プライバシーポリシーとは?企業が今すぐやるべき個人情報保護法・GDPR対策

privacy-policy-gdpr.jpg

個人情報の取り扱いについての規制が厳しくなる中、Webサイトに掲載する「プライバシーポリシー(個人情報保護方針)」の策定と公表をする企業は増えています。さらに、実はこうしたプライバシーポリシーは2017年に施行された最新の個人情報保護法や翌年2018年のGDPRの登場に伴って、すでに公表している企業でも、内容の見直しをすることも急務とされています。
今回はこうした法規制に対応したプライバシーポリシーにどのような内容を盛り込むべきなのかについてポイントをご紹介します。

IT研修を、もっと自由に。御社に合わせた内容・期間・費用でご提案します。

https://www.internetacademy.jp/

品質の高さはもちろん、一社一社のご要望に合わせた研修が実施できるからこそ、次代を見据えた企業の人事担当者やトップリーダーに選ばれ続けてきました。サイトリニューアル研修から英語研修、ITコンサルティングまで幅広く対応・ご提案致します。

目次

プライバシーポリシーとは?

privacy-policy-gdpr_pic01.jpg

プライバシーポリシーとは、「他人に知られたり干渉されたりしない私生活や秘密」を意味する「プライバシー(privacy)」と、「政策、方針」を意味する「ポリシー(policy)」からなる言葉です。一般的にプライバシーポリシーとは「個人情報の取り扱い方や利用目的について企業が定める方針」という意味で用いられており、「個人情報保護方針」とも呼ばれます。つまり企業がWebサイトを運営する上で、ユーザーのどのような情報を集め、それらをどのように、何のために利用するのか等をユーザーに示すために作成するのがプライバシーポリシーなのです。

個人情報の取り扱いについてのユーザーの関心が高まりつつある近年においては、ユーザーの安心感の獲得や企業の評判のためにもしっかりとしたプライバシーポリシーを示すことが重要です。

個人情報保護法に対応したプライバシーポリシー

privacy-policy-gdpr_pic02.jpg

個人情報保護法とは正式名を「個人情報の保護に関する法律」といい、個人情報の取り扱いに関する日本の法律です。個人情報保護法は2003年5月23日に成立した法律ですが、最近では2015年9月9日に改正され2017年5月30日に全面施行されました。具体的な改正の内容としては、「個人情報の定義の変更」と「第三者提供のルールの変更」があります。
「個人情報の定義」については改正後の個人情報保護法に大きく分けて2つ記されています。

第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。第18条第2項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

個人識別符号が含まれるもの

個人情報の保護に関する法律「個人情報の保護に関する法律」より

1つ目の定義は改正前と変化はないのですが、2つ目の「個人識別符号が含まれるもの」は今回の改正で付け加えられた部分です。簡単に言うと、指紋データやマイナンバー、運転免許証の番号といった個人を識別しうる文字や数字などの符号も、「個人情報」に含まれるということを意味しています。プライバシーポリシーに個人情報の定義に関する記載がある場合はもちろん、今回新たに追加された前述した「個人情報」を扱っている企業はプライバシーポリシーを改定しなければいけません。

また、「個人情報の第三者提供」に関する変更点にも注意する必要があります。
個人情報保護法が改正される前は、利用目的や手段についてプライバシーポリシーに記載があれば、本人の直接の同意を得なくても個人データを第三者に提供することができました。しかし改正後の個人情報保護法では以下のように定められており、原則として個人データの第三者提供は禁止されています。

第23条
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

法令に基づく場合¬

人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

個人情報の保護に関する法律「個人情報の保護に関する法律」より

改正前の個人情報保護法に沿って作成されたプライバシーポリシーには、個人情報の第三者提供を可能とする内容のものが多くあります。このような場合も、条文に記載されている4つの例外に該当しない部分を削除するなどして、プライバシーポリシーを改定する必要があります。

GDPRに対応したプライバシーポリシー

privacy-policy-gdpr_pic03.jpg

 2018年5月25日に施行されたGDPR(General Data Protection Regulation)とはEU内の個人データの取り扱いを規制する法律であり、「一般データ保護規則」と訳されます。 GDPRは最大で2000万ユーロ(26億円)にもなる高額な制裁金が大きな注目を集めていますが、その保護の対象や適用範囲についても留意しておく必要があります。

GDPRの条文において「個人を特定した、あるいは特定可能なあらゆる情報」が「個人データ」の定義とされています。この「個人データ」は位置情報などだけではなく、クッキーやIPアドレス、その他生理的、文化的、社会的地位に関するあらゆる要素を含みます。そのためEU域内(正確にはEU加盟国+三ヶ国)のユーザーからIPアドレスなどを取得しているようなWebサイトの運営会社は、ほとんどの場合GDPR対策をしなければなりません。

また、GDPRはEU域内の個人データを域外に持ち出すことを規制しているため、たとえ本社が日本にある場合でもGDPRの適用対象となります。これを特に「域外適用」と言い、EU域内の顧客や従業員の個人データを収集している日本国内の企業は対応に迫られています。

それではGDPRに対応したプライバシーポリシーを作成する際にはどのようなことに注意しなければいけないのでしょうか。

適法性の根拠

GDPRでは第13・14条においてデータ処理の適法性に関する根拠を明示することが義務付けられています。これまでのプライバシーポリシーに多く見られるように、ユーザーの同意だけでデータ処理を正当化するのでは不十分で、今後はしっかりとした適法根拠を示す必要があります。

