プライバシーポリシーはなぜ必要で、どんなメリットがありますか？

さらに、こうした個人情報を、目次やリストなどを作りお客さんごとにまとめて、いつでも検索可能な状態にして取扱っている会社等については、「個人情報取扱事業者」と呼ばれています。個人情報を預かってビジネスを行う会社の多くは、この個人情報取扱事業者にあたると考えてよいでしょう。

ビジネス1つを行うにしても、取引の履行や集客など様々な場面で、企業は、お客さんから個人情報を預かります。特に最近ですと、ウェブサイトにアクセスした人たちの行動パターンを分析するシステムを導入して、集客率アップを狙う会社が増えています。ですから、一般的には、個人情報を預かる機会が前よりも多くなったと言えるでしょう。

他方で、このことは、お客さん側にしてみると、『どのタイミングで、何のために、どういった情報が取得されて、それがどのように使われているのかが、前よりもわかりづらくなった』ということです。つまり、ビジネスのあり方が、お客さんにとって、不安を感じやすいものへと変わってきているということです。

プライバシーポリシーをしっかりと書くことは、『わが社では、お客さんの情報をむやみに入手したり使ったりしていませんので、安心して商品やサービスを購入してください』というメッセージを公表して、こういったお客さんの不安を解消してあげることなんです。

そして、これをしっかりとやっていくと、お客さんやリピーターを増すことができ、会社のビジネス基盤を固めていくことができます。

もし、プライバシーポリシーをきちんと書かないと、お客さんが会社に対し不安を持つようになり、クレームや問合せが入る回数が増えてしまい、ケースによっては、国から注意されてしまうこともあります。

このように個人情報の取扱いをめぐり、お客さんや行政への対応が増えてしまうと、従業員は疲れてしまったり、自分が働いている会社に自身を持てなくなってきたりなどしてモチベーションが低下してしまい、他の会社に転職するきっかけになってしまうこともあります。

逆から言うと、しっかりとしたプライバシーポリシーを用意しておくと、社員さんの『会社のために頑張りたい』というモチベーションをキープできるんです。

そして、社員さんのモチベーションのキープに成功すると、長く会社のために働いてもらえるので、T社長の会社にとって必要なノウハウやスキルを豊富に持っている社員さんをたくさん育てることができますし、これに伴い新しいビジネスに挑戦するハードルも下がります。

さらに、『この会社で働いていて楽しい』と思ってもらえる状態を維持していくと、会社の評判も上がるので、将来において、欲しい人材を獲得しやすくなるというメリットもあるんですよ。

シンプルに言ってしまうと、個人情報保護法には、『個人情報を守るためのルール』が書かれているんです。

そして、『個人情報を守る』ためには、会社とお客さんが協力して、お互いに適切な運用・管理ができているのかを確認していくことが望ましいと言えます。ですから、この法律では、会社に対し、お客さんに向けていくつかの項目を知らせておくことを義務付けており、お客さん側からも会社の運用等が適切かをチェックできるようにしています。

ですから、プライバシーポリシーには、この義務を果たすこと、つまり『個人情報保護法を守りながらビジネスを行う』という意味があるんですよ。

しっかりと理解するために、次の「プライバシーポリシー（案）」を見ながら、どの説明していきますね。

あとは…、そうですね。わかりやすいように、ここでは、このプライバシーポリシー（案）を「本ポリシー」と呼びましょう。

前文っていうのは、要するに、『個人情報へのしっかりとした理解をもって、お客さんの情報を適切に取り扱います』っていう会社の真摯な姿勢を伝える文章のことです。

お客さんから個人情報を預かってビジネスをするためには、前提として、お客さんの信頼を獲得していくことが必要ですよね。ですから、前文を通して、「わが社では個人情報を大切に扱っていますよ」というメッセージを伝えるわけです。

前文をしっかりと作っておくと、お客さんに、会社に対してクリーンかつ誠実なイメージを持ってもらえるので、「この会社の商品・サービスを利用しよう」と思ってもらいやすくなるんですよ。

令和2年にあった個人情報保護法改正で、保有個人データを取り扱う事業者に対し、いくつかの事項について、本人の知りうる状態にしておくことが義務化されました。そして、当該事項の1つが、この「会社情報」なんです。

