個人情報の取り扱いは年々厳しくなっています。
日本の個人情報保護法では、お問い合わせフォームなどで収集した個人情報の取り扱いを記載すればよかったのですが、EUでは「GDPR(General Data Protection Regulation:一般データ保護規則」が施行され、Cookieなど今まで個人情報とみなされていなかったデータも個人情報となり、取得する際にはユーザーへの同意が必要になっています。
(GDPRはEU域内の個人データ保護を規定する法ですが、EU域外の事業者へも適用されます。)
上記の流れもあり、プライバシーポリシーは必須となっています。
「どうやって作成すればいいのか?」という質問をされますが、プライバシーポリシーの内容については自身(自社)で決めていただく必要があります。
(他社のポリシーに関して監修できる立場にないからです)
参考程度ですが、以下にまとめました。
会社ごとのリスクがあるため、可能であれば弁護士に作成を依頼することをおすすめします。
■個人情報保護法で規定している義務を記載する。
個人情報保護法で規定している義務内容を記載すれば
プライバシーポリシーにて義務を果たしていることになります。
※例:
個人情報を取得した場合の利用目的(個人情報保護法18条1)
個人情報取扱事業者の氏名または名称(個人情報保護法27条1)
保有個人データの利用目的(個人情報保護法27条2)
開示などの請求に応じるための手続き(個人情報保護法27条3)
保有個人データに関する苦情の申出先(個人情報の保護に関する法律施行令8条1)
個人情報取扱事業者が認定個人情報保護団体の対象事業者であるときの認定個人情報保護団体の名称および苦情の申出先(個人情報の保護に関する法律施行令8条2)
■Webサイトとして収集するデータの通知
Cookieによるユーザー識別やアクセス情報の収集について
ユーザーに通知する(GDPRの対象となるサイトは同意を得る)必要があります。
- Cookieの使用
- Googleアナリティクの使用 ※使用している場合のみ
- reCAPTCHA v3 の使用 ※使用している場合のみ
GDPRの罰則規定は厳しく、違反した場合には高額な制裁金(罰金)が要求されます。
リスクを避けるためにも、プライバシーポリシーは必ず準備しましょう。