個人情報の保護Ⅰ（プライバシーポリシー・個人情報保護方針の作成と公開）

顧客の個人情報を軽視していると、顧客だけではなく、社会から問題視されてしまいます。また、個人情報を適切に扱っている企業は、取引先企業に対しても、同様の対応を求めてくる時代になってきました。

そういう時代ですので、逆に「しっかりと個人情報を管理し、それをアピールする」ことで、既存顧客に安心してもらえるとともに、新規開拓の武器にもなります。

プライバシーポリシーや個人情報保護方針の作成・公開は「アピール」するツールとして最適です。

当グループでは、プライバシーポリシーや個人情報保護方針の作成と公開方法のご案内などを通じて、貴社の信頼向上に貢献いたします。

※個人情報保護法の条文条数が令和4年4月1日の法改正によって大幅に変わりました。当メディアでは修正完了していますが、ご注意ください。

そもそもの疑問
1. 「プライバシーポリシー・個人情報保護方針」と「利用規約」は違うものなの？！
2. 「プライバシーポリシー」と「利用規約」を別々に作成している企業が多い理由は？！
3. 「プライバシーポリシーの作成・公開」は義務なのか？！
4. 結論
5. さらなる疑問
「個人情報」と「プライバシー」の違い
「個人情報保護方針」と「プライバシーポリシー」の違い
作成・公開までの流れ
個人情報保護法の改正は頻繁です。
標準的な所要時間
司法書士の報酬・手数料
人気の関連ページ

そもそもの疑問

「プライバシーポリシー」「個人情報保護方針」と「利用規約」は違うものなの？！

プライバシーポリシー

個人情報保護方針

利用規約

サービス提供者が預かった顧客個人情報の取り扱い方法について、サービス提供者自身が遵守する内容（サービス提供者自身の義務）を公表したものです。

サービスに関するルールをまとめたもので、サービスの利用者と提供者の関係を示すものです。

サービス提供者・利用者について、それぞれの義務も記載されています。

「プライバシーポリシー」と「利用規約」を別々に作成している企業が多い理由は？！

「利用規約や約款」の中に入れても良さそうな「個人情報保護方針」や「プライバシーポリシー」をなぜ独立の「ポリシー」などにする必要があるのか？

その答えは「それだけ『顧客の個人情報』について、慎重な取扱を要求される時代だから」です。

「プライバシーポリシーの作成・公開」は義務か？！

法律上義務ではありません（が、実質義務のようなものです）。

ちょっと長めに個人情報保護法を引用します。

個人情報の保護に関する法律第21条（取得に際しての利用目的の通知等）

個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面（電磁的記録を含む。以下この項において同じ。）に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
(略)

個人情報の保護に関する法律第27条（第三者提供の制限）

個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
1. 法令に基づく場合
2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
個人情報取扱事業者は、第三者に提供される個人データ（要配慮個人情報を除く。以下この項において同じ。）について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
1. 第三者への提供を利用目的とすること。
2. 第三者に提供される個人データの項目
3. 第三者への提供の方法
4. 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
5. 本人の求めを受け付ける方法
個人情報取扱事業者は、前項第2号、第3号又は第5号に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
（略）
（略）
個人情報取扱事業者は、前項第3号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

どの条文も

「個人情報取扱事業者は・・・あらかじめ本人の同意を得ないで・・・してはいけない。」

「個人情報取扱事業者は・・・あらかじめ、本人に通知し・・・なければならない。」

になっています（ちなみに「個人情報取扱事業者」というのは、個人情報を扱う皆さんのことです。）。

この法律が求めている「あらかじめ本人の同意を得」たり、「あらかじめ本人に通知」することは、顧客が多いサービスの場合には実質的に不可能だと思います。そこで「プライバシーポリシー」「個人情報保護方針」が必要になってくるわけです。

