コラム

プライバシーポリシー改訂のポイントを弁護士が解説(後編)

ケーススタディでわかるオンラインサービスのスタート法務

弁護士・登録情報セキュリティスペシャリスト
石田 優一

目次

【前編】

第1章 2022年3月までにプライバシーポリシーの見直しを
第2章 取り扱っている個人情報の項目を見直す
1 取り扱っている個人情報の項目を見直すべき理由
2 「個人情報」の意味を理解する
3 ケーススタディ
4 Cookieの取扱い
5 個人情報の範囲を明確にしたうえでの洗い出しを
第3章 取り扱っている個人情報の利用目的を見直す
1 取り扱っている個人情報の利用目的を見直すべき理由
2 プライバシーポリシーに個人情報の利用目的を示す理由
3 利用目的をどこまで具体的に記載すべきか
4 利用目的の抜け漏れが起きやすいケース
5 各事業部門への調査によって個人情報の利用目的の洗い出しを
6 個人情報の目的外利用が発覚した場合における対応

【後編】

第4章 個人データの委託先への提供や共同利用
1 他の事業者に不適法に個人情報を提供していないかのチェックも重要
2 事業者間をまたいだ個人情報の取扱いの例
3 個人情報の第三者提供に関する個人情報保護法の規定
4 対象となる個人情報が「個人データ」に該当するかどうか
5 委託先への提供に関するルール
6 事業者との共同利用に関するルール
7 国外の事業者への委託・共同利用に関するルール(越境移転規制)
第5章 個人データの安全管理措置
1 安全管理措置とは
2 安全管理措置の実施状況を見直すべき理由
3 安全管理措置に関する社内ルールを策定する方法
第6章 保有個人データに関する事項の公表
1 本人の知り得る状態に置かなければならない事項
2 「保有個人データ」の意味
3 プライバシーポリシーに記載すべき安全管理措置の内容
第7章 おわりに

前編はこちら

第4章 個人データの委託先への提供や共同利用

1 他の事業者に不適法に個人情報を提供していないかのチェックも重要

プライバシーポリシー改訂のために個人情報の取扱状況を調査している中で、自社で収集した個人情報を他の事業者に提供していることが明らかになるケースがあります。この場合は、個人情報を他の事業者に提供することが個人情報保護法上適法であるかどうかを、検証しなければなりません。

最近の事案では、大手SNSサービスの「LINE」が、国外の委託先事業者から利用者の個人情報へのアクセスが可能な状態にあったことが問題になったケースがありました。このケースで問題になった点の1つが、国外の委託先事業者からのアクセス可能性やその適法性に関する情報が、プライバシーポリシーで利用者に提供されていなかった点です。

プライバシーポリシー改訂の際は、他の事業者に個人情報を提供する際のルールを明確に理解し、個人情報保護法への準拠や透明性の確保のために必要な表示をプライバシーポリシーに盛り込むことが重要です。

2 事業者間をまたいだ個人情報の取扱いの例

自社において収集した個人情報を他社に提供するケースは、様々あります。具体的には、次のような例があります。

(1) システムの管理保守、配送、業務のアウトソーシングなど

自社の事業のために必要な業務でありながら、自社内に必要な人員や業務体制がいない場合には、他社にその業務を委託することがあります。システムの管理保守、配送、業務のアウトソーシングなどが、その例として挙げられます。業務委託においては、多くのケースで、自社で収集した個人情報の取扱いを他社においても取り扱わせる必要性が生じます。

なお、システムの管理保守については、保守管理者が個人データに触れることを防ぐための措置(アクセス制御や契約での制限など)を講じたうえで行うものについては、個人情報の第三者提供のルールは適用されないとされています(個人情報保護法Q&A)。

(2) グループ会社、業務提携先、共同研究など

事業を分社化したい場合や、海外に拠点を置きたい場合、子会社や関連会社などのグループ会社を設立して、そのグループ会社と社内の個人情報を共有することがあります。また、他社と業務提携や共同研究を行う場合には、関連業務の実施のために自社の個人情報を共有することがあります。

(3) クラウドサービスの利用

最近では、DXの流れもあり、他の事業者のクラウドサービスで顧客情報などの個人情報を分析したり、保存・管理したりする事業者が増えてきています。

クラウドサービスの利用については、単にデータの保存場所としてのみ使用することができ、サービス提供事業者側からのデータへのアクセスが契約上・技術上ともに厳格に制限されているケースであれば、個人情報の第三者提供のルールは適用されないとされています(個人情報保護法Q&A)。

