プライバシーポリシーの書き方

目次
１、 個人情報保護の必要性
　①個人情報とは
　②信用第一
　③もしも、個人情報保護を怠ると
　④個人情報を保護する姿勢を見せれば
２、プライバシーポリシーの書き方
　①プライバシーポリシーとは
　②趣旨・考え方を決める
　③定義
　④利用目的
　⑤収集する個人情報の範囲
　⑥第三者提供禁止
　⑦問い合わせ先

１、個人情報保護の必要性

①個人情報とは

　個人情報とは、氏名・生年月日・性別・住所・電話番号・メールアドレス・勤務先・資産状態・趣味・性格・宗教など個人に関する情報で、これらのうち1つ又は2つ以上を組み合わせることによって特定の個人を識別できるものを言います。
　他にも定義の仕方はあります。個人情報保護法における個人情報の定義は、『生存する個人に関する情報であって、当該情報に含まれる氏名・生年月日・その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することが出来ることとなるものも含む）』とされています。
　まわりくどいですが、簡単に言うと個人情報とは、個人を特定する情報です。

②信用第一

　会社の同僚に悩みを相談したら、その同僚が悩みの内容を他の人にしゃべってしまったために社内に変なうわさが流れてしまったとしたらどう感じますか。とても不快だし、もうその人を信用することは出来ません。
　これはビジネスにおいても同様です。個人情報を保護しなかったために個人情報漏洩が起こってしまったら信用を失い、顧客喪失、取引停止も十分ありえます。

③もしも、個人情報保護を怠ると

　個人情報保護法違反により6ヶ月以下の懲役又は30万円以下の罰金に処せられます。ただしここで対象となる企業は『直近6ヶ月のどの1日をとっても取り扱う（保管も含む）個人情報の量(人数)が5000件を超える』企業とされています。従って、常に5000件を超える個人情報を持っている会社が刑事罰の対象となります。
　とすると、そのような大量の個人情報を保有していない会社は安心できるかというと全く違います。
　民事上の不法行為責任に問われる可能性があります。つまり損害賠償責任が発生するということです。宇治市の住民基本台帳データがデータ処理委託会社のアルバイトにより持ち出され名簿屋に売却された事件で、1人あたり15000円の損賠賠償を認めた判決がでています。訴えた原告は3人でしたが、もしも住民全員が訴えていたら(集団訴訟)何十億円という賠償責任を負うことにもなり兼ねませんでした。
　また、それ以前に信用が低下します。これは企業の大小を問いません。大企業から下請けをしている会社が個人情報を流出すれば、元請け企業も下請け企業も信用を失います（損害賠償責任も双方に生じます）。下請けは当然、取引停止となり元請け企業から莫大な損害賠償責任を追及されるでしょう。倒産の憂き目に会ってしまいます。「ウチは小さな会社だから良いだろう」という自分勝手な思い込みは危険です。
　他には、苦情対応による精神的・時間的ロス、社内モラル低下などが発生します。

④個人情報を保護する姿勢を見せれば

　大企業は当然に個人情報保護を図っています。法律上の義務だからです。むしろ、過敏になりすぎてビジネスに有益なノウハウまで社員共有化が出来ず、ビジネスチャンスを失うことも考えられるほどです。
　一方、中小企業や地方においては、認識不足な所もあります。『直近6ヶ月のどの1日をとっても取り扱う（保管も含む）個人情報の量(人数)が5000件を超える企業』に当たるか否かを問わず、個人情報保護を図るべきです。それによって、顧客の信頼を得ることが出来ます。それは、商品やサービスを受け入れてもらう前提と言えます。
　また、個人情報の保護に力を入れている企業にとっては、取引先を個人情報の保護を実践しているか否かで選別しています。将来、大企業と取引するに当たって、あわてて個人情報保護体制を整えるよりも、今のうちに体制を整えておくべきでしょう。
　プライバシーポリシーは作るだけでは意味がありません。必ず実践してください。本来は、プライバシーポリシーを作ってから、実践するのではなく、実践する体制が既にある状態でプライバシーポリシーを作るのが筋です。

２、プライバシーポリシーの書き方

①プライバシーポリシーとは

　そもそも、プライバシーポリシーとは何なのか。それは、個人情報を取り扱う際の考え方、実施要領・体制を定めたもので個人情報保護に対する取り組みを明らかにしたものです。つまり、個人情報の取扱いに対して、どう考え、そして取り扱い方に対しての姿勢を見せるということです。各企業でプライバシーポリシーを公表しています。それを真似てもプライバシーポリシーは作れます。しかし、自分の言葉で作った方は重みが違います。取引先から説明を求められてもすぐに回答でき、印象が良くなります。ここでは、プライバシーポリシーを誰でも簡単に作れるように、自分がどうやってプライバシーポリシーを作ったかを説明しながら解説します。

②趣旨・考え方

　顧客の個人情報を取得・管理するに当たっての基本的考え方を作ります。少なくともここだけは、自分の言葉を使ったほうが良いでしょう。この部分がないプライバシーポリシーが結構多いのですが、実はここが大事です。プライバシーポリシーの核は誠実さです。これを示すことが出来れば信用度は高まります。

【趣旨】
　たねも行政書士事務所（以下「当事務所」とします）は、お客様より個人情報をお預かりするということは、お客様の貴重な財産をお預かりすることであると考えております。この様な認識に基づいて当事務所では、以下のガイドラインに従い、お客様よりお預かりした個人情報の適切な管理に努めてまいります。

