「自社サイトのプライバシーポリシーが古いまま放置されている」「Cookieを使ったマーケティングを始めたいが、同意取得画面はどう設計すべきか」「外部委託先が変わったのに公表事項が更新されていない」——プライバシーポリシー(個人情報保護方針)の整備は、APPI(個人情報保護法)の最重要ピースのひとつでありながら、「いつ・誰が・どこまで更新するのか」のルールが社内で曖昧なまま運用されている企業が少なくありません。
このページでは、約120社の顧問契約を担当する弁護士法人ブライトが、APPI第32条が要求する公表事項の網羅、Cookie等の利用規律をめぐる改正電気通信事業法対応、そしてプライバシーポリシー改定運用までを、中堅・中小企業の法務担当者・情報システム部・経営者の目線で実務的に解説します。
プライバシーポリシーは「掲載してあれば良い」書類ではなく、「APPIで義務付けられた本人公表事項を網羅し、社内の実運用と整合し、改定履歴が残る」状態でなければ法令遵守と言えません。整備状況に不安がある企業は、まず本記事のチェック項目で現状診断を行ってください。
この記事でわかること
- APPI第32条が要求する「公表事項」必須14項目
- Cookie・タグ等を使う場合の改正電気通信事業法 第27条の12「外部送信規律」対応
- プライバシーポリシー改定の標準フローと社内承認の動かし方
- 個人情報保護方針/プライバシーポリシー/個人情報の取扱いについて の使い分け
- 下請業者・パートナー企業を含めた「グループ全体の整合性確保」のポイント
この記事のポイント
- プライバシーポリシーは APPI第32条の「公表事項」と社内実運用の鏡像にする
- Cookie等を使うサイトは「外部送信規律」への対応も同時に求められる
- 改定はバージョン管理+取締役会または業務執行責任者の承認をルール化する
この記事の監修者
弁護士法人ブライト|代表弁護士/パートナー弁護士
弁護士歴20年(2006年登録)/大阪弁護士会/大阪大学法学部卒
専門:顧問弁護士・企業法務・M&A・経営権紛争・事業再生
プライバシーポリシーの法的位置づけ
APPIにおける「公表」の意味
個人情報保護法(APPI)第32条は、個人情報取扱事業者に対し、保有個人データに関する一定事項を「本人の知り得る状態に置く」ことを義務付けています。プライバシーポリシーは、この義務を果たす中核ツールです。
「本人の知り得る状態」とは、本人が問い合わせをすれば回答できる状態でも足りますが、ウェブサイト上に掲載しておくことが実務的な標準です。一方、利用目的の特定(第17条)・利用目的の通知公表(第21条)・第三者提供時の確認義務(第28条)等、個別の場面では別途の対応が求められる点に注意が必要です。
「個人情報保護方針」と「プライバシーポリシー」の関係
実務では、上位概念として「個人情報保護方針(個人情報保護に関する基本姿勢)」を、具体的な公表事項として「プライバシーポリシー(個人情報の取扱いについて)」を、二本立てで掲載する構成が一般的です。両者を一つの文書にまとめる構成も実務的に許容されます。
重要なのは、どの構成を採用するにしても、APPI第32条が要求する公表事項を網羅し、本人がアクセスしやすい場所(フッターリンク等)に掲載することです。
顧問契約 120社超 / 弁護士歴 平均15年以上 / 大阪・全国対応
M&A・企業法務でお困りの
経営者・法務担当者様へ
弁護士法人ブライトの「みんなの法務部」は、契約書・債権回収・労務トラブル・M&Aまで伴走支援します。
▲ M&A・契約・労務の必須チェック項目をPDFで配布中
平日 9:00-18:00(TEL)/ LINE 24時間受付
APPI第32条 公表事項 必須14項目
基本情報・利用目的・問合せ窓口
プライバシーポリシーに必ず記載すべき公表事項を、実務上の構成順に整理します。
- 事業者の氏名・名称・住所・代表者氏名(法人の場合は代表者氏名まで)
- すべての保有個人データの利用目的(第17条で特定し、第21条で通知公表)
- 開示等の請求に応じる手続(請求方法・本人確認書類・手数料・回答方法)
- 苦情の申出先(連絡先・メール・電話・受付時間)
