2σ Guide

プライバシーポリシー作成の実務と法務

個人情報の流れ、利用目的、第三者提供、Cookie、本人請求、安全管理を、企業法務・セキュリティ・運用の視点から一体で整理します。

10 実務手順
1,000人超 漏えい等報告の目安
年1回 見直しの目安
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

プライバシーポリシー作成の実務と法務

個人情報の流れ、利用目的、第三者提供、Cookie、本人請求、安全管理を、企業法務・セキュリティ・運用の視点から一体で整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
プライバシーポリシー作成の実務と法務
個人情報の流れ、利用目的、第三者提供、Cookie、本人請求、安全管理を、企業法務・セキュリティ・運用の視点から一体で整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • プライバシーポリシー作成の実務と法務
  • 個人情報の流れ、利用目的、第三者提供、Cookie、本人請求、安全管理を、企業法務・セキュリティ・運用の視点から一体で整理します。

POINT 1

  • プライバシーポリシー作成の全体像をつかむ
  • ひな形の穴埋めではなく、個人情報の取得から削除までを説明できる状態にする作業です。
  • よいプライバシーポリシーは、企業の信頼を設計する文書です
  • 法令要件
  • データの流れ

POINT 2

  • プライバシーポリシー作成で理解する基本概念
  • 利用規約との役割の違いと、個人情報保護法上の用語を整理します。
  • プライバシーポリシーとは何か
  • 利用規約との違い
  • 用語を取り違えると、本人請求、第三者提供、共同利用、安全管理措置の記載がずれやすいため重要です。

POINT 3

  • プライバシーポリシー作成の法的基礎
  • 広すぎる利用目的
  • 将来のために広く書きすぎると、本人の予測可能性が低下します。
  • 委託と第三者提供の混同
  • 配送や決済の委託と、提携先が自己の目的で営業する第三者提供は性質が異なります。

POINT 4

  • プライバシーポリシー作成の10手順
  • 1. 外部事業者やグループ会社に情報が渡る:広告タグ、クラウド、決済、配送、共同サービス、海外サポートを含めて確認します。
  • 2. 提供先が自社の目的で利用するか:営業、広告、分析、データ連携など、提供先独自の目的の有無を確認します。
  • 3. 第三者提供として検討:同意、提供項目、提供先、記録義務、説明事項を確認します。
  • 4. 委託または共同利用を検討:委託先監督、共同利用者の範囲、管理責任者、契約条件を整えます。

POINT 5

  • プライバシーポリシー作成で設計する主要条項
  • 事業者情報、取得情報、利用目的、提供、委託、Cookie、安全管理、開示等請求を実務に合わせます。
  • 会社情報の整合性
  • カテゴリで整理
  • 抽象表現を避ける

POINT 6

  • プライバシーポリシー作成の業種・場面別注意点
  • EC、SaaS、採用、労務、医療、金融、AIでは、重点的に確認すべき情報が異なります。
  • ECサイト
  • BtoB SaaS
  • 採用サイト

POINT 7

  • プライバシーポリシー作成と国際対応・専門家連携
  • GDPR、CCPA/CPRA、海外法、社内外の役割分担を整理します。
  • GDPR・CCPA/CPRAが問題となる場面
  • カリフォルニア州の消費者を対象とする一定の事業者には、CCPA/CPRA対応が必要となる場合があります。
  • 海外法対応では、英語版の文書を用意するだけでは足りません。

POINT 8

  • プライバシーポリシー作成でよくある失敗とチェックリスト
  • ひな形をそのまま使う
  • 企業ごとのデータ取扱いを反映しなければ、広告、海外SaaS、採用情報などの重要事項が抜ける可能性があります。
  • 利用目的が抽象的すぎる
  • 「事業のため」「サービス向上のため」だけでは、購買履歴の広告利用、AI学習、位置情報分析などが伝わりません。

