「自社サイトにもプライバシーポリシーは要るのか」「何を書けばいいのか分からない」。そんな声をよく耳にします。結論から言えば、問い合わせフォームを置いていたり、アクセス解析を入れていたりするサイトなら、用意しておいたほうが安心です。この記事では、なぜ必要なのか、最低限どんな項目を書けばよいのか、ひな形をどう活用すればよいのかを、専門用語をできるだけかみくだいて整理します。なお本記事は一般的な解説であり、法的な助言ではありません。自社の事情に合わせた最終的な確認は、弁護士などの専門家にご相談ください。
結論:問い合わせフォームや解析を使うサイトには用意しておくのが安全
先に要点をまとめます。自社サイトに問い合わせフォームがある、メールマガジンを配信している、アクセス解析を入れている――このいずれかに当てはまるなら、プライバシーポリシーを用意しておくのが安全です。なぜなら、これらはいずれも利用者の個人情報や、それにつながりうる情報を扱う行為だからです。
プライバシーポリシーは、難しく考えると手が止まってしまいますが、本質はシンプルです。「どんな情報を、何のために集め、どう扱い、困ったときはどこに連絡すればよいか」を、利用者に分かるように書き出した文書にすぎません。法律の要請に応える役割と、訪問者に安心してもらう役割の両方を担います。
この記事では、まずなぜ必要なのかを整理し、次に最低限どんな項目を書けばよいのかを一覧で示し、最後にひな形をどう使い、どう自社向けに直すかという実務の流れを説明します。法律の条文番号にも少し触れますが、暗記する必要はありません。「こういう考え方で求められているのだな」とつかんでいただければ十分です。
本記事は一般的な解説であり、個別の事案に対する法的助言ではありません。記載項目や表現が自社にとって過不足ないかどうかは、最終的に弁護士などの専門家へご確認ください。
そもそもプライバシーポリシーとは何か
プライバシーポリシーとは、事業者が「自社における個人情報やプライバシーに関わる情報の取扱い方針」を文章にまとめ、公表したものです。「個人情報保護方針」と呼ばれることもあります。両者は厳密には少しニュアンスが異なる場合もありますが、中小事業者の実務では、ほぼ同じ意味合いで使われていると考えて差し支えありません。
名前に「ポリシー(方針)」とある通り、これは事業者が自主的に定めて示すルールです。利用者と契約を結んで互いを縛る「利用規約」とは性質が異なります。利用規約が取引のルールを定めるものだとすれば、プライバシーポリシーは「お預かりした情報を、私たちはこう扱います」という宣言にあたります。
近年は、氏名や住所のように明確な個人情報だけでなく、Cookieや閲覧履歴といった「個人にひもづきうるデータ(パーソナルデータ)」全般を扱う場面が増えました。そのため、文書のタイトルとしては範囲の広い「プライバシーポリシー」という名称を使う事業者が多くなっています。
「個人情報」とはどこまでを指すのか
個人情報保護法でいう「個人情報」とは、おおまかに言えば、生存する個人に関する情報で、氏名や生年月日などにより特定の個人を識別できるものを指します。氏名と組み合わさったメールアドレスや電話番号、顔写真なども含まれます。中小事業者のサイトでよく扱うのは、問い合わせフォームに入力された氏名・連絡先、見積依頼や予約に伴う情報、採用応募で受け取る情報あたりでしょう。
一方で、Cookieに記録された識別子や、単独のIPアドレスのような情報は、それだけでは特定の個人を直ちに識別できないため、日本の現行法では原則として「個人情報」そのものには当たらないと整理されています。ただし、これらを会員情報などと結びつけて個人を識別できる状態にしている場合は、個人情報として扱う必要が出てきます。この線引きは判断が分かれやすいところなので、迷う場合は専門家に相談するのが安心です。
なぜプライバシーポリシーが必要なのか
