【ご相談内容】
弊社は創業20年を迎え、新たにホームページを一新したいと思っています。他社さんのHPを見てますと、プライバシーポリシーとか個人情報取扱指針などと表記され、大企業ともなると読み終えるのも一苦労なくらいのボリュームです。一応、弊社ホームページにも表記はしていますが、そもそもそういうプライバシーポリシーを作ったり公表したりする必要はあるのでしょうか?
A 作成する義務があるかとか公表する義務があるかといえば、義務は「ない」ですね。ただ、規定として「ある」に越したことはないでしょう。
Q そもそも「プライバシーポリシー」って何ですか?
A 法律の世界で「プライバシー」とは、他人から干渉されない権利を指すのですが、「プライバシーポリシー」という場合には個人情報ですね。ポリシーというのは方針。個人情報の取扱に関する方針。
ビジネスをするうえで、例えば、①一般消費者との取引の際には顧客の個人情報、②法人取引をする際には、法人担当者の個人情報、③ホームページから新卒者採用する場合には、その応募者の個人情報、④そもそも論として雇っている従業員の個人情報、⑤株式会社化されているのであれば株主の個人情報などなどを取得することになります。
その個人情報を弊社はみだりに外部に漏洩することなく適切に管理しますよということを外部に表明したものがプライバシーポリシーなどと言うわけです。
で、これ自体の策定の義務はないし、公表の義務もない。
Q 個人情報ってとても大事なものですけど、義務が無いのはなぜですか?
A そもそも個人情報保護法という法律の中で、個人情報の取得、利用、外部開示に関する方法と義務が規定されているのですが、基本、民間事業者はその義務を守らなければいけません。そのような意味では、個人情報保護法をきちんと理解しときゃいいんじゃん!?という開き直りも、わからなくもない。
ただ、自分の会社をよく知ってほしいという思いからすれば、個人情報保護法に書かれているルールにのっとった内部ルールを作ったうえで運用をします、ということを外部にアピールしておきたいわけです。そういう意味では、「ある」に越したことはないんじゃないですか?ということになる。
Q そもそも個人情報って、名前とか住所とか生年月日とかですよね?その程度の管理であればそこまで難しくはないのでは??
A 確かにそれは個人情報の典型例です。
ですが、よ~く日常生活を振り返ってみてください。あ、それ和田拓郎だ!と認識できる情報として、街中の防犯カメラに映る自分の顔(これはむしろ昔から言われている個人情報の一つ)、声認識データとかDNA情報、マイナンバーとか運転免許証番号などなど、多数存在しますね。
それどころか、今どきパソコンとかスマホから特定のサイト内を閲覧するわけですが、例えば会員登録が必要な場合にはそのアカウント情報、閲覧や購入履歴といったものも、個人情報を広義に捉える限り、ココに含まれてきますから、会社側としてはその取扱いを慎重にしなければならない。
至るところに個人情報、あるいはそれに類する情報と考えることのできる情報が存在するのであって、自分たち利用者側は何気なく外部に開示してしまっていることに気づくわけです。