2023年6月1日
個人情報保護方針とプライバシーポリシーは、どちらも個人情報の取り扱いについてを示すものであり、同義的に使用されます。しかし、厳密に判断すると、個人情報保護方針は一般的に内部的に設定する方針であり、プライバシーポリシーは個人情報の取り扱いについての公的な声明で、主に外部の利害関係者向けに作成されるという違いがあります。
1.個人情報保護方針とは
個人情報保護方針とは、企業や団体が個人情報を適切に保護するための方針やルールのことを指します。
この方針は、個人情報の収集、利用、管理、保護、破棄など、あらゆる段階において、適切な取り扱いを行うことを目的としています。
つまり、内部での運用の指針となる文書であり、組織が個人情報を適切に保護するための方法や対策、取り扱いについてのルールを明確にすることを目的としています。
2.Pマークにおける個人情報保護方針
プライバシーマーク制度では個人情報保護方針の策定・公表が求められている為、Pマーク(プライバシーマーク)の認定を受けた事業者は必ず個人情報保護方針を公表しています。
Pマーク認定を受けていない企業は、個人情報保護方針を掲載する必要はありません。
個人情報保護方針の内容についてですが、プライバシーマーク制度やJIS Q 15001:2006では、下記のように記載されています。
使っている言葉が難しいので、ひとつひとつ簡単に解説をしていきます。
個人情報保護方針
a) 事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること(特定された利用目的の達成に必要な範囲を超えた個人情報の取扱いを行わないこと及びそのための措置を講じることを含む。)
→本人からあらかじめ同意を得た利用目的のみに使用し、目的外利用をしないことを宣言しています。
b) 個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守すること。
→法的要求事項にも対応することを宣言しています。
c) 個人情報の漏えい、滅失又はき損の防止及び是正に関すること。
→事故をした際に2度と起こらないようどう対策していくのかをまとめています。
d) 苦情及び相談への対応に関すること。
→苦情相談への対応の方向性をまとめています。
e) 個人情報保護マネジメントシステムの継続的改善に関すること。
→個人情報保護していくためにどのように継続して改善していくのかをまとめています。
f) 代表者の氏名
→方針を誰の責任の下で発令しているのかがわかります。
上記に記載した内容を公表する必要があり、一般的には企業のホームページ上で公開されています。
ただし、ホームページが存在しない企業もある為、この場合は、受付などに掲示していることもあります。
3.プライバシーポリシーとは
プライバシーポリシーとは「個人情報の取扱いについての方針を明文化したもの」を指します。
組織が取り扱う個人情報に関する利用者向けの情報提供文書であり、ウェブサイトやアプリケーションなどで公開されます。
プライバシーポリシーは、個人情報を取り扱う組織が、どのような個人情報を収集し、どのように利用するか、第三者に提供するか、保管する期間はどの程度かなどを利用者に説明するための文書です。
例えば、通販サイトなどでネットショッピングをしていると、「あなたへのおすすめ」「購入履歴からのオススメ」など、あなたに合わせたオススメの商品が表示された経験はありませんか?
これは、利用している通販サイトがユーザーの“サービスに関する情報”を利用して、類似商品や関連のある商品を表示させているのです。
このことについてプライバシーポリシー上では「ログインに関する情報、会員サービスおよび対象サービスの利用等に関する情報、お支払いまたは本人確認のための情報を利用します」などと明記されています。
4.プライバシーポリシーと個人情報保護方針の違い
個人情報保護方針とプライバシーポリシーの違いについてご説明します。
個人情報保護方針とプライバシーポリシーは、どちらも個人情報の取り扱いについてを示すものであり、同義的に使用されます。
しかし、厳密に判断すると、異なる点が2点あります。
① 規約の一部として記載されている場合がある
これは、規約とプライバシーポリシーは、いずれもサービス提供に関する条件などを記載した文書であるためプライバシーポリシーの内容が規約の中に記載されていることがあります。
例えば、A社の場合、利用規約の一部に「プライバシーについて」の項目があり、そこからプライバシー規約にリンクして飛ぶようになっております。
B社の場合、大項目として利用規約があり各規約の一部として記載されております。
② ユーザーの不安を解消
プライバシーポリシーには、「プライバシーマークの要求事項に対応する」役割だけでなく「(個人情報に限らない)プライバシー情報の取り扱い方針をわかりやすく明示することによって、ユーザーの不安を和らげる」という役割も担っています。
例えば、ECサイトや通販事業のプライバシーポリシーは、利用するにあたって追跡広告での「あなたへのおすすめ」が出てきますが、そのことについてプライバシーポリシーに記載されています。
5.個人情報保護方針の必要性は
Pマーク取得済の場合、個人情報保護方針が整備されていることが要求事項として求められています。
また、個人情報漏洩や不正利用が発生した場合には、Pマークの取得状況に応じた責任追及が行われるため、責任ある個人情報の適切な取り扱いが求められます。
一方、Pマーク未取得の場合でも、個人情報保護方針を定めることは重要です。
個人情報保護方針を策定し実践することにより、個人情報の取り扱いに関する基本的なルールを確立し、個人情報の保護に努めることができます。
また、個人情報保護方針を公表することで、企業や団体の信頼性向上につながることがあります。
さらに、Pマーク未取得の企業や団体は、個人情報保護に対する取り組みを積極的にアピールすることにより、信頼性を高めることができます。
6.個人情報保護方針違反や、プライバシーポリシー違反によるリスクと対策
個人情報保護方針違反やプライバシーポリシー違反によるリスクとしては、以下のようなものが考えられます。
・個人情報の漏洩や不正利用
・法令違反による罰則や法的訴訟
・企業や団体の信頼性の低下や損害賠償請求などによるイメージ損失
これらのリスクに対する対策としては、従業員にプライバシーポリシーの周知や教育を行い従業員の意識向上を図ることが挙げられます。
また、個人情報の適切な管理体制を整備し、個人情報の漏洩や不正利用を防止することもリスク対策になります。
これらの取り組みにより、個人情報保護に関する信頼性の向上や、プライバシーポリシー違反によるリスクの最小化が図られます。
まとめ
いかがでしたでしょうか?
個人情報保護方針とプライバシーポリシーについて少しはご理解いただけましたでしょうか。
Pマーク(プライバシーマーク)に関することでお困りのことがございましたら、下記よりお気軽にご相談ください!
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜18:30
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!
相談予約は
こちらから
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