出社したのでようやく書けます。家ではPCを使わないもんで。携帯で閲覧と書き込みはたまーにしてますが、さすがに長文はきついので後回しにしてました。
すでに書きましたが、尾崎先生の話はためになりました。法律の勉強をしてないと、効果薄いことやっちゃいそうですね。いろんなところで書かれてますが、

• ポリシーは約款と同じ。実行できるように書くこと。
  • 注意義務の範囲を決めるということ。（決めていないと「悪意」になる？）
• ポリシーを公開したら、その通り全部実行すること。
  • 実行できないと注意義務違反になる。
  • 実行していても、妥当性が認められなければ調査義務違反になる。
  • 曖昧な文言はポリシーに書かないこと。具体的に、限定的に書くようにすること。
• 実行したことは全て記録に残すこと。
  • 内容証明などを使い、証拠能力を高めておくとなお良し。

これが大事ってことですね。その他、

• 実行不可能なポリシーを作ってしまった場合でも、採用した時点でポリシーを守ると宣言した者の責任になる。
• 内規でも、公開されたら注意義務は発生する。内部告発で公になっても同様。
• 被害側に通知することで、被害側にも注意義務を負わせることができる。そうすることで、過失相殺の可能性を作ることができる。（インシデント発生時の対応として考えておくべきか）

こんな感じですかね。法律ばっかり気にしていても、顧客に信頼を得られる内容でないと、公開する意味も半減すると思いますが、法律は軽視できないですからねえ・・・。
ケーキオフは初参加だったんですが、もっと前から出ていればよかったですね。次も参加したいと思います。