この関係をまとめると下表のようになります。

個人情報保護法で本人の同意（本人への通知）が義務づけられている事項の対応方法

個別に本人の同意を得る（個別に本人に通知する）。☞実質的に不可能な場合もある。

プライバシーポリシーで公表する。

☞こちらで対応する。

結論

個人情報を扱う事業者は、少なくとも「プライバシーポリシー」か「個人情報保護方針」を作成・公表しておく必要がある。

更なる疑問

「プライバシーポリシー」か「個人情報保護方針」の作成・公表が必須なのはわかったけれど・・・

そもそも「プライバシー」と「個人情報」は違うものなのか？
当社は「プライバシーポリシー」と「個人情報保護方針」のどちらを作成すれば良いのか？

以下では、これらについてご説明します。

「個人情報」と「プライバシー」の違い

「個人情報」が何であるのかは、個人情報保護法2条に定義されています。

一方の「プライバシー」については、法律上、定義された規定はありません。

社会の発展と共に、判例が「権利」として認めるようになったのです。

個人情報

プライバシー

定義

生きている個人に関する情報で、特定の個人であると分かるもの及び他の情報と紐付けることにより容易に特定の個人であると分かるもの（個人情報保護法２Ⅰ）。

つまり、本人の氏名、生年月日、住所などの記述等により特定の個人を識別できる情報のこと

私生活上の事柄をみだりに公開されない権利（東京地裁昭和39.9.28「宴のあと事件」）

▼

自分の個人情報についての取扱いや開示・非開示などについて、自分で決定できる権利

（自己情報コントロール権）

規制

①個人情報保護法【1】

▼より厳しいルール

②個人情報保護に関する日本工業規格JIS Q 15001【1】

▼申請してJIS規格を遵守していると認定されれば、付与される

③プライバシーマーク制度

【1】個人情報保護法もJIS規格も、事業者が「個人情報」を適切に取り扱う方法を規定したものであり、プライバシー保護を直接の目的とはしていません。ただし、これらの規制が遵守されることで、不適切な「個人情報」の取扱いが抑制され、結果的に「プライバシー」も保護されます。

各企業は・・・

「法律上保護することを義務付られている個人情報だけ」の保護に限定するのか？
「法律上の個人情報」より範囲が広い「プライバシー」まで保護する範囲を拡げるのか？

を決定する必要があります。

「個人情報保護方針」と「プライバシーポリシー」の違い

専門家のサイトなどの中にも「個人情報保護方針とプライバシーポリシー」を同じものとして扱っているものがありますが、厳密には次のとおり異なるものです。

◆　個人情報保護方針

事業者が個人情報保護を推進する上での、基本的な考え方や方針を定めたもの。

ウェブサイト・リアルともに適用されます。

◆　プライバシーポリシー

インターネットのウェブサイトを通じて取得した個人情報をどう扱うのかをサイト管理者が定めたルールのこと。ウェブサイトに適用されます。

◆　まとめ「貴社はどちらを作成すべきか？」

個人情報を取扱う事業者は、両方定めておくことが無難です。

それが困難な場合には、次のように集客方法で分けて考えて、最低限必要なものを作成公表しましょう。

		個人情報保護方針	プライバシーポリシー
貴社の集客方法	ウェブサイトのみ	必要に応じて	必要
	ウェブサイトを利用せず対面のみ	必要	必要に応じて
	ウェブサイトと対面の両方	必要	必要
	特に集客しない	必要【1】	必要に応じて

【1】保護すべき個人情報は、顧客に限らず、従業員に関するものも含まれます。

また、携帯電話の電話帳に、顧客や従業員のメールアドレスや電話番号を登録している場合には、「検索可能な方法で個人情報を取り扱っている」ことになりますので、個人情報保護法の適用を受けます。