一方で、クラウドサービスに管理しているデータの傾向分析をするツールが備わっている場合などは、サービス提供事業者側からのデータへのアクセスが可能な状況になっているといて、個人情報の第三者提供のルールが適用される可能性があります

なお、(あくまでも私見ですが)ファイル名やファイルの種別に応じた並べ替え機能や、特定の文言が含まれるファイルを検索する機能がクラウドサービスに備わっているだけでは、直ちに個人情報の第三者提供のルールが適用されないように思われます。なぜなら、個人情報の第三者提供のルールが適用されるのはその個人情報に一定の検索性がある場合に限られる(後述)ため、このような機能が備わっているだけで第三者提供のルールが適用されるのであれば、第三者提供のルールが適用されないクラウドサービスはほとんど存在しないことになり、個人情報保護法Q&Aの想定と整合しないからです。

(4) ビッグデータの構築

最近では、AIでの利活用のために、多数の事業者間で同種の個人情報を集約して、ビッグデータを構築するニーズがあります。このような場合、個人情報の1社に集約したうえAIで分析して個人情報に該当しない結果のみを共有するケースや、個人情報自体を参加事業者間で共有するケースがあります。

3 個人情報の第三者提供に関する個人情報保護法の規定

(1) 個人データの第三者提供の原則禁止

個人情報保護法第23条
1 個人情報取扱事業者は、・・・あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

個人情報保護法によれば、原則として、本人の同意がなければ、「個人データ」を第三者に提供することができません。そこでまずは、「個人データ」に提供する個人情報の意味が問題になります。
※オプトアウトによる例外(法23条2項)はこのコラムでは取り上げません。

(2) 委託先への提供・共同利用の場合の例外

個人情報保護法第23条(改正後)
5 次に掲げる場合において、当該個人データの提供を受ける者は、・・・第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
三 特定の者との間で共同して利用される個人データが当該特定の者との間に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

個人データに該当する個人情報の第三者提供は、原則として本人の同意がなければできません。ただし、委託先や共同利用者については、所定の要件を満たせば、「第三者」に該当しないものとして扱われることから、本人の同意がなくても提供することができます。

(3) 越境移転規制(国外の事業者が委託先・共同利用者である場合)

個人情報保護法第24条(改正後)
1 個人情報取扱事業者は、外国・・・(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。・・・)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第3項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。・・・)に個人データを提供する場合には、・・・あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。・・・
3 個人情報取扱事業者は、個人データを外国にある第三者(第1項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

委託先や共同利用者に対する個人データの第三者提供は、所定の要件を満たせば、原則として本人の同意がなくても適法に行うことができます。ただし、その委託先や共同利用者が日本国外に所在している場合には、個人情報保護法24条の越境移転規制が適用され、本人の同意なく個人データの第三者提供を行うことができない場合があります。

ここからは、上記の流れに沿って、それぞれのルールの内容を、プライバシーポリシー改訂にあたって留意すべき点を中心に説明します。

4 対象となる個人情報が「個人データ」に該当するかどうか

この章で取り上げる問題ではじめに重要なポイントとなるのが、検討対象となっている個人情報が「個人データ」に該当するかどうかです。もし、その個人情報が「個人データ」には該当しないのであれば、この章で説明するルールはそもそも適用されません。

「個人データ」とは、「個人情報データベース等」を構成する個人情報をいいます(法2条6項)。また、「個人情報データベース等」とは、個人情報を含む情報の集合物であって、(1)特定の個人情報をコンピュータで検索することができるように体系的に構成したもの(2)特定の個人情報を一定の規則に従って整理して目次・索引などで容易に検索することができるように体系的に構成したもののいずれかに該当するものといいます(法2条4項)。

簡単にいえば、個人情報をコンピュータ上で整理したり、ファイリングしたりしたものが「個人情報データベース等」であり、「個人情報データベース等」の構成要素となっている個人情報が「個人データ」です。個人情報と個人データの違いを図で示すと、次のようになります。

特に、コンピュータ上で管理する個人情報については、データベースサーバーでの管理していなくても、表形式でリスト化したり、ファイル名に一定の規則を付けてファイル検索がしやすい形で管理したりしているケースでも、「個人情報データベース等」に該当しえます。この場合、そのファイルを構成する個人情報は、「個人データ」に該当しえます。