まとめ

  • プライバシーポリシー作成の実務と法務
  • プライバシーポリシー作成の全体像をつかむ:ひな形の穴埋めではなく、個人情報の取得から削除までを説明できる状態にする作業です。
  • プライバシーポリシー作成で理解する基本概念:利用規約との役割の違いと、個人情報保護法上の用語を整理します。
  • プライバシーポリシー作成の法的基礎:利用目的、安全管理、委託、第三者提供、外国提供、漏えい等対応を一体で確認します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

プライバシーポリシー作成の全体像をつかむ

ひな形の穴埋めではなく、個人情報の取得から削除までを説明できる状態にする作業です。

プライバシーポリシー作成は、企業が個人情報をどこで取得し、何のために使い、誰に渡し、どの程度保管し、どのように安全管理し、本人からの請求や苦情にどう対応するかを可視化するプロジェクトです。文書だけを整えても、業務・システム・委託先・広告タグの実態と合っていなければ、利用者への説明として機能しません。

次の重要ポイントは、プライバシーポリシー作成で最初に押さえるべき考え方を表しています。読者にとって重要なのは、法律上の表示事項だけでなく、社内のデータ取扱いを説明可能にする必要がある点です。ここから、文書作成とガバナンス整備を同時に進める意味を読み取れます。

よいプライバシーポリシーは、企業の信頼を設計する文書です

利用目的、委託、第三者提供、共同利用、外国提供、Cookie、本人請求、安全管理措置を実態に即して整理することで、将来の紛争、行政対応、信用毀損を予防しやすくなります。

次の3つの項目は、プライバシーポリシー作成で同時に検討する領域を整理したものです。法務だけ、ITだけ、事業部門だけでは漏れが出やすいため、どの領域の情報を集めるべきかを読み取ってください。

Legal

法令要件

利用目的の特定、通知・公表、第三者提供、共同利用、外国提供、保有個人データの公表事項、漏えい等報告などを確認します。

Data

データの流れ

取得元、情報項目、保存場所、保存期間、委託先、共有先、削除方法を一覧化し、文書と実態のずれを減らします。

Operation

運用体制

問い合わせ窓口、本人確認、開示等請求、事故時の報告体制、改定履歴、年1回以上の見直しを運用に落とし込みます。

Section 01

プライバシーポリシー作成で理解する基本概念

利用規約との役割の違いと、個人情報保護法上の用語を整理します。

プライバシーポリシーとは何か

プライバシーポリシーとは、企業や団体が、個人情報その他の個人に関する情報をどのように取得し、利用し、管理し、第三者に提供し、本人からの請求に対応するかを説明する文書です。日本法上、名称そのものが常に直接義務づけられるわけではありませんが、利用目的の通知・公表、保有個人データに関する事項、安全管理措置、苦情窓口などを一体的に示す実務文書として用いられます。

利用規約との違い

利用規約は、料金、禁止事項、免責、知的財産権、解約、準拠法、裁判管轄など、サービス提供者と利用者の契約条件を定める文書です。プライバシーポリシーは、個人情報等の取扱いに関する説明文書であり、利用目的、安全管理、第三者提供、本人の権利、問い合わせ窓口などを中心にします。SaaS、アプリ、EC、会員制サービスでは、利用規約とプライバシーポリシーに加え、Cookieポリシーや外部送信一覧を分けて整えることもあります。

次の比較表は、プライバシーポリシー作成で混同しやすい法令上の用語を整理したものです。用語を取り違えると、本人請求、第三者提供、共同利用、安全管理措置の記載がずれやすいため重要です。各行の「実務上の例」を見ながら、自社の情報がどの分類に近いかを読み取ってください。

用語概要実務上の例
個人情報生存する個人に関する情報で、特定の個人を識別できるもの、または個人識別符号が含まれるものです。氏名、住所、メールアドレス、顔画像、会員IDと紐づく購買履歴
個人データ個人情報データベース等を構成する個人情報です。顧客管理システム内の顧客データ、CRM、従業員データベース
保有個人データ事業者が開示、訂正、利用停止等の権限を有する個人データです。自社が管理し本人請求に対応できる会員情報、採用応募者情報
要配慮個人情報本人への不当な差別や偏見が生じないよう配慮を要する情報です。健康診断結果、障害情報、病歴、犯罪歴に関する情報
個人関連情報生存する個人に関する情報で、個人情報・仮名加工情報・匿名加工情報に該当しないものです。Cookie ID、広告ID、閲覧履歴、位置情報、端末識別子等の一部

