Webサービスを運営する上で、ユーザーの個人情報を取り扱う場面は避けて通れません。氏名やメールアドレスの登録、アクセスログの取得、Cookie情報の利用など、個人情報の取り扱いには法律上の義務が伴います。
その義務を果たし、ユーザーの信頼を獲得するために不可欠なのがプライバシーポリシーです。本記事では、個人情報保護法に対応したプライバシーポリシーの書き方を、条項ごとにわかりやすく解説します。
プライバシーポリシーとは?法的な位置づけ
プライバシーポリシーとは、事業者が個人情報をどのように取得・利用・管理するかを示す方針を文書化したものです。
個人情報保護法との関係
個人情報保護法では、個人情報取扱事業者に対してさまざまな義務を課しています。プライバシーポリシーの策定・公表自体は法律で直接義務づけられているわけではありませんが、以下の法的義務を果たすための実務上の手段としてプライバシーポリシーが活用されます。
利用目的の公表・通知義務(法第21条)
個人情報を取得した場合、その利用目的を本人に通知するか、あらかじめ公表しなければなりません。プライバシーポリシーでの公表が一般的な対応方法です。
安全管理措置(法第23条)
個人データの漏洩等の防止のため、安全管理のために必要な措置を講じる義務があります。
第三者提供の制限(法第27条)
あらかじめ本人の同意を得ないで、個人データを第三者に提供してはなりません。例外規定もありますが、プライバシーポリシーで第三者提供の有無と条件を明示することが求められます。
開示等の請求対応(法第33条〜第39条)
本人からの保有個人データの開示、訂正、利用停止等の請求に応じる義務があります。請求手続きをプライバシーポリシーで案内します。
プライバシーポリシーを策定すべき事業者
2022年4月の改正により、取り扱う個人情報の件数にかかわらず、個人情報を取り扱うすべての事業者が個人情報保護法の対象となっています。つまり、起業したばかりの小規模な事業者であっても、Webサイトで問い合わせフォームを設置したり、顧客管理を行ったりする時点で、プライバシーポリシーの策定が実務上必要になります。
個人情報の定義と取得方法の整理
プライバシーポリシーを作成する前に、自社が取り扱う個人情報の全体像を整理しましょう。
個人情報とは何か
個人情報保護法における「個人情報」とは、生存する個人に関する情報で、特定の個人を識別できるものを指します。
個人情報に該当するもの
・氏名、生年月日、住所、電話番号、メールアドレス
・顔写真(特定の個人を識別できる場合)
・個人識別符号(マイナンバー、運転免許証番号、パスポート番号等)
・Cookie情報(他の情報と容易に照合して個人を識別できる場合)
要配慮個人情報
人種、信条、社会的身分、病歴、犯罪歴、障害など、不当な差別や偏見につながりうる情報は「要配慮個人情報」として特別な取り扱いが必要です。取得には原則として本人の同意が必要です。
自社で取得する個人情報の棚卸し
プライバシーポリシーを作成する前に、以下の点を整理しましょう。
取得する個人情報の種類
会員登録フォーム、問い合わせフォーム、注文フォーム等で収集する情報を一覧化します。
取得方法
ユーザーが直接入力する情報のほか、自動的に取得する情報(IPアドレス、Cookie情報、アクセスログ等)も把握しておきます。
利用目的
それぞれの個人情報をどのような目的で利用するかを具体的に整理します。
保管場所と管理方法
データベース、クラウドサービス、紙の書類など、個人情報の保管場所と管理方法を確認します。
プライバシーポリシーの必須記載事項
プライバシーポリシーに記載すべき主要な項目を順に解説します。
事業者情報
プライバシーポリシーの冒頭または末尾に、事業者名(法人名)、住所、代表者名を記載します。個人情報保護に関する責任者(個人情報保護管理者)の氏名や連絡先も記載することが望ましいです。
個人情報の利用目的
個人情報保護法で最も重要な義務のひとつが、利用目的の特定と公表です。利用目的はできるだけ具体的に記載しましょう。