つまり、法律を遵守するために、プライバシーポリシーに会社情報を書いておく必要があるんですよ。

これらのCookie情報は、氏名・住所などの情報とは違って、それ単体では、どのお客さんの情報なのかを識別することが難しいものが多いので、日本の法律に限定して話すと、「個人情報」に該当しないことも多いです。

しかしながら、こうしたサイト内の行動パターンやカート内の履歴などの情報であっても、その対象となったお客さんと紐付けて利用される場合には、それが誰の情報なのかを識別できるものへと変わりますので、「個人情報」として取り扱わないといけません。

ですから、もし自社のウェブサイトでCookieなどを使って、お客さんの行動パターンや、お客さんが購入（または予約）した商品・サービスの履歴といった情報を取得する場合には、本ポリシー第4条後段のように、『Cookie情報であっても「個人情報」として取り扱うことがある』旨を確認的に書いておくことを、お勧めします。

会社にとって、ウェブサイトに流入した人がどこの国から来たかなどを逐一確認するのは難しく、Cookieを使って情報を入手していると、知らず知らずのうちに、EUやカルフォルニア州の人たちの情報を取得してしまっているといったことも起こりえます。加えて、GDPRやCPRAにおいては、日本法の場合と比べて、Cookie情報も『個人を識別できる情報（＝個人データ）』として補足される傾向が強く、GDPR等が適用されてしまうリスクが高いです。

ですから、自社ウェブサイトにCookieを設置する際には、例えば、⑴ ウェブサイト訪問者に向けて、Cookieバナーを表示しておき、これについて適切に同意を得られる仕様にしておき、また、⑵ 下記のことを、プライバシーポリシーに直接書き込んだり、またはプライバシーポリシーとは別にCookieポリシーを作成しそのページのリンクをわかりやすい場所に貼っておくといいですよ。

▪Cookieの種類ごとの定義

▪利用目的

▪保存期間

▪Cookieを拒否する（＝無効にする）方法

など

なお、GDPR等の外国法との関係では、その他にも注意すべき事項が多くありますので、特に欧州やカルフォルニア州などへの海外展開をお考えのときには、念のため専門の弁護士に相談しておくことを、おすすめします。

ですから、この場合、「お客様と当社との取引により、当社に求められる商品やサービスの提供、これに付随する事務処理のため」といったように、お客さんがイメージをしやすいように、書いておけるとよいですね。

本ポリシー第5条の書き方も参考になるかと思いますので、あとで一覧してみてください。

つまり、一定の手続を踏むと、お客さんから「他の会社に提供しないでください」って言われるまでの間、お客さんの同意を得ずに、第三者提供できるんですよ。

これは、『お客さんのプライバシー保護を図りながら、個人情報の有効活用を促進する』というコンセプトで作られた制度で、「オプトアウト」と呼ばれています。

というのも、第三者提供をした会社は、法律上、提供先の会社を適切に監督する義務が生じます。ですから、もし提供先で漏洩などが生じた際には、法令違反のリスクに晒されてしまいます。また、お客さんからも、クレームを入れられたり、責任追及されてしまうこともあるでしょう。

まとめると、その第三者提供が、会社にとってどうしても必要なものなのか、また、提供先の会社は情報管理体制がきちんとしているのかといった点について、あらかじめよく検討しておくことが、とても大切なポイントです。

この伝え方については、本人に直接通知することもできますし、また、プライバシーポリシーに書いておき、それを公表する方法でもokです。

なお、実務ですと、個々に通知することの面倒さを嫌って、プライバシーポリシーに書いておく会社が多いように思います。

そして、これらの請求のハードルを下げるといった趣旨のもと、個人情報保護法は、事業者に対して、どういった手続に則り、どこに請求すればよいのか、また請求に際し手数料が生じるときはそれがいくらなのか等を、お客さんにきちんと知らせておくよう、義務付けています。

ですから、この義務を果たすために、プライバシーポリシーに、こういった事項を書いておくことが多いんですよ。

要するに、会社が扱っているお客さんの情報について、そのお客さんが質問やクレームなどをするときには、どこに連絡すればいいのかを教えておく必要があるってことです。

これを実施する方法の1つとしては、プライバシーポリシーに、問合せ窓口の連絡先を書くことですね。

例えば、「ご質問やご不明点がございましたら、以下の連絡先（窓口）までお気軽にお問い合わせください。」として、会社の電話番号やメールアドレス、担当者名を書いておくんです。