結局、全ての企業が個人情報取扱事業者に該当し、個人情報保護法が適用される結果、個人情報保護方針又はプライバシーポリシーを作成・公表しておく必要があるのです。

◆　プライバシーポリシー・個人情報保護方針の記載例

当グループでは、

対面で個人情報を受け取ることもあれば、
当サイトを通じて個人情報を受け取ることもあります。

そこで、当グループは「個人情報保護方針」で全体の方針を示し、「プライバシーポリシー」でウェブサイト経由の問合せなどに限定した方針を示すという形式を採用しています。

このような定め方をすれば、顧客にとって分かりやすくなるのでオススメです。

当グループの個人情報保護方針・プライバシーポリシーはこちらに掲載しています。

作成・公開までの流れ

事業内容・企業ごとに、個人情報の利用目的や利用方法は異なります。

そこで、安易にひな形や他社のものを流用するのではなく、貴社オリジナルのものを作成する必要があります。

１．当グループへのご相談

最寄りの当グループ事務所にご相談の予約をお願いします。

貴社が保有なさっている個人情報及びその収集方法を聞き取ります。
作成すべきは「プライバシーポリシー」か「個人情報保護方針」か、または両方か
どういう内容のものを作成すべきか

等のご相談をお受けします。

２．費用のお支払い

３．原案の作成・ご提示

４．社内でご検討、司法書士へのご質問

５．修正案の作成・ご提示

６．修正案のご承認

７．納品

８．（貴社にて）社内への周知

９．（貴社にて）外部への公開

貴社HP上で公開いただく「プライバシーポリシー」は、トップページから１クリックで見られる場所に掲載ください。

個人情報保護法の改正は頻繁

個人情報保護法は、平成15年公布以降、下表のとおり「かなり頻繁に改正」されてきました。

今後も、国際的動向、情報通信技術の進展、新産業の創出・発展の状況等を勘案して3年ごとに見直すことが法律に盛り込まれています（個人情報保護法12）

平成15年	個人情報保護法成立
平成17年	個人情報保護法全面施行
平成27年	個人情報保護法改正 ※3年ごとの見直し規定
令和2年改正（令和4年4月1日施行）	個人情報保護法改正【1】

事業者の皆様は「プライバシーポリシー」や「個人情報保護方針」を作成して放置するのではなく、法改正のたびに、これらの見直しや改訂が必要です。

また、法律の条文番号も変わってしまうので、「プライバシーポリシー」や「個人情報保護方針」などで「個人情報保護法第○条の規定に基づき」などと表現している場合には、この表現方法は改めるべきでしょう。

【1】令和4年4月1日に施行された改正個人情報保護法により新たにプライバシーポリシーなどの必要的記載事項となった事項（「本人の知りうる状態におかなければならない」事項）とされたものは次のとおりです。

個人情報取扱事業者が個人の場合は、その住所（個人情報保護法32Ⅰ①）
個人情報取扱事業者が法人の場合は、法人の代表者氏名（個人情報保護法32Ⅰ①）
保有個人情報の安全管理のために講じた措置（個人情報保護法32Ⅰ④→施行令10①）
個人情報を他社と共同利用する場合の管理責任者の住所、法人代表者の氏名
個人情報の利用目的を具体的に記載（個人情報保護法ガイドライン／個人情報保護委員会を参照）
令和4年4月1日施行の改正個人情報保護法では、従前の個人情報保護法から法律の条数がかなり変更されています。プライバシーポリシーなどで個人情報保護法の条数を引用する形式を採用している場合には、この際、条数を引用しない形式に変更されるべきです。

標準的な所要時間

手続	作業内容	処理時間
プライバシーポリシー作成個人情報保護方針作成	ヒアリング（契約書に反映する内容の聴取）	７日
	ドラフト（案）作成・送付	１４日
	ヒアリング（ドラフトの修正など）	７日
	合計	１か月

司法書士の報酬・手数料

業務の種類	司法書士の手数料	実費
プライバシーポリシー作成	110,000円(税込)	データ納品の場合、発生しません。
個人情報保護方針作成	110,000円(税込)	データ納品の場合、発生しません。