• @lawyer.hiramatsu

個人情報保護法:プライバシーポリシーについて

 今回は、以下のようなご質問について検討します。

 当社はマンション管理会社です。WEB上で、当社のホームページを公開しています。個人情報保護法上、ホームページにプライバシーポリシーを掲載する必要はあるのでしょうか。

■ はじめに


 まず、個人情報保護法上はプライバシーポリシーについての規定はありません。

 ただし、個人情報保護法7条は、「政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本方針(以下「基本方針」という。)を定めなければならない。」と規定しており、同規定に基づいて政府が定めている基本方針【※1】の中に「いわゆる、プライバシーポリシー、プライバシーステートメント等」についての言及があります【※2】。


 【※1】 個人情報の保護に関する基本方針

個人情報の保護に関する基本方針(平成16年4月2日閣議決定、令和4年4月1日一部変更)はこちら

 【※2】 個人情報の保護に関する基本方針【※1】の一部

6 個人情報取扱事業者等が講ずべき個人情報の保護のための措置に関する基本的な事項
(1)個人情報取扱事業者等が取り扱う個人情報等に関する事項
 個人情報取扱事業者等は、法の規定に従うほか、上記2(2)①の民間部門ガイドライン及び認定個人情報保護団体の個人情報保護指針等に則し、例えば、プライバシーを含む個人の権利利益を一層保護する観点から、個人情報保護を推進する上での考え方や方針(いわゆる、プライバシーポリシー、プライバシーステートメント等)を対外的に明確化するなど、個人情報の保護及び適正かつ効果的な活用について自主的に取り組むことが期待されているところであり、体制の整備等に積極的に取り組んでいくことが求められている。その際、事業の規模及び性質、個人データの取扱状況等に応じて、各個人情報取扱事業者等において適切な取組が実施されることが重要である。
…以下略…

■ WEB(ホームページ)上にプライバシーポリシーを掲載する意義


 プライバシーポリシーをホームページに掲載することは法律上義務付けられているわけではありません。

 しかし、ホームページにプライバシーポリシーを掲載する意義(メリット)は存在します。

 例えば、次のような意義(メリット)があります。


1 個人情報取扱事業者として、個人情報保護を推進する上での考え方や方針を対外的に表明することで、当該事業者に対する信頼性を高める。


2 個人情報保護法に規定する一定の事項(後記参照)について、①「公表」【※3】し、又は②「本人が容易に知り得る状態」【※4】に置き、若しくは③「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」【※5】に置くことで、同法が求める義務を履行することができる。


 【※3】「公表」とは

 「公表」の意義や該当事例については、個人情報の保護に関する法律についてのガイドライン(通則編)(令和3年10月一部改正)の「2-15」参照。


 【※4】「本人が容易に知り得る状態」とは

 「本人が容易に知り得る状態」の意義や該当事例については、個人情報の保護に関する法律についてのガイドライン(通則編)(令和3年10月一部改正)の「3-6-2-1」参照)

 【※5】「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」とは

 「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」の意義や該当事例については、個人情報の保護に関する法律についてのガイドライン(通則編)(令和3年10月一部改正)の「3-8-1(1)」参照。

■ プライバシーポリシーに掲載する事項(内容)


1 個人情報保護法21条1項・3項との関係


 個人情報保護法21条1項・3項は以下のとおり規定しています。そこに規定されている「公表」の要件を満たすべく、個人情報取扱事業者は、WEB(ホームページ)のプライバシーポリシーに必要事項を掲載することになります。


 個人情報保護法21条1項

 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

 個人情報保護法21条3項

 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

2 個人情報保護法27条5項3号・6項との関係


 個人情報保護法27条5項及び6項は以下のとおり規定しています。そこに規定されている「本人が容易に知り得る状態」の要件を満たすべく、個人情報取扱事業者は、WEB(ホームページ)のプライバシーポリシーに必要事項を掲載することになります。


 個人情報保護法27条5項

 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
 一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
 二 合併その他の事由による事業の承継に伴って個人データが提供される場合
 三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

 個人情報保護法27条6項

 個人情報取扱事業者は、前項第三号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

3 個人情報保護法27条2項・3項との関係


 個人情報保護法27条2項及び3項は以下のとおり規定しています。そこに規定されている「本人が容易に知り得る状態」の要件を満たすべく、個人情報取扱事業者は、WEB(ホームページ)のプライバシーポリシーに必要事項を掲載することになります。


 個人情報保護法27条2項

 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第二十条第一項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
 一 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下この条、第三十条第一項第一号及び第三十二条第一項第一号において同じ。)の氏名
 二 第三者への提供を利用目的とすること。
 三 第三者に提供される個人データの項目
 四 第三者に提供される個人データの取得の方法
 五 第三者への提供の方法
 六 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
 七 本人の求めを受け付ける方法
 八 その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項

 個人情報保護法27条3項

 個人情報取扱事業者は、前項第一号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第三号から第五号まで、第七号又は第八号に掲げる事項を変更しようとするときはあらかじめ、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。

4 個人情報保護法32条1項との関係


 個人情報保護法32条は以下のとおり規定しています。そこに規定されている「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」の要件を満たすべく、個人情報取扱事業者は、WEB(ホームページ)のプライバシーポリシーに必要事項を掲載することになります。


 個人情報保護法32条

 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
 一 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
 二 全ての保有個人データの利用目的(第二十一条第四項第一号から第三号までに該当する場合を除く。)
 三 次項の規定による求め又は次条第一項(同条第五項において準用する場合を含む。)、第三十四条第一項若しくは第三十五条第一項、第三項若しくは第五項の規定による請求に応じる手続(第三十八条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
 四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
 一 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
 二 第二十一条第四項第一号から第三号までに該当する場合
3 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

■ まとめ


 プライバシーポリシーをホームページに掲載することが法律上義務付けられているわけではありません。しかし、プライバシーポリシーを掲載することには大きな意義(事業者側のメリット)があります。そのため、個人情報取扱事業者としては、独自のプライバシーポリシーを、自身のホームページに掲載しておいたほうがよいといえます。


最新記事

すべて表示

今回は、以下のような質問について検討します。 当社はマンション管理会社です。マンションの区分所有者本人から当社が取得した個人情報を利用して、当該区分所有者に対し、当社が提供している専有部分関係サービス案内(ダイレクトメール)を送付する予定です。  個人情報保護法との関係で問題(違法性)はありますか。 ■ はじめに 1 個人情報保護法について 「個人情報の保護に関する法律」【※1】(以下「法」または

今回は、定期建物賃貸借契約を締結する際の注意点について検討します。 定期建物賃貸借は、平成12年3月1日施行の「良質な賃貸住宅等の供給の促進に関する特別措置法」(平成11年法律第153号)に基づく借地借家法38条改正によって導入された制度です。そのため、まずは借地借家法38条【※1】を確認しておく必要があります。 【※1】 借地借家法38条 (定期建物賃貸借) 第三十八条 期間の定めがある建物の賃

今回は以下のような質問について検討します。 当社(賃貸人)は、個人(賃借人)との間で居住用の普通建物賃貸借契約を締結しています。契約期間を2年間とし、契約を更新する場合には、合意更新又は法定更新のいずれの場合においても、更新料として賃料の1か月分及び更新事務手数料として賃料の0.5か月分を賃借人から賃貸人に支払う旨を合意しています。もちろん、その旨は賃貸借契約書にも明記されています。  ところが、