取得する情報とその利用目的

GDPRでは利用目的以外の個人データの使用が禁じられているので、どんな個人データをどのような目的で利用するのかを明記する必要があります。

データ主体の権利

データへのアクセス権や訂正権といった権利は、これまでもデータ主体(個人データの持ち主)の権利としてプライバシーポリシーに記載されていることはありましたが、GDPRではそこに新たな権利が加わりました。それがデータのポータビリティ権や消去権です。
データ主体の権利行使がされた場合、企業側は情報提供をする義務があります。これらの、従来の法規制には含まれていなかった権利についての記載が必要です。

保存期間

GDPRでは個人データを取得した際に保存期間を定めなければいけないと規定されています。確定的な年数を記載できない場合は、保存期間を決定する基準を明示することでも対応が可能です。

ここまでで見てきたように、GDPRはデータ主体の権利の幅が広く、個人情報保護法よりも厳格な法律と言えます。日本国内ではまだまだ対策が不十分な企業が多いですが、海外で展開する企業はプライバシーポリシーをGDPRに合わせて作成することが急務です。

参考

European Commission 2018 reform of EU data protection Rules 個人情報保護委員会 GDPR GDPR(一般データ保護規則)とは?GDPRに備えるためのIT研修をご紹介!

おわりに

今回ご紹介したように、個人情報保護法やGDPRといったIT業界を取り巻く法規制は個人情報・個人データの取り扱い方の規範であり、企業は順守しなければなりません。ユーザーのプライバシー保護への関心が高まっている昨今では、プライバシーポリシーは企業の顔ともいえるものです。自社が守らなければいけない法規制に従って、ユーザーに分かりやすいプライバシーポリシーを作成することが求められています。

近年では、今回ご紹介した個人情報保護法やGDPRなどグローバルなITの動向に対応するために、IT研修を専門のスクールに委託したいという企業担当者の方が増えています。また、企業のみならず個人でITスキルや最先端の知識を身に着けたいという方も同様に増えています。
IT・Web専門スクールであるインターネット・アカデミーでは、Webサイトに掲載するプライバシーポリシー作成についてはもちろんのこと、ITに関する様々な知識やノウハウを提供しています。ご興味のある方はスクールの無料体験レッスン・カウンセリングにご参加ください。

また、ITの最新技術をビジネスに導入するノウハウを伝えるITコンサルティングも行っております。自社でのIT人材教育を検討されているご担当者様に対しては、講座内容からスケジュールまで、ご要望に合わせて研修内容をカスタマイズしてご提案することが可能です。ぜひお気軽にお問い合わせください。

参考

個人情報の保護に関する法律 European Commission 2018 reform of EU data protection Rules 個人情報保護委員会 GDPR GDPR(一般データ保護規則)とは?GDPRに備えるためのIT研修をご紹介! 改正民法の施行目前!システム開発への影響とその対策とは?

Web業界への就転職・キャリアアップを成功させたいと考えている方へ
日本初そして日本唯一のWeb専門スクールインターネット・アカデミー

自分にぴったりのコースが見つかる

インターネット・アカデミーでは、Web業界を目指すあらゆる方にお応えすべく、多彩なコースをご用意しています。

Webデザインを学びたい方

プログラミングを学びたい方

自分のペースとスタイルで学べる

毎回好きな受講形式を選んで学習することができるので、働きながらじっくり通いたい方も短期間での就職を目指す方も自分の都合に合わせて、スケジュールを組むことができます。

  • ライブ授業

    現役のプロインストラクター
    と仲間と学ぶメリット

    ライブ授業
  • マンツーマン授業

    インストラクターと
    1対1という贅沢

    マンツーマン授業
  • オンデマンド授業

    いつでも学びたいことを
    学べる

    オンデマンド授業

自分に適した学習方法を探す

インターネット・アカデミーでは、無料体験レッスンを毎日開催しています。デザインやプログラミングの体験ができるのはもちろん、実際の授業に参加したり、就職や転職のご相談、通学スケジュールのご相談なども承っております。

  • ご要望をお伺い

    ご要望をお伺い

    まずはお客様のご要望をお伺いし、お一人おひとりの目的や悩みに最適な内容にカスタマイズ。お客様専用の内容で当日ご案内いたします。

  • カウンセリング

    カウンセリング

    就職や転職、在宅で働きたいなど、お客様の希望を叶えるために専任のスタッフが最適な学習プランをご提案。現在の仕事のご相談なども承ります。

  • 体験レッスン

    体験レッスン

    「自分に向いている分野は?」「自分にできる?」そんな疑問を解決するレッスンを無料で体験。デザインもプログラミングもお試しいただけます。

無料体験レッスン・個別相談のご予約

当日ご希望の方やお急ぎの方は、フリーダイヤルにてご予約いただけます。

0120-746-555 フリーダイヤル受付時間(平日・土日) 10時-21時 オンライン予約

IT研修・人材育成のご相談を無料で承っております
法人専用社員研修、内定者・新人研修のご予約

インターネット・アカデミーでは、
あらゆるニーズに合わせた研修カリキュラムを取り揃えています。

「自社に最適な研修プランを相談したい」「研修費用の相談をしたい」「助成金を申請したい」など、お電話またはお問い合わせフォームよりお気軽にご連絡ください。

03-3341-3781 受付時間(平日・土日) 10時-21時 法人専用 お問い合わせフォーム