「義務だから」という一言で済ませず、必要とされる理由を三つの角度から見てみましょう。理由を理解しておくと、何を書くべきかも自然と見えてきます。
理由1:個人情報保護法が「通知・公表」を求めているから
個人情報保護法は、プライバシーポリシーという文書名そのものを義務づけているわけではありません。しかし、個人情報を取り扱う事業者に対して、いくつかの「本人に伝える・公表する」義務を課しています。代表的なものを挙げます。
- 利用目的の通知・公表:個人情報を取得したら、あらかじめ利用目的を公表しておくか、取得後すみやかに本人へ知らせる必要があります(個人情報保護法第21条の趣旨)。
- 開示等の請求に応じる手続の整備・公表:本人から「自分の情報を開示してほしい」「訂正・利用停止してほしい」と求められたときの手続や問い合わせ先を、本人が知り得る状態にしておく必要があります(同法第32条などの趣旨)。
これらの義務を、ページごとにばらばらに示すのは現実的ではありません。そこで、一か所にまとめて公表する手段としてプライバシーポリシーが使われます。つまり「文書名は義務でなくても、中身にあたる事項の公表は求められている」というのが正確な理解です。だからこそ、事実上ほぼ必須と考えておくのが安全なのです。
理由2:問い合わせフォーム・解析・Cookieで情報を扱っているから
「うちは通販サイトではないから関係ない」と思われがちですが、実際にはほとんどの事業用サイトが何らかの形で情報を扱っています。
| サイトでよくある機能 | 扱っている情報の例 |
|---|---|
| 問い合わせ・見積・予約フォーム | 氏名、メールアドレス、電話番号、相談内容 |
| メールマガジン登録 | メールアドレス、氏名 |
| アクセス解析(例:Googleアナリティクス) | 閲覧ページ、滞在時間、おおよその地域、参照元 |
| 広告タグ・SNSの埋め込み | Cookie等を通じた行動データの外部送信 |
| 採用応募フォーム | 氏名、連絡先、職歴などの応募者情報 |
このように、フォームを一つ置くだけでも個人情報の取得が始まります。解析ツールや広告タグを入れれば、利用者のデータが外部サービスへ送られることもあります。だからこそ「何を集め、何のために使い、どこへ渡る可能性があるのか」を示しておく必要が生まれるのです。
理由3:訪問者の信頼につながるから
三つ目は、法律とは別の、実務的でとても大切な理由です。プライバシーポリシーがきちんと用意されているサイトは、それだけで「この会社は情報の扱いに気を配っている」という印象を与えます。逆に、問い合わせフォームはあるのにプライバシーポリシーが見当たらないと、利用者は「個人情報を入力して大丈夫だろうか」と不安を覚えます。
問い合わせや資料請求の一歩手前で迷っている人にとって、安心材料があるかどうかは小さくない差です。プライバシーポリシーは、守りのためだけでなく、問い合わせのハードルを下げる役割も果たします。会社の信頼性をどう高めるかという観点は、そもそもホームページは必要かを考えるうえでも共通するテーマです。
とくに中小事業者やBtoBの取引では、初めての相手に問い合わせをするとき、相手がどんな会社かを慎重に見極めようとするものです。会社概要や実績と並んで、情報の扱いに対する姿勢が示されていることは、「この会社はきちんとしている」という安心につながります。逆に、立派なサイトなのに肝心の取扱方針が見当たらないと、細部への配慮が足りない印象を与えかねません。プライバシーポリシーは、目立たないながらも会社の誠実さがにじみ出る部分だと言えます。
最低限おさえたい基本の記載項目
ここからは、中小事業者のサイトでおさえておきたい記載項目を順に見ていきます。すべてを完璧に網羅する必要はありませんが、以下は「最低限ここは検討したい」という土台です。自社にあてはまらない項目は無理に書かず、逆に特有の事情があれば足すという姿勢で考えてください。
| 項目 | 書く内容のイメージ |
|---|---|