この区別を前提に、どの情報を本人へ知らせ、どの情報について請求手続を整え、どの情報を委託・共同利用・第三者提供として扱うのかを整理します。特にCookie、広告ID、ログ、位置情報、購買履歴、問い合わせ履歴は、利用規約だけでは説明が不足しやすい領域です。

Section 03

プライバシーポリシー作成の10手順

対象範囲の決定から改定履歴まで、文書化の前に必要な作業を順番に進めます。

実務では、最初から条文を書き始めるよりも、対象サービス、取得情報、利用目的、共有先、保存期間、削除方法を棚卸ししてから文書化する方が正確です。特に広告タグや外部SaaSは事業部門・開発部門・マーケティング部門に情報が分散しやすいため、関係者への確認が欠かせません。

次の時系列は、プライバシーポリシー作成で推奨される10の作業を順番に示しています。読者にとって重要なのは、前半で実態を棚卸しし、後半で条項・窓口・改定管理へ落とし込む流れです。各段階の順番から、先に確認すべき資料と関係者を読み取ってください。

手順1

対象サービスと適用範囲を決める

コーポレートサイト、EC、採用、BtoB SaaS、アプリ、従業員向けなど、誰にどの文書が適用されるかを明確にします。

手順2

データマッピングを行う

取得元、項目、利用目的、保存場所、共有先、保存期間、削除方法を一覧化します。

手順3

法的分類を行う

個人情報、個人データ、保有個人データ、要配慮個人情報、個人関連情報、委託、共同利用、第三者提供を分類します。

手順4

利用目的を具体化する

配送、決済、本人確認、不正防止、広告配信、分析、採用、人事管理など、実態に即して書き分けます。

手順5

取得情報を整理する

連絡先、アカウント、取引、決済、オンライン識別子、採用応募者、従業員の情報をカテゴリごとに整理します。

手順6

第三者提供・委託・共同利用を分ける

広告タグ、決済、配送、クラウド、グループ会社、提携会社、代理店、海外委託先を確認します。

手順7

安全管理措置を記載する

基本方針、組織的、人的、物理的、技術的、外的環境の把握を、公開可能な範囲で説明します。

手順8

本人請求への対応手続を設計する

窓口、本人確認、代理人確認、手数料、回答方法、回答期限の目安、請求記録の保存方法を決めます。

手順9

問い合わせ・苦情窓口を明確にする

継続的に確認される窓口と担当部署を定め、返信されないフォームや退職者の個人メールに依存しない体制にします。

手順10

改定手続とバージョン管理を整備する

新サービス、広告タグ追加、外部SaaS導入、外国委託先変更、法改正、ガイドライン改定に対応できる履歴管理を行います。

次の比較表は、データマッピングで確認すべき項目と具体例を対応させたものです。読者にとって重要なのは、文書の表現を考える前に、実際にどこで何が起きているかを確認する点です。左列を確認項目、右列を社内ヒアリングの材料として読み取ってください。

確認項目具体例
取得元本人入力、問い合わせ、購買、アプリ操作、Cookie、提携先、公開情報、紹介者
情報項目氏名、住所、電話番号、メール、決済情報、購買履歴、ログ、位置情報、画像、健康情報
利用目的契約履行、配送、決済、本人確認、不正防止、広告配信、分析、採用、人事管理
保存場所自社DB、クラウド、CRM、MAツール、採用管理システム、会計システム
共有先委託先、決済会社、配送会社、グループ会社、広告事業者、海外SaaS
保存期間契約期間中、退会後一定期間、法令保存期間、問い合わせ終了後一定期間
削除方法論理削除、物理削除、匿名化、バックアップ削除、委託先削除依頼