良い例
・商品の発送及び代金の請求のため
・お問い合わせへの回答のため
・サービスの改善及び新サービスの開発のため
・メールマガジンの配信のため
・アクセス分析によるサービスの改善のため
避けるべき例
・「事業活動のため」(抽象的すぎる)
・「マーケティングのため」(範囲が広すぎる)
利用目的を後から追加・変更する場合は、変更前の利用目的と関連性を有すると合理的に認められる範囲内でのみ変更可能です。大幅な変更の場合は、改めて本人の同意が必要になります。
個人情報の第三者提供
個人データを第三者に提供する場合は、原則として本人の事前同意が必要です。プライバシーポリシーでは、第三者提供の有無と条件を明記します。
同意なく第三者提供できる例外
・法令に基づく場合
・人の生命、身体または財産の保護のために必要な場合
・公衆衛生の向上のために必要な場合
・国や地方公共団体への協力が必要な場合
委託・共同利用の場合
業務委託先への個人データの提供は「第三者提供」には該当しませんが、委託先の監督義務があります。共同利用の場合は、共同利用する旨、共同利用する個人データの項目、共同利用者の範囲等をあらかじめ本人に通知する必要があります。
Cookie・アクセス解析への対応
近年、Cookieやトラッキング技術への規制が強化されています。プライバシーポリシーでの対応が必要です。
Cookie情報の取り扱い
Cookie自体は直接的に個人を識別するものではありませんが、他の情報と組み合わせることで個人を特定できる場合があります。2022年の改正個人情報保護法では「個人関連情報」の概念が導入され、Cookieなどの情報を第三者に提供し、提供先で個人データと紐づけられることが想定される場合の規制が強化されました。
プライバシーポリシーに記載すべき内容
・Cookieを使用する旨
・Cookieの利用目的(アクセス解析、広告配信等)
・Cookieの無効化方法
・第三者のCookie(Google Analyticsなど)を使用する場合はその旨
Google Analyticsの利用に関する記載
Google Analyticsを利用している場合、以下の内容をプライバシーポリシーに記載することが推奨されます。
・Google Analyticsを利用してアクセス情報を収集していること
・データの収集にCookieを使用していること
・収集されるデータは匿名で収集されること
・Googleのプライバシーポリシーへのリンク
・Google Analyticsのオプトアウト方法
外部サービスとの連携
広告配信サービス(Google Ads、Facebook広告等)、SNSのシェアボタン、チャットツールなど、外部サービスを利用している場合は、それぞれの情報収集について記載が必要です。
安全管理措置の記載方法
個人情報保護法では、事業者に安全管理措置を講じることを義務づけています。プライバシーポリシーでは、講じている措置の概要を記載します。
組織的安全管理措置
個人情報の管理責任者の設置、従業員の権限と責任の明確化、個人情報の取り扱い状況の定期的な点検・監査などの体制を整備します。
人的安全管理措置
従業員に対する個人情報保護に関する教育・研修の実施、秘密保持に関する誓約書の取得などを行います。
物理的安全管理措置
個人情報を取り扱う区域の入退室管理、書類やデバイスの施錠管理、不要な書類のシュレッダー処理などを実施します。
技術的安全管理措置
アクセス制御、SSL/TLSによる通信の暗号化、ウイルス対策ソフトの導入、アクセスログの記録・管理などの技術的な対策を講じます。
スタートアップの段階では、すべての措置を完璧に整備することは難しいかもしれませんが、最低限のセキュリティ対策を講じた上で、段階的に強化していく姿勢が大切です。
開示等の請求手続きの案内
個人情報保護法では、本人から保有個人データに関する以下の請求があった場合、原則として応じる義務があります。
本人が請求できる内容
利用目的の通知請求
保有個人データの利用目的の通知を求める請求です。
