、小規模な事業者も含め、あらためて、自社のサービスや個人情報保護への取り組みが、個人情報保護法に合致しているか見直す必要があるといえます。

個人情報保護法上の「個人情報」とは、生存する個人に関する情報のうち、
①それ単体で個人を識別できるもの、②他の情報と組み合わせることで個人を識別できるもの及び③個人識別符号が含まれるものをいいます。

①にあたるものとしては、個人の氏名等、②にあたるものとしては、生年月日、住所、電話番号、会社における職位等があります。

③は改正個人情報保護法（平成29年5月30日施行）で新たに設けられた「個人識別符号」に関するものです。DNAのデータ、容貌、マイナンバー、運転免許証の番号等がここに含まれます。

詳しくは、個人情報保護法の施行令及び施行規則にてご確認ください。

プライバシーポリシーとは、その法人（又はサービス）における「個人情報」の取扱いを定めた文書です。「個人情報」だけでなく広く「パーソナルデータ」の取扱いについて定めている場合もあります。

「個人情報」とは、生存する個人に関する情報であって、ア）情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）、イ）個人識別符号（運転免許証のナンバーなど）が含まれるもの、のいずれかです。

これに対して「パーソナルデータ」は、個人の属性情報、移動・行動・購買履歴など、特定の個人を識別できるか否かを問わず、個人と関係性が見出される広範囲の情報を指すものと考えられています。

「個人情報」を取得する場合には、あらかじめその利用目的を公表しなければなりません（詳しくは個人情報保護法21条1項）。このため、個人情報を取得するウェブサービスでは、少なくともこの「利用目的」を公表するためにプライバシーポリシーを定める義務があります。

この他、国外ルールへの対応のためや、自社の個人情報保護体制をアピールするためにも、プライバシーポリシーは定められています。

他方、情報提供のみを目的とするウェブサービスなど、個人情報を取得しないウェブサービスであれば、ウェブサイト上にプライバシーポリシーを掲載する義務はありません。もっとも、（ウェブサービス外で）個人情報を収集するに際しては、他の方法で利用目的等を本人に通知する必要があります。

個人情報は、利用目的をできる限り特定して取得しなければならず、その範囲を超えて取扱いをすることもできません。よって、想定される利用目的については、過不足なくプライバシーポリシーに定めておかなければなりません。

また、個人情報を他社と共有したり、第三者提供する場合にも、個人情報法に則った定めをしておく必要があります。

この他、ウェブサービスの特殊性として世界中からのアクセスが可能であるため、国外ルールの適用可能性があるかを見極めたうえ、必要な場合には、それらに準拠した定めをおかなければなりません。

2022年4月施行の改正個人情報保護法により、住所と、法人はその代表者の氏名も「本人の知り得る状態」におかなければならなくなりました。

よって、これまでプライバシーポリシーに法人の名称のみを記載していた場合には、これに加えて、住所（本店所在地）と、代表者氏名を記載することが適切です。

ただし、「本人の知り得る状態」には「本人の求めに応じて遅滞なく回答する場合を含む。」とされていますので、何らかの事情でこれらをプライバシーポリシーに記載できない場合には、遅滞なく回答する体制を整えておくことでも足ります。

2022年4月施行の改正個人情報保護法により、保有個人データの安全管理のために講じた措置（施行令第10条１号）も、公表するか、又は求めに応じて遅滞なく回答することで「本人の知り得る状態」に置かなければならなくなりました（法32条1項本文）。

ただし、安全管理措置に支障を及ぼすおそれがあるものは、その必要はありません。

よって、安全管理措置については、プライバシーポリシーへの記載は必須ではありませんが、いつでも開示できるように内部的には準備しておく必要があります。

EUにおいては、個人データの処理と移転に関するルールを定めた規則として、2017年4月にEU一般データ保護規則（General Data Protection Regulation：GDPR）が制定され、2018年5月から適用が開始されることとなりました。

GDPRは、EU（EEA。以下同じ。）域内の自然人の個人データを扱う企業等を直接規制する規則です。つまり、EU域内の企業に限らず、国内企業であってもEU域内の個人データを扱う企業等であれば規制の対象となる可能性があります。特に、EU域内へ商品やサービスを提供している企業やEU域内の企業から個人データの処理を受託している企業は注意が必要です。

GDPRへの違反行為には高額の制裁金が課されるリスクがありますので、対象となる企業は、適用開始までに適切な措置をとっておく必要があります。

GDPRは、EU域外の事業者であっても、EU域内のデータ主体（人）を対象とすることが明らかな場合（EU域内の人へ商品・サービスを提供するなど）には適用されます。ウェブサービスがEU域内の人へ商品・サービスを提供することが想定されているかは、ア）EU域内からのアクセス可能性、イ）使用されている言語、ウ）決済通貨、エ）ウェブサイト上の記載などから判断されます。

言語が日本語のみ、決済通貨も日本円のみという国内向けウェブサービスでは、この他に特別な要素がなければ、「EU域内のデータ主体（人）を対象とすることが想定されている」ことが明らかとはいえないため、GDPRの対象とはなりません。
実態としてEU域内からのアクセス・利用がある場合には個別の判断が必要です。

EU域内に拠点を持たない事業者がGDPRの対象となる場合には、代理人（Representatives）を選任しなければならない可能性があるなど、プライバシーポリシーの変更のみでなく、別途対応な必要な事項があります。

GDPRで保護される「個人データ」は「識別された又は識別され得る自然人に関するあらゆる情報」と定義されています。

この「識別され得る自然人」の例としては、「氏名、識別番号、位置データ、オンライン識別子のような識別子、又は当該自然人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な一つ若しくは複数の要素を参照することによって、直接的に又は間接的に、識別され得るものをいう。」とされています。

よって、クッキーのようなオンライン識別子についても、それによって個人を識別できうるものと考えて、氏名等と同等の対策をするべきといえます。

GDPRに加え、ePrivacy規則でも、クッキー取得にはデータ主体の主体的な同意が必要と解されています。よって、プライバシーポリシーを掲載するだけでなく、確認フォーム・バナーにより同意をえたうえでクッキーを取得することが重要です。

GDPRの対象となるサービスにおいては、プライバシーポリシーはEU域内の人が理解できる言語で記載されている必要があります。よって、このようなサービスでは、少なくとも英語で記載されたプライバシーポリシーを用意しておく必要があります。