通販業を経営している会社の経営者の方に向けた、「プライバシーポリシー」について解説です。
「プライバシーポリシー」とは、何を意味するのかきちんと理解していますでしょうか。
「プライバシーポリシー」とは、個人情報およびプライバシー情報を取扱うときの方針、いわゆる「ポリシー」を定めた文書です。
通販業を運営していると、多くの個人情報やプライバシー情報を取り扱うことになります。
そのため、自社で「プライバシーポリシー」を作成したいというご相談を、通販運営会社の経営者の方から受けることが少なくありません。
「プライバシーポリシー」は個人情報の取扱いに慎重さが求められる現代において、重要な意味をもっており、雛形のコピーでは不十分な場合がある、と言えます。
今回は、IT法務を得意とする弁護士が、インターネット通販ショップを経営する上で、見直しておきたい「プライバシーポリシー」のポイントを、解説していきます。
1. 通販に、なぜ「プライバシーポリシー」が必要?
まず、個人情報保護が企業にとって重要な課題となっている現代において、「プライバシーポリシー」の重要性が増していることは当然ですが、このことは、今回解説します通販会社においては、特に重要と考えなければなりません。
通販会社を経営するにあたって、「プライバシーポリシー」が特に重要となる理由について、弁護士が順に解説していきます。
1.1. 「個人情報保護法へ対応する」役割
個人情報保護法では、ユーザーから個人情報を収集し、また利用等をするときには、一定の事項について公表することが義務づけられています。
したがって、「プライバシーポリシー」は、まず「個人情報保護法」の公表義務や、プライバシーマークの要請への対応、という重要な役割を担っています。
1.2. 「顧客の不安を和らげる」役割
通販の顧客の立場からすれば、通販事業者に自己のプライバシー情報を収集されることに抵抗感がある人もいます。
最近は、氏名・住所・電話番号といった情報だけでなく、趣味・嗜好まで推測できるような情報まで収集される傾向が進んでいる、といえるでしょう。
そのため、プライバシー情報が気づかないうちに外部に漏れやしないか、といった顧客の警戒感は高いのが現状です。
プライバシー情報の取扱いを慎重にしなければ、顧客から強い反発を受けてしまいかねません。
「プライバシーポリシー」は、プライバシー情報の取扱方針を明らかにして顧客の不安を和らげる、という役割も同時に担っています。
2. プライバシーポリシーの対象となる個人情報の拡大
以上で解説したとおり、「プライバシーポリシー」は、通販会社を経営する上で、特に重要な役割を担うものです。
そのため、自社でオリジナルの「プライバシーポリシー」を作成したいというご依頼も増えています。
「プライバシーポリシー」の対象となる情報は、情報の重要性、多様性に応じて、増加しています。会社の状況に合わせて、ケースバイケースで対応しなければなりません。
2.1. 従来型プライバシーポリシー
従来は、個人情報保護法で定められた「個人情報」、つまり、以下のような情報を対象とする「プライバシーポリシー」がネット通販ショップ運営会社では多くみられました。
- 1. 生存する個人に関する情報であり
- 2.1. 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができる情報
- 2.2. 他の情報と容易に照合することができ、それにより特定の個人を識別することができる情報
かつ
または
この定義は、個人情報保護法で定められた「個人情報」と同じものです。
そして、通販会社であっても、これらの個人情報の取り扱いに細心の注意を払わなければいけないことは変わりませんから、これらの個人情報は「プライバシーポリシー」の対象となります。
2.2. 現代型プライバシーポリシー
しかし、現在では、それだけでは特定の個人を識別できず、個人情報保護法による保護の対象とならない情報であっても、プライバシーに深く関わる情報として「プライバシーポリシー」の対象となっているのが一般的です。
- 端末固有のID
- ウェブサイトの閲覧履歴
- 外出時のGPSの履歴
従来の個人情報に関する定義にはあてはまらないものの、価値を持っている情報が増加していると考えてよいでしょう。
これに伴って、個人情報保護法の改正もなされています。
特に、通販会社を経営するにあたっては、顧客の趣味・嗜好、購買履歴など、マーケティングのために重大な価値のある情報を収集する可能性があるため、このような情報も「プライバシーポリシー」の対象としておくことをお勧めします。
3. プライバシーポリシーをチェックするポイント
次に、既に「プライバシーポリシー」を作成している場合であっても、特に通販会社では、次の点に注意して、御社の「プライバシーポリシー」を再チェックしてみてください。
3.1. 「利用目的」を具体的に明示する
自社商品やサービスをインターネットで通信販売した際、配送のために必要な情報として、顧客から住所や名前、電話番号といった個人情報を入手することになるでしょう。
ネット通販を運営する事業者としては、単に注文を受けた商品を配送するだけでなく、他の商品に関する広告をダイレクトメールとして送付したい、と考えるでしょう。
しかし、「プライバシーポリシー」において、「ダイレクトメールを郵送するために利用する。」という記載がなかった場合、個人情報の「目的外利用」として個人情報保護法に違反するおそれがあります。
個人情報保護法は、利用目的を具体的に特定することを求めているからです。
例えば「新商品・サービスに関する案内やお知らせのため」といった程度まで特定することが求められているのです。
具体的には、個人情報の利用目的を具体的に明示する、次のような条項を規定することが考えられます。
