プライバシーポリシーに必ず含めるべきこと その1

多くの会社はプライバシーポリシーを定めています。このプライバシーポリシー、「個人情報保護方針」とも言って、プライバシーマーク（Pマーク）を使用している会社は必ず定めていなければならないものです。

インターネット上に自社のホームページを持っている会社はたいていその中でプライバシーポリシーを公開しています。目にしたこともあるのではないでしょうか？

プライバシーポリシーとは

プライバシーポリシーは個人情報保護に関する会社の“理念”を宣言するものであって、「わたしたちの会社はこれこれこういったセキュリティ対策を行っています」というような具体的な内容を事細かに記すわけではありません。具体的ではないためプライバシーポリシーを参照しながらセキュリティ維持にかかわる日常業務を行うということはあまりないでしょう。

ですがプライバシーポリシーが不要かというと、決してそんなことはありません。プライバシーポリシーこそが会社で取り組むすべての個人情報保護活動の基礎となるのであり、それゆえに情報セキュリティにおいても一番重要なものと言えるのです。

それではプライバシーポリシーを定める場合、どのようなことを最低限含めるべきなのでしょうか。6つの項目がありますので、これから3回の記事に分けて解説したいと思います。

個人情報の取得に関する会社の方針

個人情報保護方針と言うわけですから、まずは個人情報をどう扱うかという自社の原則を明確にしなければなりません。

まずはお客様や取引先から個人情報をどのように「取得」するかを示す必要があります。

個人情報の利用に関する会社の方針

次に個人情報をどのように「利用」するかを示す必要があります。ここでは特に利用目的以外の目的で個人情報を使ったりしないこと、またそのような悪用を防ぐためにどんな措置を講じるかを文章に含めることが求められます。

個人情報の提供に関する会社の方針

さらに個人情報を会社や部門の外に「提供」するケースがあるなら、どんな原則に沿って提供を行うかも明記すべきです。個人情報を外部に委託する場合があるなら、一定のセキュリティ水準を満たした業者にだけ委託することや、委託の際に必ず情報保護に関する契約を結ぶことなどもプライバシーポリシーに含めることができるでしょう。

まとめ

言うまでもなく個人情報の取得、利用、提供に関する方針は自社の事業内容や規模に応じたものでなければなりません。他社のプライバシーポリシーを真似すると、自社に合わない方針を設けてしまうことにもなりかねません。

ここはプライバシーマーク（Pマーク）取得のコンサルタントを活用して自社にふさわしいプライバシーポリシーを作成するのも一つの方法と言えます。

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】