ショッピングサイトと法律 プライバシーポリシーと個人情報保護法について

現代社会においてインターネットを使って、お買い物をしたり、SNSで誰かと繋がったり、お得な情報をゲットしたりする事は当たり前の事となっています。
そして、インターネットを使用する時に、自分の個人情報を登録するということもまた、当たり前のように行っていることと思います。
しかし、この個人情報が悪用されたりしたりしたら、どうなってしまうのでしょう?
今回はショッピングサイトにおけるプライバシーポリシーのお話しです。

1.プライバシーポリシーとは?

『プライバシーポリシー』とは一体何でしょう?
これは、
企業が取得したお客様の個人情報において、その利用目的や管理、保護などに関する取り扱いの企業方針を明文化したもの
です。(個人情報保護方針などの言い方があります。)
プライバシーポリシーは、利用規約の中に掲載してもいい内容だと思います。
しかし、多くのWEBサイトでこれを単独のページで掲載していますね。
そうすることで企業が個人情報の取り扱いに実直であるという姿勢の表現にもなりますので、ぜひプライバシーポリシーのページを作りましょう。

2.個人情報保護法とは?

プライバシーポリシーを作成する時に参照する法律、個人情報保護法。
正式名称は『個人情報保護に関する法律』と言います。
この法律に基づいて、プライバシーポリシーの内容が書かれます。
どんな法律かザックリ言いますと、
『大切な個人情報を適正に取得し、よそに情報が漏れないようにちゃんと保護して扱いましょうね。何に使うか、ちゃんと個人情報提供者に伝えておいてね!!』
といった内容です。
ザックリしすぎましたが、個人情報保護法は「個人の権利を保護しつつ、情報が正しく使われるように規制している」法律なのです。

3.個人情報の保護に関する法律とガイドライン一覧

個人情報の取り扱いの内容は、業種によって異なってきます。
そこで、あらゆる業種に対応したガイドラインが各省庁から発表されています。
このガイドライン自体には、法的拘束力はありませんが、ガイドラインに反していると、行政処分の対象となる可能性があります。
個人情報保護法と合わせて、確認していきましょう。
◯個人情報の保護に関する法律全文はコチラ
◯ショッピングサイトで参考にする主なガイドライン
【 経済産業省 】 事業全般
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」PDF
【 総務省 】電気通信
「電気通信事業における個人情報保護に関するガイドライン」PDF
 
◯その他のガイドラインは下記にリンク集を整理しましたので事業内容に応じてご確認ください。

【 経済産業省 】 事業全般「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」PDF
「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」PDF
「雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項」PDF【 厚生労働省 】労働者派遣
「派遣元事業主が講ずべき措置に関する指針の一部を改正する告示」PDF
【 厚生労働省 】職業紹介等
「職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給事業者等が均等待遇、労働条件等の明示、求職者等の個人情報の取扱い、職業紹介事業者の責務、募集内容の的確な表示等に関して適切に対処するための指針の一部を改正する告示」PDF
【 厚生労働省 】福祉
「福祉関係事業者における個人情報の適正な取扱いのためのガイドライン」PDF
【 文部科学省 】教育
「学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」PDF
【 総務省 】電気通信
「電気通信事業における個人情報保護に関するガイドライン」PDF
【 厚生労働省 】医療一般
「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」PDF
「健康保険組合等における個人情報の適切な取扱いのためのガイドライン」PDF
【 金融庁 】金融
「金融分野における個人情報保護に関するガイドライン」PDF

