はじめに
塾や教室などスクールを経営する上で、個人情報の取扱いについての方針を明示することは重要なことです。
個人情報保護法や個人情報取扱事業者にかかってくる義務や罰則にも触れながら、プライバシーポリシーの作り方について解説します。
個人情報保護法とは
個人情報保護法とは、個人情報等を取り扱う場合のルールについて定めた法律で、2020年6月に公布され、2022年4月1日に施行されました。
この法律には3年ごとの見直し規定がありますので、定期的に改正されるものになります。
個人情報取扱事業者とは
個人情報を事業のために利用する事業者のことを個人情報取扱事業者と言います。
以前は、保有する個人情報が5,000件を超えない小規模事業者は、個人情報取扱事業者から除外されていましたが、現在は1件以上の個人情報を保有すると個人情報取扱事業者に該当しますので、小規模な塾やスクールであっても該当することになります。
個人情報取扱事業者の義務と罰則
個人情報取扱事業者は、個人情報保護法に基づく義務を遵守しなければならず、遵守すべき義務も、個人情報の利用・取得、個人データの管理・第三者提供・本人の権利への対応、仮名加工情報・匿名加工情報・個人関連情報の取り扱いなど多岐にわたります。
このような各義務に違反した場合は、個人情報保護委員会による行政指導や行政処分の対象になります。また、一部の違反行為については刑事罰の対象とされているので注意が必要です。
プライバシーポリシーについて
個人情報保護法によると、個人情報取扱事業者は、以下の点を、本人に通知または本人の知り得る状況に置かなければならないと定めています。つまり個人情報保護方針(プライバシーポリシー)を用意し、Webサイト上などで公開する必要があります。
1.事業者の氏名または名称及び住所、法人については代表者の氏名
2.個人データの利用目的
3.①個人データの利用目的の通知の求め、②個人データの開示、③個人データの内容の訂正、追加若しくは削除、④個人データの利用の停止若しくは消去または個人データの第三者への提供の停止、⑤第三者提供記録の開示の請求をするための手続き
4.個人データの安全管理のために講じた措置の具体的な内容
5.個人データの取扱いに関する苦情の申出先
この中で注意しなければならないのは「4.個人データの安全管理のために講じた措置」で、これについては、具体的な記載をすることが求められ、「『個人情報の保護に関する法律についてのガイドライン』に沿って安全管理措置を実施している」などといった抽象的な記載では不可とされており、具体的な施策について記載する必要があります。
【塾・教室などスクール向け】プライバシーポリシーのひな形
プライバシーポリシーなど事業者の個人情報関連について解説してきましたが、いざ自分で作成するとなると、専門知識がないとなかなか難しいと思いますので、塾や教室などスクール向けのプライバシーポリシーのひな型をご用意しました。
ひな形はあくまでも一例となりますので、サービスの実態と合う形に修正の上ご利用ください。単純に文言を変えるだけでは足りない場合も多々ありますので、適切な内容となっているか判断がつかない場合やプライバシーポリシーの作成でお困りの場合は、お気軽にご相談ください。
塾や教室などスクール関連の法律問題に精通した弁護士が対応致します。
ご相談はこちら。
プライバシーポリシー(サンプル) 当社は、保有する全ての個人情報(個人情報保護法第2条第1項に定める個人情報をいいます)を管理するため、以下のプライバシーポリシーを定め、個人情報の保護に努めます。 1.法令等の遵守 当社は、個人情報の取扱いにおいて、個人情報の保護に関する法令および規範を遵守します。 2.個人情報の利用目的について 当社は以下の目的で個人情報を利用します。 ・ 当社サービスの提案または提供(そのための各種連絡を含む) ・ ダイレクトメール等を通じた有用な情報の連絡のため 3.個人データの安全管理について 個人データ(個人情報保護法第16条第3項に定める個人データをいいます)への不正アクセスや、個人情報の漏えい、紛失、破壊、改ざん等に対して、合理的な防止並びに是正措置を行います。