こちらの記事でご紹介した雛形（ひな型）について、以下、各条項ごとに解説をしていきます。

1. 当社が取得する情報

当社は、以下の情報を、口頭、書面、Web画面からの入力その他相当な方法で取得します。

・利用者の氏名、住所、電話番号
・当社相談窓口への相談情報やアンケート情報
・取引履歴、決済のために必要な情報
・利用者の端末情報、位置情報など

個人情報保護法は、会社がどのような個人情報を利用者から取得するかに関して、具体的な個人情報の項目を本人へ通知したり公表することは求めていません。ただし、後述する共同利用の条項では、共同利用する情報の記載が求められますし、業界によってはガイドライン等で記載を求めている場合もあります。利用者への透明性確保という観点からも、記載しておくのがよいでしょう。

ある程度具体的に記載しないと意味がないですが、反対に、具体的に書きすぎて取得情報の書き漏れがあってもよくありません。他社のプライバシーポリシーなどを参考に作成するとよいでしょう。
　

2．取得情報の利用目的

当社は、収集した個人情報を以下の目的で利用します。

①サービスの提供および運営のため
・利用者への各種サービスや機能の提供・維持・運営のため
・利用者登録、アカウント認証、及びアカウント管理のため
・ご注文いただいた商品やサービスの確認、提供、及び配送のため

②利用者のサポートおよびコミュニケーション
・利用者からのお問い合わせ対応及びサポート業務のため
・サービス変更や機能追加に関する通知の送信のため
・各種キャンペーン、イベント、アンケート等の案内や参加確認のため

③サービス品質の向上および開発
・サービス利用状況の調査、分析によるサービス改善及び新サービス開発のため
・ユーザーのニーズや関心に基づくコンテンツや機能の最適化のため
・取得情報を統計的に処理し、集計結果をサービス改善の参考資料として活用するため

④セキュリティおよび不正利用防止

・ユーザーアカウントへの不正アクセスやパスワードの漏洩を検知し対策を講じるため
・不正な取引、サービスの悪用、スパム投稿やフィッシング行為などの違法行為を監視・防止するため
・端末情報やIPアドレスのログを活用し、不正アクセス元や疑わしい活動を特定するため

⑤マーケティングおよび広告配信
・ユーザーの興味関心に基づくコンテンツ及び広告のカスタマイズ配信のため
・当社または第三者の商品やサービスに関する情報提供のため
・広告パフォーマンスの測定及び改善のため

個人情報取扱事業者は、個人情報を取り扱うにあたって、その利用目的をできる限り特定する必要があり（個人情報保護法17条1項）、個人情報の利用目的を利用者に通知または公表する必要があります（21条1項）。

また、利用目的の特定にあたっては、「利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」とされ、具体的な例として以下の事例が示されています（「個人情報の保護に関する法律についてのガイドライン（通則編）」3-1-1）。

【具体的に利用目的を特定している事例】

事例） 事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するに当たり、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」等の利用目的を明示している場合

【具体的に利用目的を特定していない事例】

事例1）「事業活動に用いるため」

事例2）「マーケティング活動に用いるため」

特定していない事例１）２）のような記載はたまに目にしますが、上記のように、個人情報保護法のガイドラインで明確にNGであると言われていますので、より具体的に記載すべきでしょう。他方で、あまりに一義的・具体的に記載をすると、記載漏れが生じる恐れがあり、こちらも法令違反となってしまいます。雛形の記載や他社の記載例を参考にしましょう。
　

３．取得情報の第三者への提供

当社は、以下のような場合に、法律が許容する限度で、取得情報を第三者へ提供することがあります。

①サービス提供および運営に必要な場合
・利用者が利用するサービスの機能を提供・維持・改善するため、決済代行業者、配送業者、カスタマーサポート業者などの業務委託先に情報を提供する場合
・本サービスに関連する広告の配信およびマーケティング活動をサポートするために必要な場合
・ユーザー認証やログイン管理、システム運用の目的で外部認証サービスを利用する場合

②統計データの作成および研究目的の場合
・個人を識別できない形で統計データを作成し、調査・分析のために提供する場合
・学術研究目的で研究機関に情報を提供する場合（この場合も個人が特定されない形式に限ります）

③新サービスの開発および品質向上のため
・サービスの品質改善、機能追加、新サービス開発を目的として、データ分析を委託する外部機関に情報を提供する場合

個人情報取扱事業者は、法令に基づく場合、人の生命・身体・財産の保護のために必要があり本人同意の取得が困難な場合などを除き、あらかじめ本人の同意を得ないで、個人データを第三者に提供することはできません（法27条1項）。同意の取得に当たっては、事業の規模及び性質、個人データの取扱状況等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示す必要があります（ガイドライン3-6-1）。
　

