巷では「プライバシーポリシー」と「個人情報保護方針」 という２通りの言葉が出回っているかと思います。

　「プライバシーポリシー」は「オンラインプライバシーポリシー」のことかと思われ、 どちらもポリシー(方針)であり、どちらかが間違った使い方ではなく、

• ウェブサーバに限定したものか(個別方針)
• オンライン、オフライン問わず企業全体のものか(基本方針)

　「個人情報保護方針」は JIS Q 15001:1999 の言葉ですが、 (オンライン)プライバシーポリシーは、 JIS Q 15001:1999 の「4.2 個人情報保護方針」よりも、 むしろ「4.4.2.4 情報主体から直接収集する場合の措置」に近いかと思います。 JIS Q 15001:1999 では、個人情報保護方針とは別に、 収集場面ごとに同意を得るための“告知文”を掲示し、 同意を得た者からのみ個人情報を収集することが求められています。 これは別に、各々の収集場面毎に告知文を用意しなくても、 収集内容や収集目的が同じであれば共有化してもよいものかと思います。

　また、JIS Q 15001:1999 の「4.2 個人情報保護方針」では、 別に 方針を１つしか立ててはいけない、ということはないので、 ウェブ限定や事業部、サービス毎の“個別方針” を(必要に応じて)立ててもいいかと思います。。 個々のウェブサイトや事業毎やサービス毎に 限定して、 読む人によりわかりやすいものにしていった方がいいででしょうし、 提示する側も対象が限定されている方が書きやすいかと思います。 　そういう意味で言うと、(オンライン)プライバシーポリシーは、 ウェブに限定した 個別方針 であると同時に、 ウェブで収集する場面での“告知文”の役割も担っているのかもしれません。 個人的には、階層的に、

• 全社的な個人情報保護方針(基本方針)
  • ウェブサーバなどの形態毎や、業務・部門毎の 個別方針
    • 個人情報を収集する場面毎の“同意を求める告知文”

　個別方針については、タイトルは別に何でもよく、 「○○での個人情報の取り扱いについて」など、 消費者にわかりやすいものでもかまわないと思います。 ウェブに限定したプライバシーポリシーであれば、 Cookie や 1 ピクセル画像などの ウェブバグ(ウェブビーコン) や SSL の使用／未使用 などについても言及すべきでしょう。 オンラインプライバシーポリシーについては、 相互承認マークの認定基準としても使っている BBBOnline プライバシー・シール・プログラムの一般要件 の ４項目の「プライバシーに関する警告」の要件 以降の項を参考にしてもいいかもしれません。

　当然なこととして、上位の方針で「提供はしない」とあるのに、 実際提供していたり、個別方針や告知文に「提供する」とあるのは矛盾しますから、 全体の整合性を保たないといけないかと思います。

　また、個人情報保護方針やプライバシーポリシーは、

• 収集(取得)、利用に関すること
• 第三者への提供や共同利用に関すること
• 委託や預託に関すること
• 保管などの安全措置に関すること
• 開示・訂正・削除など情報主体(本人)の権利に関すること
• その他法令順守や継続的改善に関すること

　事業者サイドとしては、 事例列挙的／限定列挙的や、免責的にあまり長くなることは望ましくありませんが、 必要要件をきちんと書き、誤解がないようにすることが必要でしょう。 法令に基づくものであっても、冗長的であっても、 根拠をきちんと書いて、提供先などを書いてあげるもの消費者のためかと思います。

　消費者サイドとしては、 個人情報保護方針やプライバシーポリシーに疑問があれば、 率直に質問をしてもいいでしょう。 個人情報保護方針やプライバシーポリシーを掲げている事業者は、 そういう質問や苦情に対して適切に処理してくれるはずです。 事業者にとっては、そういう外部からの質問や苦情も 継続的改善 の上で重要な要素であるはずです。