| 事業者情報 | 会社名、所在地、個人情報の管理責任者または窓口 |
| 取得する情報 | フォーム入力情報、アクセス解析で得られる情報など |
| 利用目的 | 問い合わせ対応、見積・契約手続、サービス向上など |
| 第三者提供 | 第三者へ渡すか否か、渡す場合の条件 |
| 安全管理措置 | 情報を守るための取り組みの考え方 |
| 開示等の請求 | 開示・訂正・利用停止を求める方法と窓口 |
| お問い合わせ窓口 | 個人情報に関する連絡先 |
| Cookie・アクセス解析 | 利用の有無、目的、無効化の方法 |
| 改定について | 内容を変更する場合の手続と周知方法 |
事業者情報(誰が責任を持つのか)
まず、誰がこの個人情報を扱い、責任を持つのかを明らかにします。会社名と所在地を記載し、個人情報の取扱いについて問い合わせを受ける窓口を示します。法人の場合、管理について責任を持つ立場の者を明確にしておくと、利用者にとっても自社にとっても分かりやすくなります。会社の基本情報は、サイト内の会社概要ページとも整合させておくと、訪問者に与える信頼感が高まります。
取得する情報と取得方法
自社が実際にどんな情報を、どうやって受け取っているかを書き出します。フォームへの直接入力で得る情報、アクセス解析で自動的に集まる情報、外部サービスとの連携で受け取る情報などです。ここは「他社の例」ではなく「自社の実態」を棚卸しすることが何より大切です。社内のどの部署が、どんな場面で情報を受け取っているかを洗い出すと、書き漏らしを防げます。
利用目的(もっとも慎重に決めたい項目)
取得した情報を何のために使うのかを示します。この項目は特に重要です。なぜなら、原則として、ここに書いた目的の範囲内でしか個人情報を使えないからです。目的を狭く書きすぎると、後から「お知らせを送りたい」「サービス改善に使いたい」と思っても使えず、事業の足かせになります。逆に曖昧すぎても、利用者にとって何に使われるのか分かりません。
個人情報保護委員会の考え方でも、利用目的はできる限り特定することが求められています。「事業活動のため」のような漠然とした表現ではなく、「お問い合わせへの回答」「見積・契約に関する連絡」「サービス向上のための分析」のように、利用者が一般的に想像できる程度に具体化するのがよいとされています。自社の現在と近い将来の利用範囲を見渡して、過不足なく定めましょう。
第三者提供(外部に渡すかどうか)
取得した個人情報を、本人の同意なく第三者に渡すことは原則として認められていません。第三者へ提供する場面があるなら、その条件をはっきり書いておく必要があります。多くの中小事業者のサイトでは「あらかじめご本人の同意を得た場合や法令に基づく場合を除き、第三者には提供しません」といった方針になることが多いでしょう。
ここで一つ、混同しやすい点を補足します。業務の委託、たとえば配送業者への配送先情報の受け渡しや、システム会社へのデータ管理の委託は、一般に「第三者提供」とは区別して扱われます。事業者が利用目的の達成に必要な範囲で委託する場合は、本人の同意がなくても認められうるためです。ただし、委託したからといって責任がなくなるわけではなく、委託先が適切に情報を扱うよう監督する義務が別途生じます。「第三者提供」と「委託」は性質が違うという点を押さえ、自社の実態がどちらにあたるのかを慎重に整理しておきましょう。判断に迷う場合は、専門家に相談するのが安全です。
安全管理措置(情報をどう守るか)
預かった情報を、漏えい・紛失・破損から守るための取り組みについて、考え方を示します。具体的な手口を細かく公開する必要はありませんが、「必要かつ適切な安全管理措置を講じます」といった姿勢を示し、社内の体制やルールを整えておくことが求められます。安全管理は、組織的な体制づくり、従業員への教育、物理的な管理、技術的な対策といった複数の側面から考えるのが一般的です。