次の判断の流れは、外部に情報が移る場面を整理するための順番を表しています。読者にとって重要なのは、「外部に渡る」という事実だけで第三者提供と決めず、提供先の利用目的や管理権限を確認することです。上から下へ進み、委託、共同利用、第三者提供、外国提供のどれに近いかを読み取ってください。

外部共有の整理手順

外部事業者やグループ会社に情報が渡る

広告タグ、クラウド、決済、配送、共同サービス、海外サポートを含めて確認します。

提供先が自社の目的で利用するか

営業、広告、分析、データ連携など、提供先独自の目的の有無を確認します。

該当する
第三者提供として検討

同意、提供項目、提供先、記録義務、説明事項を確認します。

該当しない
委託または共同利用を検討

委託先監督、共同利用者の範囲、管理責任者、契約条件を整えます。

Section 04

プライバシーポリシー作成で設計する主要条項

事業者情報、取得情報、利用目的、提供、委託、Cookie、安全管理、開示等請求を実務に合わせます。

主要条項は、一般的な文言を並べるだけでは足りません。会社名、住所、代表者名、取得する情報、利用目的、第三者提供、委託、共同利用、外国提供、Cookie、安全管理措置、開示等請求、問い合わせ窓口、改定方法を、実際のサービスに合わせて記載します。

次の比較表は、各条項で記載すべき事項と注意点をまとめたものです。読者にとって重要なのは、条項名だけをそろえるのではなく、事業実態に応じてどこを深く書くべきかを判断することです。各行の注意点から、自社で追加確認が必要な条項を読み取ってください。

条項記載する内容注意点
事業者情報事業者名、住所、代表者名移転、代表者変更、グループ再編後に古い情報が残らないよう、登記、会社概要、利用規約等と整合させます。
取得する情報連絡先、アカウント、取引、決済、オンライン識別子、採用・従業員情報取得していない情報を過剰に書かず、実際に取得している情報を隠さないことが重要です。
利用目的商品・サービス提供、本人確認、配送、決済、サポート、分析、広告、不正防止、採用等プロファイリング、行動ターゲティング広告、AI学習、位置情報分析、顔認識などは明確にします。
第三者提供同意なく提供しない原則、法令上の例外、提供先・目的・項目条項を置くだけでは足りず、実際の提供ごとに同意、記録、説明事項を検討します。
委託利用目的達成に必要な範囲の委託と委託先監督クラウド、決済、広告、配送、カスタマーサポートなど、利用者への影響が大きい類型は示すことが望ましいです。
共同利用項目、共同利用者の範囲、利用目的、管理責任者「グループ会社」だけでは範囲が不明確になりやすいため、一覧ページや更新履歴の管理を検討します。
外国提供海外クラウド、海外委託先、海外グループ会社、保存国、再委託先本人同意に基づく外国提供では、外国名、制度、提供先の措置等の情報提供が必要となる場面があります。
Cookie等Cookie、広告ID、アクセス解析、広告配信、外部送信、オプトアウトCookieポリシーや外部送信一覧と整合させ、送信先、送信情報、送信目的を説明します。
安全管理措置組織的、人的、物理的、技術的な措置、外的環境の把握公開可能な粒度で具体化しつつ、セキュリティ上の詳細を過度に出さないようにします。
開示等請求利用目的通知、開示、訂正、追加、削除、利用停止、消去、第三者提供停止、第三者提供記録の開示本人確認、代理人確認、手数料、回答方法、回答期限の目安、対応記録を設計します。

次の一覧は、条項例を自社向けに修正するときの観点を示しています。読者にとって重要なのは、例文をそのまま写すのではなく、取得情報、利用目的、外部共有、安全管理、窓口の実態に合わせて具体化することです。各項目を、自社版へ反映する際の確認軸として読み取ってください。

