個人情報保護方針

制定日:0000年00月00日
最終改訂日:0000年00月00日

最初に制定をした日、その後、改訂されている場合には、その年月日を記載します。

代表者名:XXXX XXXX(代表者氏名)
責任者名:XXXX XXXX(責任者氏名)

組織を代表する方が、個人情報の取り扱いについての指針を示すものになりますので、多くは代表取締役名で公表することになります。なお、制定日や代表者名を最後に記載している例もあります。

はじめに

XXXX(会社名)(以下「XXXX(略称)」)は、各種法的サービスのご提供にあたり、お客様の個人情報をお預かりしております。

XXXX(略称)は、法律を取り扱う国家資格者の事務所として個人情報を保護し、お客様に更なる信頼性と安心感をご提供できるように努めて参ります。

XXXX(略称)は、個人情報に関する法令を遵守し、個人情報の適切な取り扱いを実現致します。

まずは、どうして「個人情報保護方針」を定めようと考えたのか、基本的な理念・目標などを記載します。
サンプルを参考に、ご自身の組織にぴったりの文章を書きましょう。サンプルは解説の後にもいくつか掲載しています。同業他社のホームページ上の記載を参考にするのも良いでしょう。

1.個人情報の取得について

XXXX(略称)は、偽りその他不正の手段によらず適正に個人情報を取得致します。

個人情報保護法17条を参考に、個人情報を適正に取得することを宣言しています。

2.個人情報の利用について

XXXX(略称)は、個人情報を以下の利用目的の達成に必要な範囲内で、利用致します。

以下に定めのない目的で個人情報を利用する場合、あらかじめご本人の同意を得た上で行ないます。

お見積のご依頼・ご相談に対する回答及び資料送付
ご注文いただいた商品の発送
セミナー情報、各種商品・サービスに関する情報提供
個人情報保護法15、16、18条を参考に、利用目的を特定し、本人の同意がない限り、利用目的以外の利用はしないことを宣言しています。
ホームページ上で「個人情報保護方針」を公開していていれば、利用目的を公表していることになります。利用目的は具体的に書く必要があります。

3.個人情報の安全管理について

XXXX(略称)は、取り扱う個人情報の漏洩、滅失またはき損の防止その他の個人情報の安全管理のために必要かつ適切な措置を講じます。

個人情報保護法20条を参考に、安全管理について宣言しています。
実際には、この「必要かつ適切な措置」を組織ごとに推し進め、より細かな規程類の作成や対応を行なっていくことになりますが、「個人情報保護方針」の段階では、この程度の記載でも問題はありません。

4.個人情報の委託について

XXXX(略称)は、個人情報の取り扱いの全部または一部を第三者に委託する場合は、当該第三者について厳正な調査を行い、取り扱いを委託された個人情報の安全管理が図られるよう、当該第三者に対する必要かつ適切な監督を行います。

また、コンサルティング、プライバシーマーク申請、ISMS申請業務におきまして第三者と共同して業務を遂行する場合に、個人情報の取り扱いを委託する場合があります。

個人情報保護法22条を参考に、委託先の監督について宣言しています。
委託の場合は、次の第三者提供とはならない代わりに、委託先の監督が必要となります。実際には、委託先との業務委託契約書などを取り交わす必要も生じてくるかと思いますが、プライバシーポリシーとしては、そこまで具体的に記載する必要はありません。
なお、「また~」以下の部分は、具体的に個人情報を委託する場合がはっきりとしている場合の例として、情報提供者の方々により安心していただくために、具体例を付け加えてたサンプルです。このような具体例は、必ずしも記載しなければならないわけではありません。

5.個人情報の第三者提供について

XXXX(略称)は、個人情報保護法等の法令に定めのある場合を除き、個人情報をあらかじめご本人の同意を得ることなく、第三者に提供致しません。

個人情報保護法23条を参考に、原則として個人情報を第三者に提供することはないことを宣言しています。
ここでは、「個人情報保護法等の法令に定めのある場合を除き」としていますが、具体的に23条を引用して4つの例外を記載する例も見られます。
また、オプトアウトや共同利用なども関係してくる部分でもありますので、注意が必要です。

6.個人情報の開示・訂正等について

XXXX(略称)は、ご本人から自己の個人情報についての開示の請求がある場合、速やかに開示を致します。
その際、ご本人であることが確認できない場合には、開示に応じません。

個人情報の内容に誤りがあり、ご本人から訂正・追加・削除の請求がある場合、調査の上、速やかにこれらの請求に対応致します。
その際、ご本人であることが確認できない場合には、これらの請求に応じません。

XXXX(略称)の個人情報の取り扱いにつきまして、上記の請求・お問い合わせ等ございましたら、下記までご連絡くださいますようお願い申し上げます。

【連絡先】
XXXX会社(会社名)

E-mail:XXX@XXX.jpt(メールアドレス)
電話:00-0000-0000(電話番号)
営業時間:00:00am~00:00pm(営業時間)

個人情報保護法24、25、26条を参考に、個人情報の開示・訂正等について宣言しています。
これらの請求に関しては、本人であるかを確認することが非常に重要になってきます。そこで、当然のことではありますが、本人確認できない場合には、請求に応じない旨をあえて記載しています。
また、個人情報保護法27条の利用停止等に関しては、要件を満たす場合に当然に応じるべきことになりますので、あえて記載はしていません。
さらに、ここでは請求・問い合わせ窓口として連絡先を記載していますが(個人情報保護法24、31条)、会社の状況に応じて開示等の請求に応じる手続を詳しく記載したり(個人情報保護法29条)、手数料を設けたりする(個人情報保護法30条)こともできます。

7.組織・体制

XXXX(略称)は、《責任者名》 を個人情報管理責任者とし、個人情報の適正な管理及び継続的な改善を実施致します。

この項目の記載は、特になくても問題はありませんが、代表取締役と個人情報管理責任者が異なる場合などには、このような記載をしておくことで、組織としての体制がより明確になります。

8.本方針の変更

本方針の内容は変更されることがあります。

変更後の本方針については、XXXX(略称)が別途定める場合を除いて、当サイトに掲載した時から効力を生じるものとします。