1. プライバシーポリシーとは、「個人情報の保護に関する基本方針」(閣議決定)で定められた法的義務である。
2. プライバシーポリシーとは、個人情報取扱事業者の義務として定められた法定公表等事項をとりまとめた文書一般をいう。
3. プライバシーポリシーは、個人情報取扱事業者の義務ではなく作成を推奨されているだけである。
【答え】
1. ×
2. ×
3. ○
【解説】
1.プライバシーポリシーとは
(1)個人情報保護法(個人情報の保護に関する基本方針)
政府は、「個人情報の保護に関する法律」(平成15年法律第57号)第7条第1項の規定に基づいて、「個人情報の保護に関する基本方針」(平成16年4月2日閣議決定、平成20年4月25日一部変更)を策定しました。
この基本方針は、個人情報保護施策の推進について、基本的な方向等を定めるとともに、国や地方公共団体、個人情報取扱事業者等が講ずべき措置の方向性を示すために告示されたものです。
本方針には、6 個人情報取扱事業者等が講ずべき個人情報の保護のための措置に関する基本的な事項」という項目があり、「(1) 個人情報取扱事業者に関する事項」と題して、いわゆるプライバシーポリシーについて、次のように定められています。
1. 事業者が行う措置の対外的明確化
事業者が個人情報保護を推進する上での考え方や方針(いわゆる、プライバシーポリシー、プライバシーステートメント等)を策定・公表することにより、個人情報を目的外に利用しないことや苦情処理に適切に取り組むこと等を宣言するとともに、事業者が関係法令等を遵守し、利用目的の通知・公表、開示等の個人情報の取扱いに関する諸手続について、あらかじめ、対外的に分かりやすく説明することが、事業活動に対する社会の信頼を確保するために重要である。
要するに、わが国における個人情報保護方針、すなわちプライバシーポリシーは、個人情報の取扱いに関する方針を公表することにより対外的に明確化するというためのものであり、あくまでも事業者の宣言に止まるものです。
自社の信頼性確保のために推奨されているものであって、法的義務ではありません。
(2)JIS Q 15001
なお、プライバシーマーク制度の審査基準となっている日本工業規格JIS Q 15001においても「個人情報保護方針」としてその策定と公表を求められています。法的義務ではありませんが、プライバシーマークを取得する上では必須のものです。
3.2 個人情報保護方針
事業者の代表者は、個人情報保護の理念を明確にした上で、次の事項を含む個人情報保護方針を定めるとともに、これを実行し、かつ、維持しなければならない。
a)事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること(特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い<以下、“目的外利用"という>を行わないこと及びそのための措置を講じることを含む)。
b)個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守すること。 c)個人情報の漏えい、滅失又はき損の防止及び是正に関すること。
d)苦情及び相談への対応に関すること。
e)個人情報保護マネジメントシステムの継続的改善に関すること。
f)代表者の氏名
事業者の代表者は、この方針を文書(電子的方式、磁気的方式など人の知覚によっては認識できない方式で作られる記録を含む。以下、同じ)化し、従業者に周知させるとともに、一般の人が入手可能な措置を講じなければならない。
JIS Q 15001は、事業者に対して、個人情報保護方針を策定することを求めています。事業者は、個人情報保護の理念を確認し、自社における個人情報の取扱いに関する方針を定め、文書化したうえで内外に向けて宣言しなければなりません。
これにより、内部においては、個人情報の取扱いに関する経営者及び現場従業者の判断の指針が明らかになり、外部に向けては、個人情報の取扱いについての理念と方針、経営責任の所在を明確に示すことができます。
(3)プライバシーポリシーの例
具体的にニフティ株式会社の「個人情報保護ポリシー」を眺めてみましょう。
http://www.nifty.com/policy/privacy.htm
2.法定公表等事項とは
(1)個人情報保護法
一方、法定公表事項とは、文字どおり個人情報保護法によって個人情報取扱事業者が公表等を義務付けられているもの、及び、公表等することで一定の法的効果が発生するものをいいます。
(2)JIS Q 15001
JIS Q 15001の要求事項には明確な定めがありません。個人情報保護方針(プライバシーポリシー)と法定公表等事項は、その内容が異なりますので、混乱しないように両者を区分して策定、公表すべきでしょう。
(3)法定公表等事項の具体例
ニフティ株式会社の「個人情報の保護に関する法律」に基づく公表等事項を確認してみましょう。個人情報保護ポリシー(プライバシーポリシー)と明確に分けて策定、公表していることがわかりますね。
http://www.nifty.com/policy/privacy_law.htm
参考文献
・鈴木正朝『JIS Q 15001 個人情報保護マネジメントシステム入門』(日本規格協会)
http://www.webstore.jsa.or.jp/lib/lib.asp?fn=/easy/easy08_01.htm
鈴木 正朝(すずき・まさとも)
新潟大学法科大学院 教授
1962年4月生まれ。
中央大学大学院法学研究科博士前期課程修了 修士(法学)、情報セキュリティ大学院大学博士後期課程修了 博士(情報学)。専門は情報法。
ニフティ(株)を経て、現職。この間,山口大学,京都女子大学等の非常勤講師、(独)メディア教育開発センター客員教授を兼任。学外活動として、情報ネットワーク法学会理事、経済産業分野個人情報保護ガイドラインやJISQ15001の作成やプライバシーマーク制度の創設にかかわる。
主著は『個人情報保護法とコンプライアンス・プログラム』(商事法務)岡村久道弁護士との共著『これだけは知っておきたい個人情報保護』(日本経済新聞社)は、 2005年のベストセラーとなる。その他著書論文多数。
ホームページ:http://www.rompal.com/
鈴木氏執筆の過去掲載コラムはこちら
『どんと来い、個人情報保護法』
[イラスト]
加藤 豪(かとう ごう)
大阪府出身。ユーモアを含んだ勢いとコントラストの強いカラーのイラスト、人の心理をテーマにしたちょっとシュールな4コマ漫画、短編等を制作しています。
■ホームページ : http://www.occn.zaq.ne.jp/kato5/