- 認定個人情報保護団体への加盟状況(加盟していれば団体名と窓口)
取扱いの具体内容
- 取得する個人情報の項目(氏名・住所・電話番号・メールアドレス・購買履歴・Cookie等)
- 取得方法(フォーム入力・名刺・Cookie・カメラ画像等)
- 安全管理措置の概要(基本方針の策定・規律の整備・組織的・人的・物理的・技術的安全管理措置)
- 外国にある第三者への提供(提供先の所在国名・個人情報保護制度の概要)
- 共同利用(利用者の範囲・利用目的・個人データの管理について責任を有する者)
第三者提供・委託先・継続的事項
- 第三者への提供(提供を行う場合の利用目的・項目・提供方法)
- 委託に伴う個人データの提供(委託先の選定基準・監督方針)
- 仮名加工情報・匿名加工情報の取扱い(取扱いがある場合)
- 個人関連情報の第三者提供(Cookie等の第三者提供がある場合の確認義務)
これら14項目をベースに、業種別の固有事項(医療・金融・通信・宿泊・小売等)を追加するのが標準実務です。
Cookie・タグ等を使う場合の対応(外部送信規律)
改正電気通信事業法 第27条の12
2023年6月施行の改正電気通信事業法は、利用者の端末から外部にCookie・識別子等を送信する場合、送信先・項目を本人が確認できるようにする「外部送信規律」を定めました。対象事業者は、ウェブサイト・アプリ運営者の多くが該当します。
対応方法は3つあります。
- 通知:送信先・送信される情報の項目・送信目的を、利用者がアクセスする画面で明示
- 公表:プライバシーポリシー等に上記情報を記載し、利用者が容易に参照できる状態にする
- 同意:利用者から有効な同意を取得(オプトイン型のCookie同意バナー)
通知・公表で足りるか、同意が必要かは、Cookie等の用途と相手方によって判断します。広告配信・行動ターゲティング・第三者ID連携を伴う場合は同意取得が無難です。
Cookie同意バナーの実装ポイント
- 必須Cookie(サイト機能維持)/分析用Cookie/広告用Cookie の分離
- 「同意する」「拒否する」「カスタマイズ」の3択選択肢
- 同意取得前は分析・広告用Cookieを発火させない(CMP・タグマネージャ連携)
- 同意撤回(オプトアウト)導線をプライバシーポリシー内に常設
- 同意ログの保管(同意取得日時・内容・バージョン)
個人関連情報の第三者提供
APPI改正で導入された「個人関連情報」(Cookie・端末ID等の単体では個人を識別しない情報)の第三者提供は、提供先で個人データになる場合に本人同意の確認義務が生じます(第31条)。広告事業者・DMP事業者との連携を行う場合は、契約・運用フローの見直しが必要です。
プライバシーポリシー改定の標準フロー
改定が必要になる典型ケース
- 新しいサービス・機能の追加(取得項目・利用目的の変更を伴う)
- 新しい外部委託先の追加(クラウドサービス・分析ツール等)
- 共同利用先・第三者提供先の変更
- 新しいマーケティングツール・タグの導入
- APPI改正・関連ガイドライン改訂への追従
- 外国の事業者へのデータ移転を開始する場合
- 組織再編(吸収合併・事業譲渡)に伴う取扱者の変更
改定の社内承認プロセス
プライバシーポリシーの改定を、担当者の独断で行わせないルール化が重要です。標準的な承認フローは以下の通りです。
- 改定提案(事業部または情報システム部)
- 法務・コンプライアンス部門による法令適合性レビュー
- 情報システム部・データ保護責任者による技術的整合性確認
- 業務執行責任者または取締役会による最終承認
- 改定公表(旧版アーカイブ・改定理由・施行日の明示)
- 改定ログの保管(改訂日・改訂者・改定内容)
とくに「利用目的の本質的変更」を伴う改定は、APPI第18条第3項により本人の同意取得が必要になる場合があります(目的外利用と判断される場合)。詳細は 個人情報の共同利用 完全ガイド および本シリーズの目的外利用の記事も参照してください。
バージョン管理と公表