単に撮影時刻での検索しかできない防犯カメラの映像は、「個人データ」には該当しません。もっとも、防犯カメラの映像に含まれる特定の顔の人物を容易に検索することができるAIツールを導入し、顔認証情報をデータベース化して保存する場合には、防犯カメラの映像も「個人データ」に該当する可能性があります。このように、技術の進歩に伴い、これまで「個人データ」に該当しなかったものが将来的に「個人データ」に該当する可能性があることには、注意が必要です。

5 委託先への提供に関するルール

(1) 本人の同意のない個人データの取扱いの委託

個人データの取扱いを他の事業者に「委託」する場合には、原則として、個人データの第三者提供に該当しないとされています(法23条5項1号)。

ただし、次の例外には注意が必要です。

第1に、国外の事業者が委託先となる場合には、この例外が適用されず、原則に立ち返って、本人の同意なく個人データの第三者提供をすることができない場合があります。これは、越境移転規制といわれるものです。詳しくは、後ほど取り上げます。

第2に、委託先が利用目的の達成に必要な範囲を超えて個人データを取り扱うこととなる場合には、この例外が適用されず、原則に立ち返って、本人の同意なく個人データの第三者提供をすることができません。個人データの取扱いを他の事業者に委託する際には、自社においてその個人データを取り扱う場合と同様に、委託先においても目的外利用がされることのないように、委託先との契約において個人データを利用することのできる範囲を明確にしておく必要があります。また、委託先において複数の委託元の個人データを「混ぜて」取り扱うことは許されないとされていますので(個人情報保護法Q&A)、自社の個人データと他社の個人データとが委託先において区別して管理される体制になっているかどうかの確認も必要です。

(2) 委託に該当するケース

個人データの取扱いを伴うシステムの管理保守、配送、業務のアウトソーシングなどは、個人データの取扱いの委託に該当するといえます。提供事業者による個人データの取扱いを伴うクラウドサービスも、個人データの取扱いの委託に該当することが多いものと考えられます。ただし、提供先の事業者の拠点が国外にある場合は、越境移転規制によって本人の同意なく個人データを提供先に取り扱わせることができない場合がありますので、この点には注意が必要です。

次に、グループ会社、業務提携先、共同研究への個人データの共有も、個人データの取扱いの委託として説明しうる場合もありますが、各事業者間が個人データを主体的に取り扱うことが想定されるのであれば、後ほど取り上げる共同利用の観点から説明すべきです。

AIでの利活用のために、多数の事業者間で同種の個人情報を集約してビッグデータを構築するケースも、個人データの取扱いの委託として説明しうる場合があります。ただし、委託先において複数の委託元の個人データを「混ぜて」取り扱うことは許されませんので、委託先において個人データを加工して特定個人識別性を失わせたり匿名加工情報にしたりしない限り、異なる委託元から提供を受けた個人データを区別して管理する体制があることを前提とします

(3) 委託先の監督

個人データの取扱いを他の事業者に委託する場合には、委託先に対する必要かつ適切な監督の義務が生じることに注意が必要です。詳しくは、「個人情報漏えいに対する企業の損害賠償責任を弁護士が解説」で取り上げています。

(4) プライバシーポリシー改訂にかかわるポイント

個人データが他の事業者に提供されることが想定される場合には、委託先において想定される個人データの利用形態が、プライバシーポリシーに掲げている個人情報の利用目的と整合しているかどうかを検証する必要があります。

また、透明性の確保の観点からは、個人データを他の事業者に委託する場合やその目的を、プライバシーポリシーに明示することが望ましい対応です。

6 事業者との共同利用に関するルール

(1) 本人の同意のない共同利用

複数の事業者間で個人データを共同して利用する場合、所定の要件を満たせば、原則として、参加事業者は個人データの第三者提供に該当しないとされています(法23条5項3号)。

本人から見た場合に、共同利用に参加している複数の事業者が一体となって個人データを利用していることが明確になっているのであれば、1事業者が組織内で個人データを利用している場合と大きな違いはありません

一方で、本人から見た場合に、共同利用に参加する事業者の範囲が不明瞭になっていれば、1事業者が組織内で個人データを利用している場合と比べて、本人に予期しえない不利益を与えてしまうおそれがあります。

