会社法,商取引法,M&A・事業承継,倒産・再生,IT・知財,労働法,公益通報・コンプライアンス等について,企業法務を取り扱う弁護士が豊富な実務経験に基づき解説しています。
> 2015/09/11 商取引
WEB上におけるプライバシーポリシー(個人情報の利用目的)の表示
Q 弊社はウェブサイトを改正し,ウェブ上で申込みを受けてサービスを提供する新ビジネスを考えています。それにあたり,利用規約とともにプライバシーポリシーを定める必要があると聞きました。プライバシーポリシーを定めたとして,ウェブ上でどのように表示させるべきでしょうか。
A ガイドラインにしたがって「公表」及び「明示」する必要があります。
1 プライバシーポリシーとは
まず,プライバシーポリシー(個人情報規約ないしは個人情報保護方針)とは,個人情報についてその収集や活用,管理,保護等に関する取扱いの方針を明文化したものです。
プライバシーポリシーを定義し,プライバシーポリシーを定める旨を直接的に規定する法律は存在しませんが,個人情報保護法において,個人情報を扱うウェブサイトを開設,運営等する場合について必要な通知,公表,明示等が定められています。
プライバシーポリシーは,目的・手段において適切に各個人の情報を取得するために必要であり,以下のような内容を有するウェブサイトにおいてはその制定が必要です。
・商品や各種サービスの申込み,確認
・懸賞・クイズへの応募
・カタログ・資料請求
・会員制サイトへの登録や入会
・イベントの参加申込み,施設の利用申込み
・メールによる問い合わせ,照会や意見募集
・電子会議室や掲示板
・メルマガ等の配信登録
・クッキーによるユーザー識別やアクセス情報の収集
・その他,何らかの形で個人情報を収集するもの
(公益社団法人日本広報協会ホームページ)
個人情報においては,プライバシーポリシーというよりも「個人情報の利用目的」の明示義務が定められており,表示義務はその限りにとどまります。もっとも,当該利用目的はプライバシーポリシー内に記載されていることが通常であることから(プライバシーポリシーの一部を構成),利用目的の表示義務は,そのままプライバシーポリシーの表示義務ということができます。
以下,引用条文中は「利用目的」との文言が存在しますが,いずれもプライバシーポリシーに置き換えて説明します。
2 プライバシーポリシーの「公表」義務
個人情報保護法18条1項においては,
個人情報取扱事業者は,個人情報を取得した場合は,あらかじめその利用目的を公表している場合を除き,速やかに,その利用目的を,本人に通知し,又は公表しなければならない
と定められています。
取得の都度本人に通知又は公表するよりも,あらかじめ公表する方法が実用的ですが,ここでいう「公表」とは,「広く一般に自己の意思を知らせること(国民一般その他不特定多数の人々が知ることができるように発表すること)」とされており,その具体例として,ウェブサイトについては
自社のウェブ画面中のトップページから1回程度の操作で到達できる場所への掲載
とされています(個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(平成26年12月12日改正))。これが,様々に存在する各ウェブサイトにおいて,基本的にプライバシーポリシーのリンクがトップページ下に設けられている理由です。
以上の通りであり,まず一段階目の回答として,プライバシーポリシーをウェブサイト上で「あらかじめ公表」するために,「ウェブ画面中のトップページから1回程度の操作で到達できる場所へ」掲載しなければなりません。
3 プライバシーポリシーの「明示」義務
次に,同条第2項(一部抜粋)において,
個人情報取扱事業者は,前項の規定にかかわらず,本人との間で契約を締結することに伴って契約書その他の書面(電子的方式・・・を含む・・・)に記載された当該本人の個人情報を取得する場合・・・は,あらかじめ,本人に対し,その利用目的を明示しなければならない
と定められており,上記の場合に「本人に対し」「明示」することが要求されています。ここでいう「明示」とは,「本人に対し,明確に示すこと」とされており,その具体例として
ネットワーク上においては,本人がアクセスした自社のウェブ画面上,又は本人の端末装置上にその利用目的を明記すること(ネットワーク上において個人情報を取得する場合は,本人が送信ボタン等をクリックする前等にその利用目的(利用目的の内容が示された画面に1回程度の操作でページ遷移するよう設定したリンクやボタンを含む。)が本人の目にとまるようその配置に留意する必要がある。)
とされています(同ガイドライン)。
ウェブ上で契約を締結する際,個人に対して利用規約を示すことが通常行われていますが,それと同様に,プライバシーポリシーについても明示しなければならず,その方法も限定されているということです。
ここで問題なのは「1回程度の操作でページ遷移するよう設定したリンクやボタン」です。
この「操作」にはスクロール操作やクリック操作も含まれており,クリックした後スクロールする操作は合計2操作になります。
「1回程度」という言葉の曖昧さはありますが,要は「一つの行動と捉えられる範囲の操作」ということになるため,ダブルクリックや,マウスのスクロールボタン(ホイール)を利用した,ホイールを複数回に分けて回転させて行うスクロール行為等が「1回程度」の定義に該当するでしょう。
いずれにせよ,例えば送信ボタンの上にプライバシーポリシーのページに遷移するリンクを設けていても,遷移した先のページで実際の利用目的を確認するのにスクロールしなければならないとなると,「明示」に該当しないおそれがあるのです。
以上の通りであり,二段階目の回答として,ウェブページ上において送信ボタン上部にプライバシーポリシーを記載した窓を設け,利用目的が記載されていることを示したうえでスクロール行為のみで確認できるようにする,又は同部にリンクを設け,遷移先でスクロールなしに利用目的を確認できるようにする,等の形式で,利用目的を「明示」しなければなりません。
なお,法的規制とは別に,JIS Q 15001:2006「個人情報保護に関するマネジメントシステム-要求事項」の第三者認証制度を利用する場合は,それらの規制をも遵守することになり,さらに厳しい要件が課されることになります。
田島・寺西・遠藤法律事務所
このコラム執筆者へのご相談をご希望の方は,こちらまでご連絡ください。
※ご連絡の際には,コラムをご覧になられた旨,及び,執筆弁護士名の記載がある場合には弁護士名をお伝えください。
直通電話 03-5215-7354
メール advice★tajima-law.jp (★をアットマークに変換してください。)
『企業法務診断室』では、田島・寺西法律事務所所属弁護士が、豊富な実務経験に基づきよくある相談への一般的な回答例を紹介しています。
事案に応じたピンポイントなご回答をご希望の方は、面談での法律相談をご利用ください。
遠隔地の方でもZOOMにて対応しています。