事業者

会社情報の整合性

事業者名、住所、代表者名は、会社概要、特定商取引法表示、利用規約、契約書、申込書と整合させます。

情報項目

カテゴリで整理

氏名等の連絡先、アカウント、取引・利用履歴、決済、Cookie、採用、従業員情報を過不足なく分類します。

利用目的

抽象表現を避ける

「サービス向上」だけでなく、利用状況分析、障害調査、UI改善、不正利用検知、品質改善、新機能開発などに分けます。

窓口

実際に機能する連絡先

個人メールや担当不明の代表電話に依存せず、担当部署、本人確認、代理人確認、回答方法まで設計します。

注意ひな形は最低限の骨格にすぎません。広告配信、外国提供、共同利用、採用、従業員、医療、金融、AI、未成年者、アプリ、位置情報、顔認識、音声データ、加盟店・代理店、フランチャイズ、M&A等がある場合は、個別条項の追加が必要となる可能性があります。
Section 05

プライバシーポリシー作成の業種・場面別注意点

EC、SaaS、採用、労務、医療、金融、AIでは、重点的に確認すべき情報が異なります。

同じ会社でも、コーポレートサイト、ECサイト、採用サイト、BtoB SaaS、スマートフォンアプリ、会員制メディア、店舗アプリ、従業員向けポータルでは、取得する情報も利用目的も異なります。すべてを一つの文書にまとめることも可能ですが、読者にとって分かりにくい場合は、サービス別または対象者別に分ける方が適しています。

次の一覧は、業種・場面ごとにプライバシーポリシー作成で確認すべき重点領域をまとめたものです。読者にとって重要なのは、同じ「個人情報」でも、決済、採用、健康、ログ、AI学習などでリスクの性質が変わる点です。各項目から、自社のサービスに近い場面で追加確認すべき事項を読み取ってください。

EC

ECサイト

氏名、配送先、購買履歴、決済情報、返品・交換履歴、不正利用情報を整理し、決済代行、配送会社、倉庫、メール配信、広告配信との関係を確認します。

SaaS

BtoB SaaS

契約企業の担当者情報と顧客企業が入力するエンドユーザー情報を分け、利用規約、DPA、委託契約、SLAと整合させます。

Recruit

採用サイト

履歴書、職務経歴書、選考結果、面接記録、リファレンスチェック、不採用者情報の保存期間を明確にします。

HR

従業員・労務管理

給与、勤怠、評価、健康診断、ストレスチェック、社会保険、ハラスメント調査などは、従業員向け通知を別途整備することがあります。

Health

医療・ヘルスケア

病歴、検査結果、健康状態、生活習慣、遺伝情報、メンタルヘルス情報など、要配慮個人情報に該当し得る情報を慎重に扱います。

Finance

金融・決済

本人確認、口座情報、取引履歴、信用情報、不正検知、反社会的勢力チェック、マネロン対策、与信審査を整理します。

AI

AI・データ分析

生成AI、機械学習、レコメンド、チャットボット、スコアリング、顔認識、音声解析では、学習利用、外部送信、自動判断を検討します。

2026年4月に閣議決定・国会提出された個人情報保護法等の改正法案では、統計作成等やAI開発等を含む特定の公益性のある取扱い、顔特徴情報等の取扱い、課徴金制度等が論点として示されています。プライバシーポリシー作成では、AIや顔特徴情報などの新しい論点についても、法改正の動向を継続的に確認する必要があります。

Section 06

プライバシーポリシー作成と国際対応・専門家連携

GDPR、CCPA/CPRA、海外法、社内外の役割分担を整理します。

GDPR・CCPA/CPRAが問題となる場面

EU域内の個人に商品・サービスを提供する場合、またはEU域内の個人の行動を監視する場合などには、GDPR対応が必要となることがあります。GDPRでは、管理者の身元・連絡先、処理目的、法的根拠、受領者、第三国移転、保存期間、本人の権利、監督機関への苦情申立権、自動化された意思決定等について情報提供が求められます。

カリフォルニア州の消費者を対象とする一定の事業者には、CCPA/CPRA対応が必要となる場合があります。海外法対応では、英語版の文書を用意するだけでは足りません。対象地域、適用要件、本人権利、同意・オプトアウト、データ処理契約、データ移転、記録、代理人、未成年者対応を含めて検討します。

次の比較表は、プライバシーポリシー作成に関わる担当者と主な役割を整理したものです。読者にとって重要なのは、法務担当だけで完結させず、データの実態を知る部署と安全管理を担う部署を巻き込むことです。各担当者の役割から、レビュー依頼やヒアリング先を読み取ってください。