中小事業者の場合、大企業のような専門部署を持たないことも多いでしょう。それでも、たとえば「個人情報を含むファイルにはパスワードをかける」「退職者のアクセス権はすみやかに外す」「メール送信時の宛先を二重確認する」といった、身の丈に合った地道なルールの積み重ねが安全管理の基本になります。完璧な仕組みを一気に作ろうとするより、自社でできる範囲の対策を決めて確実に運用するほうが現実的です。サイトでフォームを使うなら、通信を暗号化する仕組み(一般にSSL/TLSと呼ばれます)を導入しておくことも、利用者の情報を守るうえで基本的な備えになります。
開示等の請求への対応
本人から「自分の情報を見せてほしい」「内容を訂正してほしい」「利用を止めてほしい」と求められたときの手続を定めます。誰に、どうやって申し出ればよいのか、本人確認はどう行うのか、手数料がかかる場合はその点も含めて示します。この手続を整備し、本人が知り得る状態にしておくことは、法が求めるところでもあります。
お問い合わせ窓口
個人情報の取扱いに関する苦情や相談を受け付ける窓口を明記します。メールアドレスや問い合わせフォームへの導線など、利用者が連絡しやすい手段を示しておきましょう。窓口が明確であることは、利用者の安心につながると同時に、万一トラブルが起きた際の初動にも役立ちます。
Cookie・アクセス解析について
Cookieやアクセス解析の利用は、近年とくに注目される項目です。前述の通り、Cookie単体は日本の現行法では原則として「個人情報」そのものには当たらないと整理されているため、記載が必須とまでは言い切れません。それでも、利用者からの信頼を重視して記載する事業者が非常に多くなっています。書く場合は、Cookieやアクセス解析を「何のために使っているか」、利用者がブラウザ設定などで「無効にできること」などを案内すると親切です。
外部の広告タグやSNSの埋め込みなどを通じて、利用者のデータが外部サービスへ送られる場合は、その点にも触れておくと、後述する電気通信事業法の動向にも備えやすくなります。
改定について
プライバシーポリシーは一度作ったら終わりではありません。サービスの変更や法令改正に合わせて見直す前提で、変更する場合の手続と周知方法をあらかじめ書いておきます。「本ポリシーは必要に応じて変更し、変更後の内容は当サイト上に掲載します」といった形が一般的です。重要な変更の場合は、より丁寧な周知が求められることもあります。
業種別に見直したい追加の視点
基本項目に加えて、業種やサイトの性質によっては、もう少し踏み込んだ検討が必要になります。代表的なケースを挙げます。
- ネット通販・予約サイト:決済情報や配送先を扱うため、取得する情報の範囲が広くなります。後述する特定商取引法に基づく表記も併せて必要になります。
- 採用ページを持つ会社:応募者の職歴などセンシティブになりやすい情報を扱うため、利用目的や保管期間の考え方を整理しておくと安心です。
- 会員登録・ログイン機能があるサイト:継続的に情報を預かるため、安全管理や退会時の取扱いまで視野に入れる必要があります。
- グループ会社や提携先と情報を共有する場合:いわゆる「共同利用」にあたることがあり、共有する情報の範囲・目的・責任者などを明示する検討が必要です。
自社が単純な紹介サイトなのか、それとも会員制サービスなのかによって、書くべき分量は大きく変わります。背伸びをして他社の長大なポリシーをまねるより、自社の実態に見合った内容にすることが、結果として運用しやすく信頼もされます。
プライバシーポリシーの作り方:実務の流れ
必要性と項目が分かったところで、実際の作成手順を見ていきましょう。大きく分けて、ひな形を活用する道と、専門家に依頼する道があります。多くの中小事業者にとっては、ひな形を出発点にしつつ自社向けに調整するのが現実的です。
ステップ1:自社が扱う情報を棚卸しする
最初にやるべきは、文章を書くことではなく「情報の棚卸し」です。フォームでどんな項目を受け取っているか、どんな解析ツールや外部サービスを入れているか、その情報を社内の誰が何のために使っているかを書き出します。ここが正確であればあるほど、後の作成がぶれません。
