プライバシー・ ポリシーおよびステートメントの作成

3.3.1 プライバシー・ポリシーを作成する方法

●ステップ 1.  ジェネレーターに含まれている質問に正確に答えるためには、御社の個人 データ・プラクティスについて認識する必要がある。したがって、質問に答える前に、現 在の御社の個人データについて詳細な内部調査を実施することが重要である。

l 個人データを収集しているか？

l どのような種類の個人データを収集しているか？

l データをどのような方法で収集しているか？ 個人、第三者、公的機関あるいは

政府機関のいずれかからか？ 該当する個人は、個人データが収集されているこ とを認識しているか？

l どの個人データをどのように収集するかを決定しているのは、組織内の誰か？

l なぜ、個人データを収集するのか？

l 個人データをどのように利用しているか？

l 個人データを収集した後、誰が管理しているか？

l 個人データは第三者に公開されているか？ 公開されているとすれば、それはな ぜか？

l 個人データはどのような方法でどこに格納されているか？

l 個人データの収集および利用に適用される標準、ガイドラインおよび規則を定 めているか？

l ユーザーは、自分に関する個人データを利用できるか？

l ユーザーが自分の個人データを照会するとどうなるか？ また、その結果にユー ザーが満足しない場合はどうなるか？

l 内部調査の実行についての詳しいガイダンスは、SIIA、USCIB、あるいはCSA

l Model Code CAN/CSA-Q830のWebサイトを参照できる。または、次のWeb

サイトを参照できる。

l http:///.jipdec.or.jp/security/privacy/index-e.html l http://www.research.att.com/projects/p3p/propgen l http://www/the-dma.org

l http://www/truste.org/wizard

●ステップ2.  現在のデータ・プラクティスを調査した後は、次のことを実行する。

l 個人データの収集および利用に適用される可能性がある、法律あるいは（自己）

l 規制案の概要について調査する必要がある。この点については、政府機関、非 政府組織あるいは民間団体から情報を得ることができる場合がある。

l 現在のプラクティスをそのような規則と照らし合わせて調査し、確実に準拠さ せる必要がある場合は修正することを推奨する。

3.3.2 ジェネレーターによるプライバシー・ポリシー・ステートメントの作成

●ステップ 3.  現在の個人データ・プラクティスを決定し、そのプラクティスを該当する 規則要件と照らし合わせて調査した後は、ジェネレーターの質問を実行できる。「ヘルプ」

の節では、使用されている用語の説明、OECD プライバシー・ガイドラインに準拠する項 目についてのガイダンス、さらに該当する場合は、国、地域あるいは国際的な文書につい ての追加情報を、提供している。回答する前に説明の注記を読むことが必要である。

できる限り正確に質問に解答した後は、ドラフト・プライバシー・ポリシー・ステートメ ントが自動的に作成される。この結果、あらかじめフォーマットされた文章が、回答およ び選択に基づいて表示される。

3.3.3 ドラフト・プライバシー・ポリシー・ステートメントの評価

●ステップ4.  次に、以下のことを確認する。

l ドラフト・プライバシー・ポリシー・ステートメントが、組織の個人データ・

プラクティスを正確に反映している。

l ドラフト・プライバシー・ポリシー・ステートメントが、該当する国、地域お よび国際的な法律あるいは（自己）規制の概要に準拠している。

l 誤りが修正されており、プライバシー・ステートメントをスムーズに読める。

l

3.3.4 プライバシー・ポリシー・ステートメントの Web サイトへの配置

●ステップ 5.  プライバシー・ポリシー・ステートメントが個人データ・プラクティスを 正確に反映し、該当する規則に準拠することを確認した後は、ポリシー・ステートメント を利用する方法を検討する必要がある。準拠する規則によっては、ステートメントに対し、

ホームページあるいは個人データが収集される場所など、特定のロケーションが必要な場 合がある。特定の規則要件が存在しない場合は、ホームページおよびプライバシー・ステ ートメントとの間、あるいは個人データを収集するページおよびプライバシー・ステート メントとの間にリンクを作成することを検討する必要がある。OECD プライバシー・ガイ ドラインでは、個人が時間、知識および費用について過度な努力を強いられることなく、

個人データ・プラクティスに関する情報にアクセスできることを推奨している。また、ユ ーザーが、該当するすべての規則を認識できるように、関連するWebサイトへのリンクを 作成することが必要である。

注記：いったんプライバシー・ステートメントが公的に掲示されると、プライバシー・

ポリシー・ステートメントに準拠しない場合、あるいはそのステートメントが地域の法 律に準拠していない場合は、法的に責任を問われる可能性がある。 

前述のステップに従えば、確実に、ポリシー・ステートメントにプライバシー・プラク ティスを反映させ、あるいは、該当する規則に準拠させることができる。 

3.3.5 プライバシー・ポリシー・ステートメントの例

OECDオンライン・プライバシー・ポリシー・ステートメントは、ドラフトOECDジェネ レータを利用して改訂中である。この例は「モデル」ステートメントを目的とするもので はない。これは最終的なプライバシー・ステートメントの予想図を示すものに過ぎない。

l OECDジェネレーターとは何か？

l 制限および利用条件 l 質問の開始