エンドポイントの情報漏えい対策を考えるコラム

働き方改革のなかでの情報セキュリティ

個人情報保護方針とプライバシーポリシーの違い

by ·

個人情報保護方針とプライバシーポリシーの違いを皆様はご存じでしょうか。

結論から言うと、この2つは同じような意味合いで捉えられているケースが多く、明確な違いは定義されていません。

一般的には、個人情報保護方針はPマーク取得の際に、制定、公表が必要なもので、プライバシーポリシーは、個人情報に限らず、プライバシー情報全般の取り扱いの方針として区別している企業が多いようです。

では、そもそも個人情報保護方針やプライバシーポリシーとはどのようなものなのでしょうか。

 

個人情報保護方針やプライバシーポリシーがなぜ必要なのか

具体的な内容に入っていく前に、企業が個人情報保護方針やプライバシーポリシーを制定する理由として、『個人情報保護法』というものが関わっています。

個人情報保護法は、正式名称を「個人情報の保護に関する法律」と言い、平成15年(2003年)5月に制定され、平成17年(2005年)4月に全面施行されました(政府広報オンライン:https://www.gov-online.go.jp/useful/article/201703/1.html)。

その個人情報保護法では、「事業者が個人情報を取得した場合は、あらかじめ利用目的を公表している場合を除き、速やかに、利用目的を、本人に通知又は公表しなければならない」と定められており、以前は取り扱う個人情報が5000人以上となる企業に限定されていましたが、法改正もあり、今では5000人以下の企業も対象となったことからほぼ全ての企業での制定が必要な状況になっています。

このような理由から、今では、大多数の企業で個人情報保護方針やプライバシーポリシーを制定し、ホームページなどで公表をしています。

 

個人情報保護方針とは

個人情報保護方針とは、企業として個人情報をどのように取り扱うかという取り決めが書かれているものです。

近年は、IT技術の発展に伴い、あらゆることがネット上で完結する便利な側面とは裏腹に、情報漏洩等への心配から、個人情報の取り扱いや管理への関心が高まっています。

このような関心の高まりを受け、企業への取り組みとして『プライバシーマーク制度』ができ、1998年4月1日より運用が開始されました。

プライバシーマーク制度とは、企業が個人情報の取り扱いを適切に行う体制を整備していることを評価し、その証として“プライバシーマーク”(“Pマーク”とも言われる)の使用を認めるというものです。

プライバシーマークの使用を認められた企業は、ホームページ等にプライバシーマークを表示することができ、個人情報の取り扱いに対する企業の安全性をアピール出来るようになります。

このプライバシーマークを取得する際に必要となるのが、個人情報保護方針です。

プライバシーマークを取得する際には、個人情報保護方針の制定と方針の公表が必須となっています。

 

個人情報保護方針を制定する上で必要な内容

プライバシーマークを取得する際には、制定された個人情報保護方針の内容が、プライバシーマークを取得するに値する内容でなければプライバシーマークは取得できません。

一体、どのような内容が必要なのでしょうか。

まず、プライバシーマークを取得するにあたって、個人情報保護方針には、「内部向け(従業員・委託先)」「外部向け(顧客・一般)」の2種類の内容が必要です。

内部向けについては、個人情報の取得や利用に関することはもちろん、苦情や相談が来た際の対応、代表権を持つ社長や代表取締役の名前の記載等、最低限必要とされている内容を含めることが必須となります。

また、内部向けの個人情報保護方針を組織内に周知するほか、従業員や取引先が必要に応じて入手できるよう措置をとらなければなりません。

外部向けについては、内部向け個人情報保護方針の内容、制定または最終改定日の記載、内容についての問い合わせ先が必要となり、ホームページ等で誰もが知れる状態を作らなければなりません。

 

プライバシーポリシーとは

プライバシーポリシーとは、個人情報の保護に限らず、プライバシーの権利利益を保護するための個人情報の取扱方針をまとめるものです。

プライバシーポリシーと個人情報保護方針が同じような意味合いで捉えられるひとつの要因として、個人情報保護方針を『プライバシーポリシー』という名前で公開している企業もあるからかもしれません。

個人情報保護方針は、前章で述べた内容が含まれていれば、名前はプライバシーポリシーとして公開されていても問題がないのです。

また、言葉の意味合いを調べてみると、プライバシーとは、「私生活やそれを守る権利といった考え方」。対して個人情報とは、「個人を特定出来るデータ」という違いがあります。

このようなことから、『プライバシーを守るという中のひとつが個人情報を守ること』と考えている企業も多いようです。

 

プライバシーポリシーの内容

プライバシーポリシーの場合、個人情報保護方針のように定める内容に規定はありません。ですので、企業によって内容は様々です。

例えば、Webサイトを利用して買い物をする際に「あなたへのオススメ」として類似商品等が出てきたりします。これは、私たちが閲覧しているデータなどの個別情報を利用して、表示されるものなので、その旨を記載するケースもあります。

また、購入する際には届け先の住所やカードで決済をする場合、カード情報も入力します。こうした情報の利用目的を明確に記載するケースもあります。

このように、ユーザーや顧客から得た様々な情報をきちんと管理すること、サイトの運営以外に使用しないことなどが、プライバシーポリシーでは記載されていたりします。

 

まとめ

個人情報保護方針とプライバシーポリシーの違いは、明確に定義されているわけではありませんが、プライバシーマークを取得している企業に関しては、制定する個人情報保護方針に含めるべき内容が決められています。それ以外の企業は、公表している企業ごとに使われ方などが若干違っているようです。

こうした現状を理解してうえで、企業のホームページ等に掲載されている個人情報保護方針やプライバシーポリシーを読んでみるのも面白いかもしれませんね。

タグ:

ワンビは情報漏洩対策の専門家です。情報漏洩に関する様々な情報はこちらからどうぞ!
ワンビは情報漏洩対策の専門家です。
テレワークPC紛失・盗難時の情報漏洩防止と
第三者データ消去証明にご興味がありましたらこちらから!

あわせて読みたい