プライバシーポリシーとは個人情報保護のための方針を表した文書で、サービス事業者が個人情報保護法に基づく義務を履行する表示になります。
個人情報を扱うアプリの場合は、文書送付等、別の手段でユーザーにプライバシーポリシー相当の内容を通知しない限りアプリ内のわかりやすい場所に適切な内容のプライバシーポリシーを掲示することが必要です。
プライバシーポリシーの元となる、個人情報保護法はIT技術の進歩とそれに伴う個人情報に関する社会の要請により、2003年に成立し、2017年に改正法が施行、さらに2022年にはさらなる改正法が施行されるなど、数年おきに改正法が施行されている、更新されやすい法律です。当然法改正のたびにプライバシーポリシーを改訂する必要があるので、最新の情報は常に確認する必要があります。プライバシーポリシーは非常に変化の多い分野であり、作成・改訂時には専門家の知見を取り入れるのが望ましいです。
プライバシーポリシーをアプリ内に適切に掲示しなければ以下のようなリスクがあります。
【リスク】
・適切な情報の掲示を怠った事による、個人情報保護法違反(個人情報保護員会による命令違反、虚偽報告)による行政処分・刑事処分・民事での訴訟リスク。
・ユーザーのサービスに対する不信感が増す。
【対策】
・専門家の監修の下適切なプライバシーポリシーを作成し、アプリ内で掲示する
プライバシーポリシーの項目は以下のような項目を掲示します(2022年6月現在)
1.個人情報取扱の基本方針
個人情報の重要性を事業者として認識し、法令を遵守することなど、個人情報の取扱いをするうえでの事業者の基本方針を記載します。
2.定義
プライバシーポリシーで使用する言葉の定義を記載します。
例としてはアプリとして扱う"個人情報"の定義や"個人データ"の定義を記載します。
"個人情報"とは、法的には生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等で特定の個人を識別することができるものを指します。
"個人データ"とは、法的には"個人情報"のうち、データベースやエクセルなどで検索可能な方法で管理しているものを指します。
"個人データ"は、個人情報"の中でも保護の必要性が高いものであり、本人の同意なく第三者に提供することが原則として禁止されるなど、"個人情報"より厳しい規制が適用されています。
3.個人情報の取得方法
個人情報を取得する方法を記載します。
"偽りその他不正の手段により個人情報を取得してはならない"と規定されているため、個人情報を法令を遵守して適法に取得していること、その方法を記載する必要があります。
4.サービス事業者の名称、住所、法人代表氏名
個人情報取扱事業者の情報が、"本人の知りうる状態"(調べればすぐわかる状態)におかなければならない事項として、規定されているため
事業者が個人の場合はその氏名と住所
事業者が法人の場合は、法人名、住所、代表者氏名
をプライバシーポリシーには必ず記載しましょう。
5.利用目的
事業者が個人情報を取得するときは、個人情報の利用目的を公表するか、または、本人に伝えることが義務付けられています。
そのため、プライバシーポリシーには、必ず個人情報の利用目的を記載してください。個人情報の種類ごとに利用目的が異なるはずなので、種類ごとに網羅的に記載します。また、原則プライバシーポリシーに記載のある利用目的以外の利用は原則できず、する場合には本人の同意が必要です。
6.共同利用
グループ会社や提携先と個人データを共有して利用する場合は、個人データの共同利用について以下の項目を本人に通知するか、公表することが法律上義務付けられています。
個人データを共同利用すること
共同利用される個人データの項目
共同利用する事業者の範囲
責任者の氏名又は名称
7.保有個人データの安全管理のために講じた措置
定期的な、社員の研修や管理状況の点検取扱規定のなどの諸々の安全管理のための措置を記載します。人的(研修など)・物理的(サーバールームへの立入制限など)・技術的(アクセス制限など)安全管理措置に加え・外国で個人データを扱う場合は当該国の規制を遵守していることを記載。
詳細は個人情報保護委員会の"個人情報の保護に関する法律についてのガイドライン(通則編)"(リンク)を参照。
8.第三者提供
個人データを本人の同意なく第三者に提供することを予定している場合は、以下の3つ条件を満たす必要があります。
①以下の項目を本人に通知するか、公表すること
個人データを第三者に提供すること
第三者に提供する個人データの項目
第三者への提供の方法
本人の求めがあれば第三者への提供を停止すること
第三者への提供の停止についての本人の求めを受け付ける方法
②個人情報保護委員会への事業者から届出をすること
③該当個人情報が、他事業者からの提供でないこと
④該当個人情報が"要配慮個人情報"(人種・信教・病歴等特別に配慮する必要がある項目)でないこと
以上を踏まえ必要な場合は①をプライバシーポリシーに記載します。
9.個人データの開示、訂正等の手続きについて
事業者が個人データを保有しているときは、本人から請求があったときに、内容を本人に開示したり、個人データに間違いが見つかったときに訂正に応じたりするための手続きを定めて、公表することが義務付けられています。
10.個人データの利用停止等について
本人が個人データの利用停止または消去を求める手続き等についてもプライバシーポリシーで定めることが必要です。
11.個人情報の取扱いに関する相談や苦情の連絡先
事業者は個人データの取扱いに関する苦情の申し出先を"本人の知り得る状態におく"ことが義務付けられているため、苦情の申し出先として事業者の連絡先をプライバシーポリシーに記載します。
12.SSLセキュリティについて
ウェブサイト経由で個人情報を取得することがあり、SSLを導入している場合は、プライバシーポリシーにその旨を記載することが一般的です。
モバイルアプリの場合は使用しているとは限らないので、使用していない場合は不要です。
13.Cookie(クッキー)について
ウェブサイトなどでCookieを利用する場合は、Cookieが利用者個人の身元を特定するものではないことをプライバシーポリシーにその旨記載することが一般的です。
モバイルアプリの場合は使用しているとは限らないので、使用していない場合は不要です。
以上の件を踏まえ作成する際には専門家の監修のもと適切な項目を明記することが重要です。