　これが当事務所のプライバシーポリシーの趣旨の部分です。個人情報を『お客様より信託された財産』と捕らえています。
　大学生のころ、自分宛てに怪しげなダイレクトメールが届きました。自分の知らない所で自分に関する情報が往来しているのが不愉快でした。これはプライバシー権の侵害であり不法行為ではないかと考えました。プライバシー権は学説上いろいろな解釈があります。私生活をみだりに公開されない権利、や自己に関する情報をコントロールする権利などの考え方があり、自己に関する情報のコントロール権と捕らえるのが多数派です。この学説によれば、名簿が勝手に売買されると言うことは不法行為に該当すると言えるのではないか。
　この様ないきさつから、当事務所では個人情報を『お客様より信託された財産』と捕らえました。
　趣旨で使える、他の言葉としては、
　「当社は、個人情報の保護は情報社会における企業の責任と考え…」
　「当社は、個人情報保護を最大課題とし…」
　「当社は、個人情報の保護を図ることがお客様の信頼を、更には社会からの信頼を得ることであると考え…」
などがあります。いろいろ考えてみてください。
　個人情報に対する考え方を示した後は、この考えに則って個人情報保護を図っていくことを宣言します。

③定義

　【定義】
　個人情報とは、氏名・生年月日・性別・電話番号・メールアドレス・勤務先・資産状態・依頼内容等、個人に関する情報で、これらのうち１つ又は２つ以上を組み合わせることによって、特定の個人を識別することができるものをいいます。

　定義の中にいろいろ具体例が示されていますが、仕事の内容によって付け足してみて下さい。当事務所は行政書士業務をしているので資産状態・依頼内容を加えてあります。
　具体例としては不動産業・建設業であれば物件情報・融資内容、病院・薬局であれば病歴、販売業であれば購入歴などがあります。
　なお、１①「個人情報とは」のところで、個人情報保護法における定義を示してありますが、これをそのまま持ってきている企業もあります。

④利用目的

　【利用目的】
①　お客様よりお預かりした個人情報は当事務所内部のみにおいて（５における例外を除きます）以下の目的で、利用させていただきます。
（イ）　お客様の依頼に基づく職務遂行のため
（ロ）　お客様と連絡を取るため
（ハ）　当事務所のサービス内容をお知らせするため
（ニ）　サービスを向上させる目的で事例分析・マーケティングを行うため
②　上記以外の目的で個人情報を利用する必要があったときには、その都度、事前に同意をいただきます。同意がいただけないときは、当該個人情報は利用いたしません。

　ここでは、収集した個人情報の利用目的と、その目的以外には個人情報を利用しないということを宣言します。この目的の中に『自社製品の案内』が示されていないにも関わらすダイレクトメールを送るとプライバシーポリシーに反した行動と言えます。最悪の場合個人情報保護法違反にもなりかねません。
　目的は業務内容によって多種多様です。同種企業のホームページにあるプライバシーポリシーを参考にして、自社にあった目的を設定してください。個人情報保護法は利用目的を出来る限り設定するよう規定していますので、包括的記載はやめましょう（つまり、なるべく具体的に）。

⑤収集する個人情報の範囲

【個人情報収集】
　依頼・相談・資料請求等のためお客様より個人情報をお預かりする場合には、目的の範囲内において必要最小限度のご提供をお願いいたしております。

　④で定めた目的を達成させるため、どのような個人情報を収集するのかを宣言します。ここでは「大は小を兼ねる」という理屈は通りません。当事務所の場合依頼内容によって範囲はまちまちなので『必要最小限度』という言葉を使っております。実際の運用においても必要最小限度の収集にいたしましょう。いつか役に立つかも…という認識で必要以上に個人情報を集めることはコスト・リスクが上昇します。

⑥第三者提供禁止

【個人情報不開示】
①　お客様よりお預かりした個人情報は、個人情報保護法23条に定める以下の場合を除き第三者に開示いたしません。
（イ）　法令に基づく場合
（ロ）　人の生命、身体又は財産の保護のために必要がある場合で、本人の同意を得ることが困難であるとき
（ハ）　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
（ニ）　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
（ホ）　あらかじめ本人の同意を得た場合
②　弁護士・司法書士・公証人等に業務の全部又は一部を再委任する必要がある場合に、それらの者と個人情報を共有する際には、委任契約書その他適宜な方法により、上記（ホ）に従ってあらかじめお客様の同意を得ます。この場合には、再委任した者に対しても、当プライバシーポリシーを守らせるための指揮をいたします。

　基本的に第三者に個人情報を提供することは違法ですので、第三者に個人情報を提供しない旨を宣言します。但し、例外規定として当事務所の場合は個人情報保護法２３条の条文をそのまま利用して規定しています。(イ)(ロ)(ハ)(二)(ホ)の部分です。
そして第２項で第三者提供をする際、どこに提供するのかを明示しました。
　第三者提供をする規定を設ける場合、①どの情報を②どういう手段で③誰に対して、提供するのかを定めます。そして④本人の求めがあれば第三者提供を止めることを規定します。なお、当事務所の場合あらかじめ本人の同意を得るので（つまり法律上の例外規定に該当する）これらを定めていません。
　具体的な例は同種の企業のプライバシーポリシーを参考にしてみてください。

⑦問い合わせ先

　苦情受付窓口がどこかを示します。「苦情」という言葉が嫌な場合「問い合わせ」「ご意見・ご質問」などの言葉でもよいでしょう。
　個人情報保護法では本人から、その個人情報を開示・訂正・利用停止の請求があればそれに対応しなければならない旨を定めていますので、この窓口を明示する必要が生じます。