専門家・担当者主な役割
法務担当・企業内弁護士法令要件、利用目的、第三者提供、委託、共同利用、契約整合性の確認
外部弁護士高リスク案件、海外法、法改正対応、漏えい対応、紛争・当局対応に関する一般的な助言
個人情報保護・プライバシー担当データマッピング、本人請求、社内規程、教育、運用管理
情報セキュリティ担当安全管理措置、アクセス制御、ログ、暗号化、インシデント対応
コンプライアンス担当社内ルール、研修、監査、通報制度、是正措置
内部監査担当プライバシーポリシーと実態の整合性、委託先管理、証跡確認
事業部門実際のデータ取得、利用、共有、広告、分析の説明
人事・労務担当、社労士従業員・応募者情報、健康情報、労務管理の整理
税理士・公認会計士会計・税務保存、内部統制、上場準備、監査対応との整合性
弁理士・知財担当アプリ、データ、AI、ライセンス、共同研究との関係整理
経営陣・取締役リスク許容度、ガバナンス、重大インシデント時の意思決定

特に中小企業では、担当者が一人で法務、総務、IT、広報を兼ねていることがあります。その場合でも、外部専門家を活用しつつ、最低限のデータマッピング、利用目的整理、安全管理措置、問い合わせ窓口整備を行うことが重要です。

Section 07

プライバシーポリシー作成でよくある失敗とチェックリスト

文書と実態のずれ、抽象的な利用目的、Cookie・外部送信の見落としを防ぎます。

プライバシーポリシーの失敗は、法的な条項不足だけでなく、実態との不一致から生じます。広告配信をしているのに広告に触れていない、海外SaaSを使っているのに外国提供を検討していない、採用情報を取得しているのに応募者情報が書かれていない、といったずれはよく起こります。

次の注意要素の一覧は、プライバシーポリシー作成で発生しやすい失敗を整理したものです。読者にとって重要なのは、どの失敗も文書表現だけでなく、社内確認・システム確認・委託先確認の不足から起こる点です。各項目から、自社の点検で優先すべきリスクを読み取ってください。

ひな形をそのまま使う

企業ごとのデータ取扱いを反映しなければ、広告、海外SaaS、採用情報などの重要事項が抜ける可能性があります。

利用目的が抽象的すぎる

「事業のため」「サービス向上のため」だけでは、購買履歴の広告利用、AI学習、位置情報分析などが伝わりません。

実態と文書がずれている

広告タグ追加、外部SaaS導入、アプリ機能追加、AIツール利用が反映されないまま残ることがあります。

安全管理措置が空文化している

「適切に管理します」だけでは不十分になりやすく、公開可能な範囲で具体的な措置を整理する必要があります。

提供類型を混同する

委託、第三者提供、共同利用の整理を誤ると、本人同意、表示、契約、記録の設計に影響します。

Cookie・外部送信を軽視する

アクセス解析、広告配信、SNS連携、ヒートマップ、チャットボット、A/Bテストの外部送信を確認します。

改定履歴を残していない

過去の説明内容を証明しにくくなり、同意取得、第三者提供、広告利用、AI学習が争点になる場面で支障が出ます。

次の比較表は、掲載に向けた準備段階と運用段階で確認する事項を分けたものです。読者にとって重要なのは、作成時だけで終わらせず、ツール導入や新サービス開始のたびに見直す点です。左列を確認タイミング、右列を社内チェック項目として読み取ってください。

タイミング確認事項
作成前対象サービス・対象者・対象地域、取得項目、取得方法、利用目的、委託先、第三者提供、共同利用、外国提供、Cookie、要配慮個人情報、保存期間、安全管理、本人請求、窓口を確認します。
掲載に向けた確認会社名、住所、代表者名、業務・システム・広告タグとの整合、委託・提供・共同利用の区別、外国提供、Cookieポリシー、安全管理措置、開示等請求、窓口、同意画面、契約書との矛盾を確認します。
運用時新しいSaaS導入、広告タグ追加、新サービス開始、委託先の再委託、安全管理、漏えい等対応、本人請求対応、年1回以上の見直しを確認します。
重要「第三者提供はありません」と記載する前に、広告タグ、アクセス解析、SNSプラグイン、決済代行、配送会社、クラウド、グループ会社、提携会社、代理店、海外委託先を確認する必要があります。
Section 08

