Webサイト、ECサイト、アプリで氏名、メールアドレス、住所、Cookie情報などを取得する場合、プライバシーポリシーの整備が重要になる。ひな形を置くだけでは、自社が取得する情報や利用目的とずれることがある。本記事では、プライバシーポリシーの作成方法、記載すべき項目、公開後の見直しポイントを整理する。
プライバシーポリシーが必要な理由
プライバシーポリシーは、事業者がどのような情報を取得し、何のために利用し、どのように管理するかを利用者に説明する文書である。個人情報保護法への対応だけでなく、利用者との信頼関係を作るうえでも重要である。
個人情報の保護に関する法律(個人情報保護法)では、個人情報取扱事業者に対し、利用目的の特定、利用目的による制限、取得時の通知・公表、安全管理措置などを求めている。利用者本人が自分の情報の扱われ方を理解できるようにすることが基本である。
プライバシーポリシーが必要になる典型場面は次のとおりである。
- 問い合わせフォームで氏名、メールアドレス、電話番号を取得する
- ECサイトで配送先住所、購入履歴、決済関連情報を扱う
- アプリでアカウント情報、端末情報、位置情報を取得する
- 採用サイトで履歴書、職務経歴書、選考情報を受け取る
- アクセス解析や広告配信のためCookie等を利用する
取得する情報が少ない小規模サイトでも、問い合わせフォームやアクセス解析を設置していれば、説明すべき事項が発生する可能性がある。
記載すべき基本項目
プライバシーポリシーは、事業内容に合わせて作成する必要がある。一般的には、次の項目を整理する。
| 項目 | 記載内容の例 | 注意点 |
|---|---|---|
| 取得する情報 | 氏名、住所、メールアドレス、Cookie等 | 実際に取得する情報と一致させる |
| 利用目的 | 問い合わせ対応、商品発送、サービス提供 | できるだけ具体的に書く |
| 第三者提供 | 提供の有無、提供先、例外 | 外部送信や広告配信も確認する |
| 委託 | 配送会社、決済事業者、クラウドサービス | 委託先管理の考え方を示す |
| 安全管理措置 | アクセス制限、社内管理体制 | 詳細を書きすぎない工夫も必要 |
| 開示等請求 | 開示、訂正、利用停止等の手続 | 問い合わせ窓口と合わせて記載する |
| Cookie等 | 利用目的、広告・解析ツール | 同意管理が必要な場合もある |
利用目的
利用目的は、利用者が自分の情報の使われ方を理解できる程度に特定する必要がある。たとえば「事業活動のため」といった広い表現だけでは不十分と評価される可能性がある。
問い合わせ対応、本人確認、商品発送、代金決済、メールマガジン配信、不正利用防止、サービス改善など、実際の利用場面に合わせて記載することが望ましい。
第三者提供と委託
個人データを第三者に提供する場合は、原則として本人同意が必要になる。ただし、業務委託先への提供は、一定の要件のもとで第三者提供に該当しない扱いになる場合がある。
たとえば、配送会社、決済代行会社、メール配信サービス、クラウドCRMなどを利用する場合、委託先に個人データを扱わせることがある。プライバシーポリシーでは、委託の有無や委託先管理の考え方を記載しておくとよい。
開示等請求と問い合わせ窓口
個人情報保護法では、保有個人データに関する開示、訂正、利用停止等の請求手続が問題になる。利用者が問い合わせできる窓口、手続方法、本人確認方法を記載しておく必要がある。
小規模事業者でも、問い合わせ先が不明確だと、利用者対応が遅れやすい。メールアドレス、フォーム、受付時間などを実務に合わせて整えることが望ましい。
業種別の追加記載事項
プライバシーポリシーは、業種やサービス内容によって追加すべき項目が変わる。
ECサイト
ECサイトでは、配送、決済、返品対応、問い合わせ対応のために多くの個人情報を扱う。購入履歴、配送先、決済関連情報、クーポン利用履歴など、利用目的を具体化する必要がある。
また、広告配信やレコメンド機能を利用する場合は、Cookie、広告識別子、アクセス解析ツールの扱いを確認する。外部サービス名の記載が必要かどうかも検討したい。
SaaS・アプリ
SaaSやアプリでは、アカウント情報、ログ情報、端末情報、利用履歴を扱うことが多い。法人向けサービスでは、契約企業の担当者情報と、サービス内で顧客が入力する情報を分けて整理する必要がある。
利用ログを機能改善や不正検知に使う場合は、その利用目的を明確にする。海外クラウドサービスを使う場合は、外国にある第三者への提供や委託に関する説明が必要になる可能性がある。
採用サイト
採用サイトでは、履歴書、職務経歴、ポートフォリオ、面接評価などを扱う。通常の顧客情報よりも機微性が高い情報が含まれる場合があるため、利用目的、保管期間、選考終了後の扱いを記載しておくことが望ましい。
採用管理システムを利用する場合は、委託先としての扱いや、外部サービス内でのデータ保管場所も確認したい。
公開後に見直すべきタイミング
プライバシーポリシーは、一度作成して終わりではない。事業内容や法令が変われば、記載内容も見直す必要がある。
見直しが必要になりやすいタイミングは次のとおりである。
- 新しいフォーム、会員登録、決済機能を追加した
- 広告配信、アクセス解析、MAツールなど外部サービスを導入した
- 取得する個人情報の種類や利用目的が増えた
- 海外のクラウドサービスや委託先を利用し始めた
- 個人情報保護法や関連ガイドラインが改正された
- 会社名、住所、問い合わせ窓口が変わった
更新時には、frontmatterやサイト上の更新日も合わせて反映することが望ましい。変更内容によっては、利用者への通知や同意取得が必要になる場合もある。
まとめ
プライバシーポリシーは、個人情報を取得するWebサイトやアプリにとって基本的な文書である。ひな形を使う場合でも、自社の取得情報と利用目的に合わせた修正が必要である。
- 利用目的は、利用者が理解できる程度に具体化する
- 第三者提供、委託、Cookie利用、問い合わせ窓口を整理する
- EC、SaaS、採用サイトでは、それぞれ追加すべき事項が異なる
- 外部ツール導入や事業変更のたびに見直す必要がある
- 法改正やガイドライン変更時は、公開日・更新日も含めて確認する
自社サイト向けの基本構成を整える場合は、プライバシーポリシーテンプレートをたたき台として確認し、実際のデータ取得状況に合わせて修正することが重要である。
本記事は一般的な情報提供を目的として作成されたものであり、個別・具体的な法律相談に代わるものではありません。本記事の内容は執筆・更新時点の法令・裁判例等に基づいており、その後の法改正等により内容が現状と異なる場合があります。本記事の内容に基づいて行った行為の結果について、株式会社リーガリスト(以下「当社」)および監修者は一切の責任を負いかねます。個別の事案については、必ず弁護士等の専門家にご相談ください。
[要確認事項] - 個人情報保護法上の利用目的、第三者提供、保有個人データに関する条文番号を要確認。 - Cookie、外部送信、外国にある第三者への提供に関する最新ガイドラインとの整合確認が必要。 - 採用情報の保管期間や削除対応について、社内運用と合わせた確認が必要。