4.個人情報保護法に定められている法的義務

個人情報を取り扱う企業として、個人情報保護法に定められている法的な義務は以下の事項になります。
【 1 】取得した個人情報の利用目的の特定
取得した個人情報を何に利用するのかをはっきりさせる事。
【 2 】個人情報の適切な取得と利用目的の通知
個人情報を取得する際、不正に取得してはいけません。
また、個人情報を取得する際、その利用目的を予め公表しておくか、取得後速やかに本人に通知・公表しなくてはなりません。
【 3 】正確性の確保
取得した個人情報は、できるだけ内容が正確で最新の情報に保つようにしなくてはなりません。
【 4 】安全管理措置
取得した個人情報が外部に漏れたり不正に奪われたりしないように、安全に管理する対策を明示し実行しなくてはなりません。
また、従業員や委託先に個人情報を取り扱わせる時は、個人情報が安全に取り扱われるように監督しなくてはなりません。
【 5 】第三者提供の制限
個人情報は基本的に、情報提供者本人の同意を得ないで第三者に提供してはいけません。(特例を省く。)
【 6 】開示、訂正、利用停止
・個人情報に関する一定の事項を情報提供者本人がすぐに確認できるようにしておかなくてはなりません。
(※一定の事項 = 個人情報取扱事業者の氏名または名称 / 保有個人データの利用目的 / 開示請求等に応じる手続き方法 / 苦情の申し出先 など)
・個人情報が真実と異なるという理由で、情報提供者本人から個人情報の訂正・追加・または削除の請求があった場合は速やかに調査し、訂正をしなくてはなりません。
・不正な取得 / 不正な利用 / 不正な第三者提供の理由で保有個人情報の利用停止を請求された場合は速やかに応じなければなりません。
【 7 】苦情の処理
個人情報取扱企業は、速やかに苦情を申し立てることができる手続を整備しておかなければなりません。
また、苦情があった場合、迅速に処理ができる体制を整えておく必要があります。
と、結構あるのをご存知でしたか?
これらの事項に反せず、個人情報を取り扱いましょう。
そして、この法律に違反した場合、6ヶ月以下の懲役または30万円以下の罰金が科せられます。

5.個人情報が漏れてしまった!!さぁ、どうする!?

とはいえ、個人情報保護法やガイドラインに従っていても、起こってしまう情報漏洩。
もし、あなたの会社で起きてしまったらどうしたらいいのでしょう?
発見→報告
まず、情報が漏れている。または漏れているかもしれない。という時点で速やかに責任者に報告をします。
初動対応
現段階で漏れている以上に情報漏洩が拡大しない様、また、2次災害が無いように応急処置の実施。
通知・報告・公表
漏洩した個人情報の本人 / 取引先などへの通知
監督官庁 / 警察 / IPAなどへの届出
ホームページ・マスコミ等による公表(お客様相談窓口の前面告知など)
調査
情報漏洩の情報や原因、証拠の確保をします。
抑制措置と復旧
個人情報漏洩によって発生した被害拡大の防止措置を実施。
安全な復旧の措置実施。
事後対応
抜本的な再発防止策の実施
被害の補償の実施
IPA 独立行政法人情報処理推進機構から出ている
『情報漏洩発生時の対応ポイント集』PDF 参照

これが情報漏洩発覚後の対応となってきます。
また、これ以外にも会社の信頼回復に努める必要があり、それはかなりの期間を要することになるでしょう。
こうならないためにも、自社の情報管理・セキュリティ対策について、定期的に点検 / 整備する必要がありますね。