そこで、個人情報保護法では、複数の事業者間で個人データを共同して利用する場合には、次の事項をあらかじめプライバシーポリシーで示すような場合(本人が容易に知り得る状態に置く場合)に限って、参加事業者との共同利用を個人データの第三者提供として扱わないことにしています。なお、2022年4月施行予定の改正個人情報保護法で、新たに管理責任者の住所と代表者氏名(法人)が追加されている点には注意が必要です。

(a) 特定の者との間で共同して利用される個人データが当該特定の者に提供されること
(b) 共同して利用される個人データの項目
(c) 共同して利用する者の範囲
(d) 利用する者の利用目的
(e) 個人データの管理について責任を有する者の氏名・名称、住所、(法人は)代表者氏名

ただし、国外の事業者が委託先となる場合には、この例外が適用されず、原則に立ち返って、本人の同意なく個人データの第三者提供をすることができない場合があります。これは、越境移転規制といわれるものです。詳しくは、後ほど取り上げます。

(2) 共同利用に該当するケース

グループ会社、業務提携先、共同研究などに伴って個人データを共有したい場合には、個人データの共同利用として説明することが考えられます。これらの場合であれば、「共同して利用する者の範囲」を明確に示しやすいことから、個人データの共同利用の観点から説明しやすいものといえます。

複数の事業者から個人情報を集約したうえでのビッグデータの構築についても、参加事業者による個人データの共同利用として説明することが考えられます。この場合は、「共同して利用する者の範囲」を明確にできるかどうかが重要になります。例えば、参加事業者の範囲をあらかじめ限定していて、将来的に参加事業者の変動はありうるとしても、おおむね「共同して利用する者の範囲」を画定させることができる場合は、個人データの共同利用としての説明になじみます。一方で、新規の参加を随時認めるような場合は、「共同して利用する者の範囲」を画定させることが困難なため、個人データの共同利用としての説明になじみません。

(3) プライバシーポリシー改訂にかかわるポイント

個人データの共同利用の場合には、所定の事項をあらかじめプライバシーポリシーなどで示しておくことが個人情報保護法上求められていますので、現行のプライバシーポリシーがそれに対応しているかどうかの確認が必要です。特に、「共同して利用する者の範囲」については、一般人にとって分かりやすい記載になっているかどうかも検討すべきです。

7 国外の事業者への委託・共同利用に関するルール(越境移転規制)

(1) 越境移転規制が適用される場合

個人データの委託・共同利用が原則として第三者提供に該当しないことは、すでに説明したとおりです。ただし、個人データの提供先が国外の事業者である場合には、個人情報保護法24条の越境移転規制が適用されないかどうかの検証が必要です

越境移転規制とは、個人情報保護法の規制が及ばない国外に個人データを移転させることで漏えいや不正利用のリスクが生じることから、本人の同意がない限りは原則として国外への個人データの移転を禁止するルールのことです

越境移転規制が適用される場合、個人データの委託・共同利用でも、第三者提供に該当するものとして本人の同意が必要になります。

(2) 越境移転規制が適用されないケース1-指定国の事業者への提供

国外の事業者に対する個人データの提供でも、その事業者の拠点が個人情報保護委員会規則の定める指定国であれば、越境移転規制が適用されないとされています。

本コラムの執筆時点で指定国とされているのは、おおむねGDPRの適用されるEU域内(正確にはEEA域内)と英国です。例えば、アメリカ、中国、韓国は指定国に該当しません。特に、アメリカについては、IT関連サービスの拠点となるケースが多いことから、十分に注意が必要です

(3) 越境移転規制が適用されないケース2-相当措置を講じている事業者への提供

本コラムの執筆時点では、EU域内以外の国、例えば、アメリカ、中国、韓国などは指定国でありません。指定国ではない国に拠点がある事業者への個人データの提供については、その事業者が「個人情報保護法上講ずべき措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している」場合に限り、越境移転規制が適用されないことになっています。裏を返せば、このような体制が整備されていなければ、指定国ではない国に拠点がある事業者に対する個人データの委託・共同利用は、本人の同意がない限り原則として違法となります

このような体制が整備されている場合とは、提供元・提供先間の契約や提供先の提示する約款などで、提供先が個人データの管理に関して個人情報保護法と同水準の措置(相当措置)を講じることが担保されているケースなどが想定されます。