4．取得情報の共同利用

当社は、「取得情報の利用目的」（2項）のために必要な範囲で、「当社が取得する情報」（1項）記載の情報を、当社の関係会社である〇〇、〇〇と共同利用します。なお、共同利用における管理責任者は当社であり、当社代表者等の情報は、以下をご参照ください。
https://xxxxxxxxxxxxx

特定の者との間で共同して利用される個人データを当該特定の者に提供する場合であって、①～⑤の情報を、本人が容易に知り得る状態に置いているときには、当該提供先は、本人から見て、当該個人データを当初提供した事業者と一体のものとして取り扱われることに合理性があると考えられることから、提供に関して本人の同意は不要です（法27条5項3号、ガイドライン3-6-3）。

①共同利用をする旨

②共同して利用される個人データの項目

③共同して利用する者の範囲

④利用する者の利用目的

⑤当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
　

5. 開示等の請求

当社は、以下の場合を除き、利用者からの利用目的の通知、個人情報、第三者提供記録の開示、訂正・追加・削除・利用の停止・第三者提供の停止の請求に応じます。

①開示することで本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

②開示することで弊社グループの業務の適正な実施に著しい支障を及ぼすおそれがある場合

③開示することが法令に違反することとなる場合

④開示の請求がご本人からであることが確認できない場合

利用目的の通知、個人情報または第三者提供記録の開示は、1回の請求で千円の手数料が生じます。また、具体的な手続きは以下の通りです。

　・具体的な請求内容を記載し、本人確認書類を添付のうえxxx@xxxまでお送りください

個人情報保護法では、本人からの利用目的の通知、個人情報、第三者提供記録の開示、訂正・追加・削除・利用の停止・第三者提供の停止の請求が認められており、これらの手続き（手数料を取る場合はその額）を本人の知り得る状態に置く必要があります（個人情報保護法第32条第1項第3号）。

別の記載方法の参考までに、日本弁護士連合会の該当ページは以下のとおりです。https://www.nichibenren.or.jp/copyright/privacy/privacy_contact.html
　

6．安全管理措置

当社は、保有する個人データの漏えい、滅失、毀損の防止その他の安全管理のため、以下の措置を講じています。

①基本方針の策定

個人データの適正な取扱いの確保のため、関係法令・ガイドライン等の遵守、質問及び苦情処理の窓口等についての基本方針を策定しています。

②個人データの取扱いに係る規律の整備

取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について個人データの取扱規程を策定しています。

③組織的安全管理措置

個人データの取扱いに関する責任者を設置するとともに、個人データを取り扱う従業者及び当該従業者が取り扱う個人データの範囲を明確化し、法や取扱規程に違反している事実又は兆候を把握した場合の責任者への報告連絡体制を整備しています。
また、個人データの取扱状況について、定期的に自己点検を実施するとともに、他部署や外部の者による監査を実施しています。

④人的安全管理措置

個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施しています。また、個人データについての秘密保持に関する事項を就業規則に記載しています。

⑤物理的安全管理措置

個人データを取り扱う区域において、従業者の入退室管理及び持ち込む機器等の制限を行うとともに、権限を有しない者による個人データの閲覧を防止する措置を実施しています。また、個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施しています。

⑥技術的安全管理措置

アクセス制御を実施して、担当者及び取り扱う個人情報データベース等の範囲を限定しています。また、個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入しています。

⑦外的環境の把握

個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施しています。

個人情報取扱事業者は、保有個人データの安全管理のために講じた措置の内容を本人の知り得る状態に置かなければならないとされています（法32項1項4号、政令10条）。そのため各社の実情に合わせて、安全管理のために講じた措置について記載しておくとよいでしょう。なお、例えば、「個人情報の保護に関する法律についてのガイドライン（通則編）」に沿って安全管理措置を実施しているといった内容の掲載では不十分とされています（ガイドライン3-8-1）。

なお、上記記載例は、同ガイドラインの【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】を参考にしています。各社の実情に合わせて適宜修正してください。
　

7. 苦情等の申出先

当社による個人情報の取扱いに関するお問い合わせや苦情につきましては、以下の窓口までご連絡ください。

【会社名】個人情報担当者宛

メールアドレス：【メールアドレス】

個人情報取扱事業者は、保有個人データの取扱いに関する苦情の申出先を、本人の知り得る状態に置く必要があるため（法32条1項4号、政令第10条）、プライバシーポリシーに記載しておくとよいでしょう。

なお、個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部または一部を委託する場合、外国の第三者への提供やオプトアウトによる第三者提供、匿名加工情報や仮名加工情報、Cookie関連の情報などについては説明を省略しています。より戦略的な記載が必要な場合は、個別に検討頂くか、お問い合わせください。