6.今すぐショッピングサイトのプライバシーポリシーを作りたい

そんな方の為に、テンプレートを作りました。
内容をご確認の上、社名や内容を自社の方針に合わせて修正してお使いください。

<!doctype html>
<html>
<head>
<meta charset="UTF-8">
<title>プライバシーポリシー</title>
<style type="text/css">
hr {
    margin-top: 17px;
    margin-bottom: 17px;
    border: 0;
    border-top: 1px solid #eeeeee;
}
#pp {
	width:80%;
	line-height:1.5em;
	margin:0 auto;
}
#pp h3 {
	padding:10px;
	border-left:5px solid #73B1A9;
	border-bottom:1px solid #73B1A9;
}
.pp-inner {
	padding:15px;
}
.pp-inner h4 {
	color:#73B1A9;
}
.in1,.in2 {
	display:block;
	margin:7px auto;
}
.in1 {
	width:90%;
}
.in2 {
	width:85%;
	padding-bottom:15px;
}
.ijyou {
	text-align:right;
	padding:7px;
}
</style>
</head>
<body>
<div id="pp">
<h3>個人情報保護方針 (プライバシーポリシー)</h3>
<p class="guide">このWEBサイト(以下当WEBサイト)は、株式会社◯◯◯(以下当社)が管理・運営しております。<br>
当社では、お客様の個人情報取扱いに細心の注意を払い、お客様に安心してサービスを提供するべく、以下のプライバシーポリシーを遵守してまいります。</p>
<div class="pp-inner">
<h4>1.個人情報取扱事業者名及び個人情報保護管理者</h4>
<p class="in1">株式会社◯◯◯&emsp;個人情報担当責任者</p>
</div><!--pp-inner end-->
<hr>
<div class="pp-inner">
<h4>2.個人情報の利用目的について</h4>
<p class="in1">当社はお客様の個人情報を以下の目的で利用させていただきます。</p>
<p class="in2">(1) 会員登録をされたお客様が当社のサービスを利用する時</p>
<p class="in1">当社の会員登録後にログインする時、又本人認証をする際の会員情報の表示。</p>
<p class="in2">(2)当社の提供するサービス取引を遂行する時</p>
<p class="in1">お客様が当WEBサイトにおいて、商品の購入・予約、プレゼントなどの応募、その他の取引を申し込まれた場合の以下の時。</p>
  <p class="in2">・商品の配送<br>
  ・サービスの提供<br>
  ・代金決済<br>
  ・お客様からのお問い合わせへの対応<br>
  ・当社からお客様へのお問い合わせ<br>
  ・関連するアフター サービス<br>
  ・当社発行のメルマガ等の情報提供の時
  ・その他取引遂行にあたって必要な業務</p>
</div><!--pp-inner end-->
<hr>
<div class="pp-inner">
<h4>3.個人情報の収集について</h4>
<p class="in1">当社はお客様の個人情報を適正で公正な手段によって取得いたします。</p>
<p class="in1">お客様が当サイトのサービスを受ける為、会員登録をする際必要な個人情報を提供していただきます。</p>
</div><!--pp-inner end-->
<hr>
<div  class="pp-inner">
<h4>4.個人情報の第三者への提供</h4>
<p class="in1">当社は、次の場合を除き、個人情報を第三者に提供することはありません。</p>
<p class="in2">・個人情報ご本人様のご同意がある場合<br>
・生命、身体又は財産の保護のために必要であり、ご本人様のご同意を得ることが困難である場合<br>
・合併その他の理由による事業の承継に伴い、個人情報を提供する場合<br>
・利用目的の達成に必要な範囲内で、個人情報の取扱いの全部又は一部を第三者に委託する場合<br>
(当社は、委託先の選定に配慮するとともに、個人情報の取扱いに関する契約を締結する等して、個人情報の漏洩・滅失・改ざんの防止を図り、必要に応じて委託先に対して監督・指導等を行います。)<br>
・法令等により認められている場合</p>
</div><!--pp-inner end-->
<hr>
<div  class="pp-inner">
<h4>5.個人情報の照会・訂正・利用停止・消去等のお問合せ先</h4>
<p class="in1">当社は、個人情報の照会・訂正・利用停止・消去等のご要望があったときは、所定の手続でご本人様であることを確認のうえ、すみやかに対応します。<br>
個人情報に関するお問合せ先は、当社ホームページ上の<a href="#">お問合せ窓口</a>からお知らせください。</p>
</div><!--pp-inner end-->
<hr>
<div  class="pp-inner">
<h4>6.その他</h4>
<p class="in1">当社は、個人情報保護に関する取組みの運営の変更のため又は法令の変更等に対応するため、上記の「個人情報の保護に関する法律に基づく公表事項」等について予告なく変更・改定する場合があります。</p>
</div><!--pp-inner end-->
<p class="ijyou">以上</p>
</div><!--pp end-->
</body>
</html>

まとめ

コピペで作られがちなプライバシーポリシーですが、今一度その意味と正しい掲載方法を確認しておきましょう。
ほとんど読まれないから大丈夫。
なんて、気を抜いていると落とし穴にはまってしまいます。
しっかりした内容を掲載し、大切なお客様の個人情報を守るよう努めましょう。