主な内容は以下のとおりです。 ① プライバシーポリシーの策定 ・ 明文化したポリシー プライバシーポリシーを策定し、社内イントラネットおよびウェブサイトを通じて社内外に公開しています。 ② 個人データの取扱いに係る規律の整備 ・ アクセス権限の設定 個人データへのアクセスを必要最小限の従業員に限定し、役職や業務内容に応じた権限管理を実施しています。 ・ データ削除のルール 不要となった個人データは、適切に廃棄しています。 ③ 組織的安全管理措置 ・ 責任者の指名 個人情報管理責任者を指定し、定期的にデータ管理プロセスを確認しています。 ④ 人的安全管理措置 ・ 秘密保持契約 従業員との間で入社時に個人情報に関する秘密保持契約を締結しています。 ⑤ 物理的安全管理措置 ・ データ保管場所の制限 個人データは施錠可能なキャビネット内に保管し、物理的な安全性を確保しています。 ⑥ 技術的安全管理措置 ・ ファイアウォールとウイルス対策ソフト 全社ネットワークおよび従業員PCに最新のファイアウォールとウイルス対策ソフトを導入し、不正アクセスやウイルス感染を防止しています。 4.第三者提供 当社は、あらかじめ本人の同意を得ないで、個人情報を第三者に提供しません。ただし、次に掲げる必要があり第三者に提供する場合はこの限りではありません。 ・ 当社が利用目的の達成に必要な範囲内において個人情報の取扱いの全部または一部を委託する場合 ・ 合併その他の事由による事業の承継に伴って個人情報が提供される場合 ・ 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがある場合 ・ 個人情報保護法その他の法令で認められる場合 5.個人情報の開示 当社は、本人から、個人情報保護法その他の法令の定めに基づき個人情報の開示を求められたときは、本人からの請求であることを確認のうえで、本人に対し、遅滞なく開示を行います(当該個人情報が存在しないときにはその旨を通知いたします。)。なお、個人情報の開示につきましては、手数料(1件あたり●●●●円)を頂戴しております。 6.個人情報の訂正及び利用停止等 当社は、本人から、①個人情報が真実でないという理由によって個人情報保護法の定めに基づきその内容の訂正を求められた場合、及び②あらかじめ公表された利用目的の範囲を超えて取扱われているという理由または偽りその他不正の手段により収集されたものであるという理由により、個人情報保護法の定めに基づきその利用の停止を求められた場合には、本人からの請求であることを確認のうえで遅滞なく必要な調査を行い、その結果に基づき、個人情報の内容の訂正または利用停止を行い、その旨を本人に通知します。 なお、訂正または利用停止を行わない旨の決定をしたときは、本人に対しその旨を通知いたします。 当社は、本人から、本人の個人情報について消去を求められた場合、当社が当該請求に応じる必要があると判断した場合は、本人からの請求であることを確認の上で、個人情報の消去を行い、その旨を本人に通知します。 個人情報保護法その他の法令により、当社が訂正等または利用停止等の義務を負わない場合は、以上の規定は適用されません。 7.個人情報に関するお問い合わせ窓口 保有個人データの利用目的の通知、保有個人データまたは第三者提供記録(個人情報保護法第33条第5個に定める第三者提供記録をいいます)の開示、保有個人データの内容の訂正、追加または削除、利用の停止、消去及び第三者への提供の停止、個人情報の取り扱いに関する苦情は、以下の連絡先までご連絡ください。 TEL: ●●-●●●●-●●●● 8.個人情報保護の取り組み(個人情報保護マネジメントシステム)について 個人情報の保護を適切に行うため、継続的にその取り組みを見直し、改善します。 9.プライバシーポリシーの改定 当社は、プライバシーポリシーを適宜見直し、改善し、改定いたします。 改定後のプライバシーポリシーはすみやかに掲載いたします。 個人情報取扱事業者の名称、住所、代表者の氏名 名称:株式会社●● 住所:東京都●●市●● 代表者:●● ●● TEL: ●●-●●●●-●●●● 【●年●月●日制定】
