令和2年 (2020年) に公布された「改正個人情報保護法」の施行が、いよいよ 2022年4月1日に迫っています。この改正は、プライバシーポリシーの記載事項にも影響があるため、施行前に自社のプライバシーポリシーの見直しが必須となっています。
今回は、プライバシーポリシーの見直しポイントのうち、特に重要な「利用目的の記載」について説明します。
改正法で、利用目的の記載方法はどう変わる?
プライバシーポリシーには、取得した個人情報の利用目的を記載する必要があります。
従来は「マーケティング活動に用いるため」ような、比較的ざっくりとした記載が許容されていたところ、改正法により、できる限り具体的な記載が求められるようになりました。
利用目的の具体的な記載とは?
個人情報保護委員会の「個人情報保護法ガイドライン (通則編)」(平成28年11月(令和3年1月一部改正))では、個人情報の取扱いに関して、以下のように記載されています。
個人情報取扱事業者は、個人情報を取り扱うに当たっては、「利用目的をできる限り具体的に特定しなければならないが、利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事 業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ 合理的に想定できる程度に具体的に特定することが望ましい」
簡単に言うと、ユーザーや顧客が「自分の個人情報は、こんな目的で、こんな使われ方をするんだな」と分かるように、利用目的を記載しましょう、ということです。
上記ガイドラインでは、① 具体的に利用目的を特定している事例 (OK例) と、②特定していない事例 (NG例) として、以下のように示しています。
① OK例
- 取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします
- 取得した行動履歴等の情報を分析し、結果をスコア化した上で、当該スコアを第三者へ提供いたします
② NG例
- 広告配信のために利用します
- 取得した情報を第三者へ提供します
おわりに
個人情報保護法では、個人情報を取得する際に「利用目的をできるだけ特定し、明示しなければならない」というルールを定めているため、それに遵守したプライバシーポリシーになっているか、確認しておくことが必要です。なお、利用目的を変更する場合には、本人に通知、または公表しなければならないとに注意してください
コメント