2022年4月施行予定の改正個人情報保護法24条3項によれば、提供元は、提供先の相当措置の実施状況やその実施に影響しうる外国の制度について定期的に確認(定期確認)しなければならず、その継続的な実施が確保できないのであれば個人データの取扱いの委託や共同利用を停止しなければなりません。また、本人からの求めがあれば、(1)相当措置の概要、(2)相当措置を継続的に講じるための体制整備の方法、(3)定期確認の頻度・方法、(4)外国の名称などの情報を提供しなければなりません

(4) プライバシーポリシー改訂にかかわるポイント

国外の事業者に対して個人データの委託・共同利用においては、透明性の確保の観点から、越境移転規制が適用されない根拠をプライバシーポリシーで明確にしておくことが求められます。また、国外が指定国でないのであれば、越境移転規制が適用されないためにどのような対策を講じているのかについて、具体的に示しておくことが求められます。

特に、海外の事業者が提供するIT関連サービスを利用する場合や、海外に拠点のある支社と個人データを共有する場合などは、越境移転規制の検討をおろそかにしがちであるため、十分に注意が必要です。IT関連サービスの場合、サービス提供事業者側から利用規約などの約款が示されることが一般的であることから、その中に個人データの保護にかかわるどのような規定が置かれているかを吟味すべきです。その際は、IT関連サービスの導入担当部門と法務部門の連携も必要になります。

第5章 個人データの安全管理措置

個人情報保護法第20条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

1 安全管理措置とは

安全管理措置とは、個人データを漏えい、滅失、き損の防止をはじめとする安全な管理をするために必要・適切な措置のことをいいます。一般の「情報セキュリティ対策」といわれているものに近い概念です。

安全管理措置として講じなければならない具体的な内容は、個人情報保護法ガイドライン別添にリストアップされています。詳しくはガイドラインをご確認いただきたいですが、基本的な考え方としては、組織的・人的・物理的・技術的な観点での措置を総合的に講じなければならないとされています。

2 安全管理措置の実施状況を見直すべき理由

後ほど取り上げるように、2022年4月施行予定の改正個人情報保護法により、保有個人データについては、安全管理措置として具体的にどのような措置を講じているかについて、プライバシーポリシーなどで本人の知り得る状態にするか、あるいは、本人の求めに応じて遅滞なく回答しなければならなくなります。個人データの安全管理措置として何を行っているかを対外的に示すことを機に、これまで実施してきた安全管理措置が適切なものであったかどうかを改めて検証すべきです。

また、安全管理措置を適切に講じていなかったことは、万が一個人データが漏えいした際に、事業者の「過失」や「債務不履行」を問われ、損害賠償責任を負う法的根拠となります。安全管理措置の実施状況を検証することは、このような損害賠償責任を問われうる法務リスクを把握するためにも重要です。この点については、「個人情報漏えいに対する企業の損害賠償責任を弁護士が解説」で詳しく取り上げています。

さらに、2022年4月施行予定の改正個人情報保護法により、個人データに漏えい事故などのインシデントが発生した場合に、迅速に被害状況を把握したうえ、原因調査を実施し、個人情報保護委員会への報告や被害者への通知をしなければならない義務が新設されます。詳しくは、「個人情報保護法改正で変わる漏えい対応を弁護士が解説」で取り上げています。このような義務に対応するためには、組織的・人的な観点での安全管理措置が重要になるほか、UTMの設置、ログの保存などの技術的な観点での安全管理措置も重要になります。

3 安全管理措置に関する社内ルールを策定する方法

必要な安全管理措置を適切に実施していくためには、個人データの管理方法に関する社内ルールを策定することが必要です。

社内ルールの策定について、規模の大きい企業であれば、CSIRTのような専門組織がない限り、情報セキュリティ対策のサポートを行う外部の専門家に依頼することをおすすめします。

一方で、中小規模の企業など、CSIRTのような専門組織が社内になく、かつ、外部の専門家に依頼することが予算的に厳しい場合には、IPAが公開する「中小企業の情報セキュリティ対策ガイドライン」を参考に社内ルールを策定することをおすすめします。「情報セキュリティ関連規程」「リスク分析シート」など、基本的な社内ルールを策定するために必要なツールが付属しているからです。ただし、「情報セキュリティ関連規程」はあくまでもサンプルで、事業者の実情に応じてカスタマイズすることが想定されていますので、そのまま社名だけ書き換えて社内ルールとして適用することがないように留意してください。