プライバシーポリシー作成後の保存期間・削除・制度対応

作成後も、保存期間、削除、PrivacyMark、JIS Q 15001、法改正への対応が必要です。

プライバシーポリシー作成では、取得と利用だけでなく、保存期間と削除も重要です。個人データは、利用目的の達成に必要な範囲内で正確かつ最新の内容に保つよう努め、利用する必要がなくなったときは遅滞なく消去するよう努める必要があります。

次の比較表は、情報類型ごとの保存期間の例と注意点を整理したものです。読者にとって重要なのは、「永久保存」としないで、法令上の保存義務、契約上の必要性、紛争対応、不正防止、本人のプライバシーへの影響を比較する点です。各行から、保存理由と削除方法をセットで検討する必要性を読み取ってください。

情報類型保存期間の例注意点
会員情報退会まで、退会後一定期間不正利用防止、紛争対応、法令保存との調整
取引情報取引終了後、法令・会計上必要な期間税務・会計書類、契約書保存との整合性
問い合わせ履歴対応終了後一定期間品質改善利用をする場合は利用目的に記載
採用応募者情報選考終了後一定期間将来選考に利用する場合は説明・同意を検討
従業員情報在職中および退職後必要期間労働法、税務、社会保険、紛争対応
ログ・Cookie情報目的に応じた短期・中期保存広告、分析、不正検知の目的と整合

次の一覧は、中小企業やスタートアップが限られたリソースでも優先したい対応をまとめたものです。読者にとって重要なのは、完璧な体制を一度に作ることより、最低限の棚卸し、窓口、安全管理、更新確認を継続できる状態にする点です。各項目を、最初に整える実務の優先順位として読み取ってください。

01

取得情報と利用目的を棚卸しする

取得する情報と利用目的を一覧化し、文書と実態のずれを減らします。

02

会社情報と窓口を正確にする

会社名、住所、代表者名、問い合わせ窓口を正確に記載します。

03

外部共有を確認する

第三者提供、委託、共同利用、外国提供、Cookie、アクセス解析、広告配信を確認します。

04

安全管理措置を実態に合わせる

自社の規模とリスクに応じた組織的、人的、物理的、技術的な措置を記載します。

05

本人請求と苦情対応を決める

窓口、本人確認、回答方法、対応記録を決めて、実際に運用できる状態にします。

06

ツール導入時に更新要否を確認する

新しいSaaS、広告タグ、分析ツール、生成AIを導入する際に見直します。

PrivacyMark・JIS Q 15001との関係

PrivacyMark制度は、JIS Q 15001に基づく個人情報保護マネジメントシステムの観点から、個人情報を適切に取り扱う体制を評価する制度です。PrivacyMarkを取得していない企業であっても、個人情報管理台帳、リスク分析、規程、教育、委託先管理、内部監査、是正措置、代表者レビューの考え方は参考になります。

次の時系列は、プライバシーポリシーを見直す主なきっかけを示しています。読者にとって重要なのは、年1回の定期点検に加えて、業務変更や法改正のタイミングで文書と実態を照合することです。各きっかけから、どの部署へ確認すべきかを読み取ってください。