開示請求
保有個人データの開示を求める請求です。電磁的記録の提供を含む本人が指定する方法で行う必要があります。
訂正等の請求
保有個人データの内容が事実でない場合、訂正、追加、削除を求める請求です。
利用停止等の請求
個人情報の利用目的外利用や不正取得があった場合、利用停止や消去を求める請求です。
第三者提供の停止請求
個人データの第三者提供の停止を求める請求です。
プライバシーポリシーでの案内方法
請求の受付方法、本人確認の手続き、回答方法、手数料(設定する場合)について案内します。
「保有個人データの開示等のご請求は、以下の窓口にお問い合わせください。ご請求の際は、本人確認のため所定の書類のご提出をお願いする場合があります。」
窓口の連絡先(メールアドレス、電話番号、住所等)を明記し、ユーザーが容易に請求できる体制を整えましょう。
海外展開時の注意点
海外ユーザーを対象とするサービスの場合、各国の個人情報保護法制にも対応する必要があります。
GDPR(EU一般データ保護規則)
EU/EEA域内のユーザーを対象とするサービスを提供する場合、GDPRが適用される可能性があります。GDPRは日本の個人情報保護法より厳格な規制を設けており、違反した場合の制裁金も高額です。
主な追加要件
・同意の取得方法(明確な肯定的行為による同意)
・データ保護影響評価(DPIA)
・データポータビリティ権(ユーザーが自分のデータを持ち出す権利)
・忘れられる権利(データの削除を求める権利)
・72時間以内のデータ侵害通知
個人情報の国外移転
日本の個人情報保護法でも、外国にある第三者への個人データの提供については、原則として本人の同意が必要とされています(法第28条)。クラウドサービスの利用先が海外にある場合なども、外国移転に該当する可能性があるため注意が必要です。
移転先の国名、その国の個人情報保護制度の概要、移転先における安全管理措置の内容などを本人に情報提供する義務があります。
まとめ:信頼されるプライバシーポリシーの作成に向けて
プライバシーポリシーは、法的義務を果たすだけでなく、ユーザーからの信頼を獲得するための重要なツールです。本記事のポイントを整理します。
自社の個人情報の取り扱いを棚卸しする
取得する情報の種類、取得方法、利用目的、保管方法を一覧化することから始めましょう。
利用目的はできるだけ具体的に記載する
抽象的な利用目的は法的に不十分です。ユーザーが理解できる具体的な表現で記載しましょう。
Cookie・アクセス解析にも対応する
Google AnalyticsやSNSプラグインなど、外部サービスの情報収集についても漏れなく記載しましょう。
開示等の請求に対応できる体制を整える
請求窓口を明確にし、実際に請求があった場合に対応できる体制を構築しましょう。
安全管理措置を段階的に強化する
事業規模に応じて、組織的・人的・物理的・技術的な安全管理措置を段階的に整備しましょう。
法改正に対応して定期的に見直す
個人情報保護法は定期的に改正されています。最新の法令に対応するよう、定期的な見直しを行いましょう。
プライバシーポリシーの策定は、起業家にとって面倒な作業に思えるかもしれません。しかし、個人情報の適切な管理は事業の信頼性を高め、将来的なトラブルを防ぐ投資です。本記事を参考に、自社のサービスに合ったプライバシーポリシーを作成してください。
関連記事
A/Bテスト入門|起業家がデータで意思決定するための実践ガイド
起業時の広告予算の決め方|Google広告・SNS広告・チラシの費用対効果
アフィリエイトマーケティング入門|起業家が収益源を増やす仕組みの作り方
起業家が使うべきAIツール15選|ChatGPT・Canva・Notion AIで生産性倍増
エンジェル投資家とは?出資を受ける方法・探し方・交渉のポイント
美容室・サロン開業ガイド|資格・物件・設備投資・集客の全手順
青色申告のメリットと始め方|個人事業主の節税に必須の確定申告ガイド
スタートアップのブランディング入門|小さな会社が選ばれるブランドを作る方法