当社のウェブサイトでは、お客様からのお問い合わせ時に、お名前やメールアドレス・電話番号等の個人情報をご登録いただく場合がございますが、これらの個人情報はご提供いただく際の目的以外では利用いたしません。お客さまからお預かりした個人情報は、当社からのご連絡や当社主催の催し物、商品やサービスのご案内や、ご質問に対する回答として、ダイレクトメールや資料のご送付にのみ利用いたします。
目的に関して単に「事業活動のため」「提供するサービス向上のため」程度の記載では、具体的に特定できていない、とされるおそれがあります。
3.2. 第三者提供に「同意」を得る
自社の商品やサービスに関するマーケティングのための参考情報として、あるいはネットオークションの中で顧客情報を一定程度提供する場合など、通販会社を経営する上で、個人情報を第三者に提供する必要のある場面は意外と多い、といえます。
個人情報保護法によりますと、取得した個人情報を第三者に提供する際には、原則として顧客から「同意」を得ることが必要です。
したがって、個人情報を第三者に提供する場合は、「プライバシーポリシー」にその旨を明記する必要があります。
先ほど紹介しました個人情報の「利用目的」については、「明示」しておけばよいとされています。
しかし、個人情報を第三者に提供することは、顧客に与える影響が大きいので、顧客の「同意」まで要求されています。
3.3. 委託先への開示も明示する
通販ショップを運営していますと、宅配事業者へ配送を委託することが頻繁にあるでしょう。
このような場合を想定して、個人情報保護法においては、事業者が「利用目的の達成に必要な範囲内」において、個人データの取扱いの全部または一部を委託する場合に、本人の同意を得ることなく、委託先へ個人情報を提供することを認めています。
本来は、既に説明したように、委託先であったとしても「第三者」であることに変わりはないので、顧客から個別に同意を取るべきことが原則であるといえます。
しかし、いちいち同意の手続きを踏むことは煩雑ですので、上記のように条件が緩やかになっています。
もっとも、個人情報を委託した場合には、委託先に対する個人情報保護法上の監督義務が発生し、委託先の行為に関し、責任を負う場合があることは覚えておきましょう。
3.4. 個人情報を共同利用する旨を明記する
ネット通販事業が拡大すればするほど、通販を利用する顧客情報を系列のグループ会社間で共同して利用する必要が生じます。
その場合、以下の項目をあらかじめ顧客に通知するか、または顧客が容易に知ることができる場合には、顧客から「同意」を得なくても、他の共同利用者へ個人情報を提供することが認められています。
- 共同利用をすること
- 共同利用する個人データの項目
- 共同利用する業者等の範囲
- 利用する業者の利用目的および個人データの管理について責任を有する者の氏名または名称
なお、個人情報保護法でいうところの「顧客への通知」や「顧客が容易に知ることができる場合」という条件をみたすために、「プライバシーポリシー」に「共同利用」について明記する、という方法もあります。
当社はお客様により質の高い商品・サービスを展開するため、当社関連企業でのサービスレベル向上を図っております。そのために、当社は、以下の範囲内で厳格な管理のもと、適切な安全措置を講じて、個人情報を共同利用いたします。
・個人情報を共同利用する企業名と商品・サービスは以下の通りです。
○○株式会社
・共同で利用される個人情報の項目と範囲および取得方法
お客様が個人情報のご登録を行った場合、ご入力いただいた情報および当社商品・サービスの利用履歴ほか、閲覧・検索・ブックマーク等あらゆる行動履歴に該当する情報を当該商品やサービスにおいて共同利用します。
・共同して利用する者の利用目的
当該商品・サービスにおける利用目的と同じです。
もっとも、「共同利用」に関しては、共同利用者の間で顧客情報の管理について共同の責任を負う可能性があります。
したがって、お互いに責任を負ってよいといえる関係、たとえば資本関係のあるグループ企業等との間に限定したり、それ以外の場合には、個別に顧客から「同意」を得るなど工夫をしましょう。
4. プライバシーポリシーを設置すべき場所は?
「プライバシーポリシー」が一応は作成されている場合であっても、御社のウェブサイトの適正な場所に設置しているでしょうか。
「プライバシーポリシー」は、ネット通販の顧客がその内容を知ることができる場所に設置することが必要不可欠です。
具体的には、御社のウェブのトップページから1回以内のクリックで到達できる場所へ掲載しておくことが必要です。
4.1.「利用目的」の明示場所
既にご紹介しました「利用目的」については、個人情報保護法>により「あらかじめ」顧客に対してその利用目的が「明示」されることが求められています。
よって、個人情報を登録する必要があるネット通販ショップを運営する場合には、顧客が確実に「プライバシーポリシー」を閲覧できるように、提示する必要があります。
4.2. 第三者提供の「同意」の明示場所
第三者提供の場合のように顧客の「同意」が必要なケースでは、「プライバシーポリシー」の設置場所をより意識し、明示的に承諾を得る努力をしなければなりません。
とくに、スマートフォンのアプリで通販を行う場合には、画面に表示される大きさに限界がありますので、注意が必要です。
5. まとめ
個人情報についての慎重な姿勢が企業側に求められる現代、膨大な量の顧客情報を取り扱うネット通販ショップの運営者や事業者は、個人情報に対する的確な意識をもつことが必要です。
「プライバシーポリシー」について少しでも不明点や不安な事項等がある場合にはできるだけ早く、IT法務を得意とする弁護士ご相談ください。