個人情報やデータ管理、コンプライアンスが問われる現在の世の中、あなたのサイトは大丈夫ですか?
よく通販サイトやお問い合わせフォームなどで、ここまで情報を入力する必要があるのか。
迷惑メールがずいぶん増えたけど、最近登録したあのサイトのせいではないのか・・・と思ってしまうこともあります。
今回は、そういった情報保護の観点から、ホームページに「プライバシーポリシー」のページが必要か考えてみたいと思います。
「プライバシーポリシー」とは、ウェブサイト内にて収集した個人情報などをどのように取り扱うか、またどのような目的や手段で収集するかを明記した、「個人情報取り扱いの方針」の事です。
「個人情報保護法」では、その法律の影響範囲が顧客情報を5,000件以上保有する企業に限定されていました。しかし、2015年9月の法改正により(以下、法改正と言います)5,000件未満の企業も個人情報保護法の適用を受け、個人情報を取得する際にはあらかじめ利用目的を公表するか、その都度、本人に利用目的を通知しなければならないことになりました。
この法律は、2017年9月までに施行されます。 今のうちに準備を進めておきましょう。
これは大きな変更で、今まではプライバシーポリシーを必要としなかった企業も、今後はウェブサイトなどでプライバシーポリシーを公開することが望ましくなったと言えます。
公開しないにしても、最低でもプライバシーポリシーは作成する必要があります。
まずは、従来から「プライバシーポリシー」を制定した企業が気を付けるべきポイントですが、「第三者への情報提供」が注意すべきポイントです。
法改正前の段階では、「第三者への提供を利用目的とすること」や、「第三者に提供する個人データの項目」および「第三者提供の手段または方法」をプライバシーポリシーに明記することで第三者へ提供することが可能でした。もちろん、本人の同意なしです。
例えば、個人情報入りのアンケートデータを統計会社へ渡したり、顧客データをシステム会社へ渡す、などといった場合です。
事前にプライバシーポリシーに書くことが条件ですが、受け渡しは可能だったのです。
しかし、法改正によって個人情報保護委員会への届出をしない限り、本人の同意なく、個人データを第三者提供することができなくなりました。
ただし、以下の場合は届け出無しで第三者へ提供することができます。
(1) 個人情報保護法以外の他の法令に基づき、個人データを第三者提供する場合。
(2) 人の生命、身体又は財産の保護のために個人データの第三者提供が必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
まぁ、今までのように事前に言ってればOKだね、というわけではないという事です。
近年はビッグデータと呼ばれる、個人情報を保持しないレベルでの顧客情報を解析、管理する手法が流行しています。
そんな中、「個人情報」にあたるデータとは何なのか、を知っておく必要があります。
個人情報とは、
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの。
他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。
と定義されています。
つまり、
「東京都渋谷区に住む30代男性 趣味はゴルフ 年収は400万円」
のようなデータは、個人を特定できず、照合もできません。つまり、個人情報にあたりません。
このような個人が識別できないデータの集合体がビッグデータと呼ばれ、全体的な購買傾向や行動分析などに利用されているのです。
ただ、注意すべき点として、法改正により上記の定義にさらに個人情報が追加されました。
生存する個人に関する情報であって、個人識別符号が含まれるもの。
という項目が追加されています。これは、パスポート番号や、運転免許番号、マイナンバーなども含まれます。
個人情報と紐づく番号は個人情報として取り扱うようにする、という事ですね。
上に挙げた
・ 第三者への個人情報提供
・ 個人識別番号を含む個人情報の保護方針
を修正する必要があります。
また、今後は取得し個人情報を一定期間保持し管理しなくてはならなくなりました。ですので、管理方法に関しての記述も加えたほうが良いでしょう。
個人情報保護方針
例)〇〇社は、以下のとおり個人情報保護方針を定め、個人情報保護の仕組みを構築し、全従業員に個人情報保護の重要性の認識と取組みを徹底させることにより、個人情報の保護を推進致します。
個人情報の管理
例)〇〇社は、お客さまの個人情報を正確かつ最新の状態に保ち、個人情報への不正アクセス・紛失・破損・改ざん・漏洩などを防止するため、セキュリティシステムの導入および実装・社員教育の徹底等の必要な措置を講じ、安全対策を実施し個人情報の厳重な管理を行ないます。
個人情報の利用目的
例)本サイトでは、お客様からのお問い合わせ時に、お名前、メールアドレス、電話番号、ご住所等の個人情報をご登録いただく場合がございますが、これらの個人情報はご提供いただく際の目的以外では利用いたしません。
お客さまからお預かりした個人情報は、当社からのご連絡や業務のご案内やご質問に対する回答として、電子メールや資料のご送付に利用いたします。
また、お問い合わせフォームなどに別途の目的が記載してある場合はその限りではございません。
個人情報の第三者への開示・提供
例)当社は、お客さまよりお預かりした個人情報を適切に管理し、次のいずれかに該当する場合を除き、個人情報を第三者に開示いたしません。
(1) 個人情報保護法以外の他の法令に基づき、個人データを第三者提供する場合。
(2) 人の生命、身体又は財産の保護のために個人データの第三者提供が必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
個人情報の安全対策
例)〇〇社は、個人情報の正確性及び安全性確保のために、セキュリティに万全の対策を講じています。
また、パートナー企業による情報持ち出しなどを防ぐために最善の対策を講じています。
個人情報の削除・修正
お客さまがご本人の個人情報の照会・修正・削除などをご希望される場合には、ご本人であることを確認・照合の上、対応させていただきます。
法令、規範の遵守と見直し
例)当社は、保有する個人情報に関して適用される日本の法令、その他規範を遵守するとともに、本ポリシーの内容を適宜見直し、その改善に努めます。
—-
以上の項目は最低でもあったほうが良いでしょう。
法改正によって、プライバシーポリシーの制定や運用は中小企業においても他人ごとではなくなりました。
しっかりとプライバシーポリシーを制定し、今後の法改正の施工に備えましょう。