昨年の個人情報保護法の改正、今年7月のGDPRの施行により、プライバシーポリシーを作成したり、以前作ったものを改訂したりする作業に追われている方も少なくないと思われます。
確実なのは弁護士等の専門家に作成を依頼してしまうことですが、費用もかかるため、自社で作成しようと考える方も多いと思います。特に、プライバシーポリシーはネット上で公開されるものですので、簡単に沢山のプライバシーポリシーを見つけることができます。これらを参考にして自社オリジナルのプライバシーポリシーを作る場合には法的な問題は生じません。
では、まるまる他社のプライバシーポリシーをコピー&ペーストして、自社のプライバシーポリシーとして公開することは法的に許されることなのでしょうか?
結論的には、法的リスクは高いからやめておくべき、ということになります。
以下、理由を説明します。
著作権上の問題
最初に思い当たるのが、まるまるコピーは著作権侵害にならないか?ということです。
よく誤解されがちですが、文章であれば全て著作権法の保護を受けられるというわけではありません。著作権法で保護されるためには著作物性が必要となります。
著作権法2条1項1号によれば、著作権法により保護される(著作物性)ための要件は、①「思想又は感情」を②「創作的」③「表現したもの」④「文芸、学術、美術又は音楽の範囲」に属するものとされます。
プライバシーポリシーやサイトの利用規約などは、定型化されたよくある文章の羅列で②「創作的」であるとはいいがたい場合が多いです。
したがって、原則としてプライバシーポリシーやサイトの利用規約などは著作権法の保護の対象とはならないと考えられます。
しかし、表現方法が凝っていたり内容が特殊である場合には、②「創作的」であるといえますので、例外的に著作権法の保護を受けます。
結局、原則として著作権法違反になら無いが、ものによっては違反になるということになります。しかし両者の境目は微妙です。弁護士であってもこれは大丈夫と断言できるものは少なく、裁判官の判断次第でどちらもあり得るという曖昧な回答しかできない場合が多いと考えられます。
民法上の不法行為
著作権侵害にならない場合でも、民法上の不法行為にあたる場合があります。簡単に言うと、人の労力を不正に利用して金儲けをしてはいけないというものです。
裁判所は、一般人向けの法律解説書の一部に依拠して同種の書籍を発売した事案について、著作権侵害が成立しない場合であっても民法上の不法行為の成立の余地を認めています。
したがって、著作権法で保護されないありきたりなプライバシーポリシーであっても、まるまる盗用すれば不法行為が成立し、損害賠償の請求を受けるおそれがあります。
運用上の問題
そもそも、プライバシーポリシーは、その会社のビジネスモデルに合わせて個人情報の取得、保管、移転についての自社での取扱を規約として落とし込んだものです。ユーザーはその規約を前提に個人情報を会社に提供します。
他社が作成したプライバシーポリシーを精査せずにそのまま流用した場合、自社のビジネスモデルに沿わない規定によって自社での運用上の不都合が生じたり、逆に必要な規定がないといった状態に陥ることになります。
実態と異なったプライバシーポリシーを公開していれば、いわば詐欺的に個人情報を取得したものとして、ユーザーから賠償請求を受けるおそれもあります。とくにGDPRでは莫大な罰金を規定していますので、EU居住者も顧客対象とする場合は、細心の注意が必要です。
最後に
プライバシーポリシーの作成にあたっては、他社のプライバシーポリシーを参考にしつつも、自社特有のビジネスモデルを踏まえてカスタマイズする必要があります。そして、自分でプライバシーポリシーを作った場合には過不足がないか弁護士等の専門家に確認を求めることも有効です。