というのも、プライバシーポリシーは、お客さんにお知らせするためのものであって、お客さんと合意するものではないからです。

ですから、プライバシーポリシーに、サービスの提供に関し免責事項を書いて公表しても、これだけで、その免責を受けられるわけではありません。

プライバシーポリシーに書くことで免責される事項とは、会社とお客さんの双方において暗黙の了解があると言えるもの、つまり『一般的に、お客さんの自己責任と考えられているもの』になるでしょうね。

GoogleアナリティクスやGoogleアドセンスを使った場合、Googleが直接お客さんから情報を取得することになります。つまり、個人情報の流れとしては『お客さん→Google』なんですよ。そうすると、同法との関係では、T社長の会社の方で同意取得すべき義務はありませんよね。

でも、仮に、Googleがウェブサイト上で取得した情報の中に、EU圏からアクセスした人の個人情報が含まれていると、GDPRが適用されるおそれがあります。

GDPRによると、個人情報を直接取得しておらずとも、その取得について目的や方法を決定をした者（「controller」（GDPR第4条⑺））は、本人から同意取得すべき義務があるんですよ（GDPR第7条1項）。そして、Googleアナリティクス等を自社ウェブサイトに導入した会社は、この「controller」と見なされることが多いので、GDPRへの違反がないように、会社の方で同意取得しておくのが無難でしょう。

また、GoogleアナリティクスやGoogleアドセンスの規約（Googleアナリティクス利用規約、Googleアドセンスヘルプ）によると、T社長の会社において、プライバシーポリシーの中に一定の事項を書いておく必要があります。これを怠ると、Googleから『契約違反だ』と言われてしまうので、こちらも忘れないようにしましょうね。

というのも、プライバシーポリシーとは、お客さんから『預かっている』個人情報についてのルールです。ですから、会社で行うビジネスに沿って、誰から、どのような個人情報を預かっているかをはっきりとさせておくことが必要なんです。

また、この洗い出しをちゃんとやっておくと、自社ビジネスとの関係で、個人情報をどんなふうに使うことを想定しているのか、これに伴って他の会社に提供する予定があるのかなどの点についても明らかになってきます。そうすると、プライバシーポリシーに何を書くべきなのかを適切にイメージできるようになり、結果として、自社にとって最適解のプライバシーポリシーを作ることができるんですよ。

とても基本的なことではありますが、これがちゃんとできている会社は、個人情報の取扱やお客さんからの請求や問合せに対し、テキパキと行動できますので、会社の業務効率を落とすことなく、法律を遵守し、会社の評判を上げていくことができるんですよ。

なお、個人情報保護法についてのガイドラインによると、会社の運営するウェブサイトのトップページから 『1 回程度』のクリックでアクセスできる所に、プライバシーポリシーを設置しておくのが望ましいとのことですね。

ただ、そうなると、おそらくインターネットなどから、プライバシーポリシーの雛形を引っ張ってきて、作成していくことになるかと思います。雛形は無料のものが多いので費用的にはよいのですが、こういった雛形はあくまで『一般的なもの』であり、必ずしもT社長の会社のビジネスに沿った内容であるとは限りません。

雛形をそのまま使ってしまうと、もしかすると、T社長の会社で実際に行っているビジネスとプライバシーポリシーの内容に食い違いが起きてしまい、現場が混乱するといった事態にもなりかねます。

ですから、できれば企業法務について詳しい弁護士に依頼して、自分の会社に合ったプライバシーポリシーのたたき台を作ってもらうことを、お勧めします。

ですから、自分の会社が、どういったビジネスを行っており、また将来に向けてどうしていきたいのかを、ハッキリとさせ、それを弁護士としっかりと共有していただくことが、充実したプライバシーポリシーを作っていく上で、とても重要なポイントなんです。

その他にも、会社のビジネスをイメージしながら、プライバシーポリシーどう書くのがよいのかをしっかりと考えてみると、意外にも、いま会社で採用している情報管理体制をグレードアップさせるヒントが見つかったりもします。

つまり、プライバシーポリシーの大切さを認め、これを正しく、そして丁寧に書くことは、T社長の会社のビジネスを成功させるパワーになるんです。