法制度

法律、政令、規則、ガイドライン、Q&Aの改正

個人情報保護委員会の注意喚起や事例公表も確認します。

サービス

新サービス・新機能の開始

取得情報、利用目的、同意画面、利用規約、Cookieポリシーとの整合を確認します。

外部利用

外部SaaS・広告タグ・分析ツールの導入

委託、外部送信、外国提供、再委託、保存国、オプトアウトを確認します。

組織変更

M&A、事業譲渡、グループ再編

共同利用者の範囲、管理責任者、事業者情報、データ移転の説明を見直します。

事故・請求

漏えい等インシデント、本人請求、苦情の増加

窓口、本人通知、委託先報告、ログ保全、社内責任者の体制を点検します。

Section 09

プライバシーポリシー作成のFAQ

一般的な考え方を整理します。個別事情により結論は変わる可能性があります。

プライバシーポリシーは、ひな形を使えば足りますか

一般的には、ひな形は出発点として使えますが、事業内容、取得情報、利用目的、委託先、第三者提供、外国提供、Cookie等の実態に合わせた修正が必要とされています。ただし、業種、サービス内容、取得情報、広告・分析ツール、海外SaaSの利用状況によって必要な記載は変わる可能性があります。具体的な対応は、データマッピングを行ったうえで弁護士等の専門家へ相談する必要があります。

利用目的は広く書いておけば安全ですか

一般的には、利用目的は本人が取扱いを合理的に予測できる程度に具体化することが求められるとされています。広すぎる記載は透明性を損ない、狭すぎる記載は新しい利用のたびに同意取得や改定が必要となる可能性があります。具体的な記載方針は、現在の利用実態と合理的に予定される利用を整理したうえで、弁護士等の専門家へ相談する必要があります。

Cookieや広告IDはプライバシーポリシーに書く必要がありますか

一般的には、Cookie、広告ID、閲覧履歴、端末情報、アクセス解析、広告配信などを利用する場合、利用者に分かる形で説明することが望ましいとされています。ただし、送信先、送信される情報、送信目的、同意管理、オプトアウトの要否は、利用するツールやサービス設計によって変わる可能性があります。具体的には、Cookieポリシーや外部送信一覧との整合を含め、弁護士等の専門家へ相談する必要があります。

海外SaaSを使っているだけでも外国提供の検討が必要ですか

一般的には、海外事業者が提供するクラウド、CRM、メール配信、分析、採用管理、生成AIサービスなどを利用する場合、保存場所、サポートアクセス、再委託先、契約関係を確認する必要があるとされています。ただし、外国にある第三者への提供に該当するか、どの情報提供や同意取得が必要かは、契約形態やデータの流れによって変わる可能性があります。具体的な整理は、資料を確認したうえで弁護士等の専門家へ相談する必要があります。

年1回の見直しだけで十分ですか

一般的には、年1回以上の定期見直しに加え、新サービス開始、広告タグ追加、外部SaaS導入、法改正、ガイドライン改定、M&A、漏えい等インシデントがあった場合に見直すことが望ましいとされています。ただし、事業の変化が大きい企業や高リスク情報を扱う企業では、より頻繁な確認が必要となる可能性があります。具体的な運用頻度は、社内体制とリスクを踏まえて専門家へ相談する必要があります。

Guide

プライバシーポリシー作成で次に確認したいこと

目的に近い詳しい解説へ進めるよう、関連するテーマを整理しました。

知りたい内容を選ぶと、手続、費用、地域、具体的な論点などの詳しい解説に進めます。

このテーマから次に確認されやすい詳しい解説を8件表示しています。

Reference

参考資料・信頼できる情報源

公的機関、制度運営機関、海外当局等の資料名を整理しています。

日本法・公的資料

  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 政府広報オンライン「個人情報保護法をわかりやすく解説 個人情報の取扱いルールとは」
  • 個人情報保護委員会「外国にある第三者への提供編」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン等に関するQ&A」
  • 個人情報保護委員会「漏えい等報告・本人通知の義務化について」
  • 個人情報保護委員会「中小企業サポートページ よくある質問」
  • 個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律案について」
  • 内閣法制局「個人情報の保護に関する法律等の一部を改正する法律案」
  • 個人情報保護委員会「いわゆる3年ごと見直し」

国際・制度関連資料

  • GDPR Article 13, Information to be provided where personal data are collected from the data subject
  • California Attorney General, California Consumer Privacy Act (CCPA)
  • IPA「中小企業の情報セキュリティ対策ガイドライン」
  • JIPDEC「プライバシーマーク制度」