4 国外の事業者への委託・共同利用を伴う場合における安全管理措置

2022年4月施行予定の個人情報保護法改正により、海外の事業者が提供するIT関連サービスを利用する場合や、海外に拠点のある支社と個人データを共有する場合など、取り扱う個人データについて国外の事業者への委託・共同利用を伴う場合に、「外国の個人情報の保護に関する制度等を把握した上で、・・・安全管理のために必要かつ適切な措置を講じなければならない」ことが安全管理措置として追加されました。

具体的には、第三者提供を行う事業者の所在国を特定したうえで、その国にどのような個人情報保護法制があるのかを調査することが必要になります。今後、個人情報保護委員会から国外の個人情報保護法制に関する情報が順次公表される予定であることから、その情報も参考にしながら、該当国の法制度の把握が求められるようになります。

第6章 保有個人データに関する事項の公表

1 本人の知り得る状態に置かなければならない事項

保有個人データ(後ほど詳しく説明します)については、次の事項について本人の知り得る状態に置くか、本人の求めに応じて遅滞なく回答しなければなりません。これらの事項については、プライバシーポリシーに明示することが一般的です。2022年4月施行予定の改正個人情報保護法で新たに追加された事項がありますので、注意が必要です。

(a) 事業者の氏名・名称、住所、(法人の場合)代表者氏名【一部改正】
(b) 保有個人データの利用目的
(c) 保有個人データの利用目的の通知、開示、訂正・追加・削除、利用停止・消去、第三者提供の停止の手続
(d) (c)の手続についての手数料の額
(e) 保有個人データの安全管理措置(後ほど詳しく説明します)【改正】
(f) 保有個人データの取扱いに関する苦情の申出先

※新たに、利用する必要がなくなった場合や重大インシデントが発生した保有個人データについて利用停止等を請求することが認められるようになった点(改正法30条5項)には、留意が必要です。

2 「保有個人データ」の意味

「保有個人データ」とは、個人データのうち、事業者に(a)通知、開示、訂正・追加・削除、利用停止・消去、第三者提供の停止の権限があり、(b)その存否が明らかになることで本人・第三者の生命・身体・財産に危害が及ぶおそれがあるなどの理由で除外されていないものをいいます(法2条7項)。個人データとして管理するもののほとんどは、「保有個人データ」に該当することが通常です。

2022年4月施行予定の個人情報保護法改正により、これまでは「保有個人データ」に該当しないとされてきた6か月以内の消去が予定されている個人データも、新たに「保有個人データ」に該当することとなる点には注意が必要です。

3 プライバシーポリシーに記載すべき安全管理措置の内容

2022年4月施行予定の個人情報保護法改正により、個人データの安全管理措置の具体的な内容を本人の知り得る状態に置くことが求められます。これを受けて、プライバシーポリシー改訂においては、個人データの安全管理措置の状況を整理したうえで、その内容をプライバシーポリシーに明示することが適切な対応です。

プライバシーポリシーへの明示の方法は、個人情報保護法ガイドライン通則編に例が示されていますので、こちらを参考にしながら記載内容を検討することが望ましいです。

ただし、安全管理措置の内容を具体的に示すといっても、例えば、情報セキュリティ対策ツールとして何を使用しているか、どこにサーバーを設置しているかなどの情報は、プライバシーポリシーに記載すべきではありません。なぜなら、こういった情報まで公開してしまえば、そのツールの脆弱性を狙った攻撃や、サーバーの設置場所を狙った不正アクセスなどの被害につながるおそれがあるからです。

安全管理措置の内容をどこまで具体的に示すかについては、情報セキュリティ担当部門や法務部門の意見も取り入れながら検討していくことが望ましい対応です。

第7章 おわりに

今回は、2022年4月施行予定の改正個人情報保護法に関する最新情報も交えながら、プライバシーポリシー改訂のポイントを詳しく解説しました。Web Lawyersでは、プライバシーポリシー作成のご支援や、弁護士による社内研修などのご依頼を承っております。お困りのことがございましたら、お気軽にお問い合わせください。

関連サービス

ケーススタディでわかるオンラインサービスのスタート法務

PAGE TOP