プライバシーポリシーには「最終改定日」を必ず明示します。さらに、改定履歴をページ内またはアーカイブページで公開する企業も増えています。改定履歴の公開は、APPIの直接的義務ではありませんが、トラブル発生時に「何月何日時点の取扱いだったか」を立証する重要な証拠資料になります。
業種別の追加考慮ポイント
サービス業・小売・宿泊
- 会員カード・ポイントプログラムでの取扱項目の網羅
- カメラ画像・防犯カメラ映像の取扱い(顔認識を行う場合は要配慮個人情報該当性の検討)
- キャンペーン応募データの取扱い(共同利用・第三者提供の整理)
- 予約システム経由のデータ(OTA・予約サイトとの連携)
BtoB・SaaS事業者
- 顧客企業の従業員データの取扱い(顧客企業との委託関係の整理)
- ログ・操作履歴の取扱い(セキュリティ監視と利用目的の整合)
- API連携先・サブプロセッサの公表
- 顧客企業の個人データを処理する場合のDPA(データ処理契約)
人事・採用関連サービス
- 応募者データの取扱い(不採用者データの保管期間・削除)
- 適性検査・職務経歴のセンシティブ性
- 選考進捗のグループ会社共有・委託(共同利用との関係)
整備状況の自己診断チェックリスト
自社のプライバシーポリシーを点検する際の主要チェック項目を、簡易リストとしてまとめます。
- 事業者名・住所・代表者氏名が最新か
- 利用目的が「具体的・明確」に特定されているか(包括的すぎないか)
- 取得項目に最近導入したシステム・タグの分が含まれているか
- 外部委託先・サブプロセッサが網羅されているか(クラウド・SaaS含む)
- 外国にある第三者への提供がある場合、所在国・保護制度の記載があるか
- 共同利用がある場合、責任主体の記載があるか
- Cookie等の使用と外部送信規律対応の記載があるか
- 苦情・問合せ窓口が機能しているか(メール返信されるか)
- 開示等の請求手続が現実的に実行可能な内容か
- 最終改定日が直近1年以内に更新されているか
1つでも「No」が出る場合は、改定検討に着手すべきです。整備状況に不安がある企業は、社内整備と並行して顧問弁護士の関与を検討してください。
顧問弁護士によるプライバシーポリシー整備支援
プライバシーポリシーの整備は、「初期構築」「運用フェーズの定期点検」「改定時の法令適合性確認」の3段階に分かれます。担当者だけで全責任を負うには、APPI・電気通信事業法・関連ガイドラインの改正追従負担が重く、顧問弁護士との連携が現実的な解です。
弁護士法人ブライトの顧問契約では、平時の整備と改定時の即応を一体で提供しています。
- プライバシーポリシー新規策定(業種別カスタマイズ)
- 既存プライバシーポリシーの法令適合性レビュー(14項目チェック)
- Cookie同意バナー・外部送信規律対応の設計支援
- 改定承認フロー・バージョン管理ルールの整備
- 個人情報の共同利用・委託・第三者提供スキームの整理(個人情報の共同利用 完全ガイド 参照)
- 外部委託先の管理規程との整合(業務委託 二段運用 参照)
まとめ
プライバシーポリシーは、APPI第32条の公表事項を網羅し、社内の実運用と整合し、改定履歴が残る状態でなければ「整備済」とは言えません。Cookie等の利用が広がる現代では、改正電気通信事業法の外部送信規律にも同時対応が求められます。
整備状況の自己診断で1項目でも「No」が出る場合は、顧問弁護士関与で一度の整備フェーズを通すことをお勧めします。退職時のPC・ノウハウ流出対応 や 営業秘密の持ち出し対策 と併せて整備することで、情セキ法務クラスタの土台が整います。
顧問契約 120社超 / 弁護士歴 平均15年以上 / 大阪・全国対応
M&A・企業法務でお困りの
経営者・法務担当者様へ
弁護士法人ブライトの「みんなの法務部」は、契約書・債権回収・労務トラブル・M&Aまで伴走支援します。
▲ M&A・契約・労務の必須チェック項目をPDFで配布中
平日 9:00-18:00(TEL)/ LINE 24時間受付
📍 関連:SaaS事業者向けのAPPI対応を含む包括的法務はSaaS・IT企業の法務 もあわせてご確認ください。
📍 関連:医療機関のプライバシー実務とあわせて医療・歯科クリニックの労務トラブル もあわせてご確認ください。