ステップ2:信頼できるひな形を出発点にする
棚卸しができたら、信頼できるひな形(テンプレート)を土台にします。ひな形は、抜け漏れを防ぎ、一般的な構成を効率よく押さえるうえで便利です。ただし、ひな形はあくまで出発点です。次のステップで必ず自社向けに直してください。
ステップ3:自社の実態に合わせて書き換える
ここが最重要です。ひな形をそのまま掲載すると、自社が実際には行っていない取扱いが書かれていたり、逆に自社が行っている取扱いが抜けていたりします。とくに利用目的は、書いた範囲でしか使えないという性質があるため、自社の現状と近い将来を見据えて調整します。取得する情報、第三者提供の有無、Cookieの扱いも、自社の実態に合わせて修正しましょう。
ステップ4:公開し、見つけやすい場所に置く
完成したら、サイトに公開します。置き場所も大切で、トップページから簡単にたどり着ける場所――一般的にはフッター(ページ下部)のメニューに常時リンクを置くのが定番です。フォームの送信ボタン付近からも参照できるようにしておくと、利用者が入力前に確認しやすくなります。
ステップ5:定期的に見直す
公開後も、新しいツールを導入したときや法令が変わったときに見直します。年に一度など、点検のタイミングを決めておくと、内容が実態とずれたまま放置されるのを防げます。
ひな形は便利な反面、丸写しには注意が必要です。自社の実態と合わない内容のままだと、思うように個人情報を使えなくなったり、逆に書いていない取扱いをしてしまったりするおそれがあります。内容に不安があるときは、公開前に弁護士などの専門家へ確認することをおすすめします。
ひな形を使うときに気をつけたい落とし穴
ひな形の活用はおすすめですが、いくつか典型的な失敗があります。あらかじめ知っておくと避けやすくなります。
- 会社名や連絡先の置き換え忘れ:ひな形の見本会社名や「〇〇」のままになっているケースは意外と多く見られます。公開前に細部まで点検しましょう。
- 利用目的が自社と合っていない:通販向けのひな形をサービス業がそのまま使うと、行っていない取扱いが書かれることがあります。自社の業務に合わせて取捨選択が必要です。
- 使っていない機能の記載が残る:会員機能や決済機能が前提の文面を、それらがないサイトに載せてしまうパターンです。実態にない記載は削ります。
- 逆に、使っている解析ツールの記載が抜ける:アクセス解析や広告タグを入れているのに触れていないと、説明として不十分になりがちです。
- 更新が止まる:作って満足してしまい、ツールを入れ替えても直さないケース。改定の運用までセットで考えましょう。
共通して言えるのは、「他社の正解」をそのまま貼るのではなく、「自社の実態」に翻訳する作業が欠かせないということです。この一手間が、後々のトラブルや手戻りを防ぎます。
関連する制度:特定商取引法とCookie同意の動向
プライバシーポリシーを考えるとき、近くに位置する二つの話題にも触れておきます。混同しやすいので、違いと関係を押さえておきましょう。
特定商取引法に基づく表記との違い
「特定商取引法に基づく表記」は、プライバシーポリシーとは別の制度です。インターネットで商品やサービスを販売する事業者などに対して、事業者の氏名・住所・連絡先、価格、支払方法、返品・キャンセルの条件などを表示するよう求めるものです。プライバシーポリシーが「個人情報の取扱い」を示すのに対し、特商法に基づく表記は「取引条件や事業者情報」を示すもので、目的が異なります。ネット販売を行うなら、両方をそれぞれ用意することになります。役割が違うため、片方があればもう片方は不要、という関係ではありません。
Cookie同意をめぐる動向
近年、Cookieの取扱いをめぐる動きが活発になっています。日本では2023年6月に施行された改正電気通信事業法により、利用者の端末に保存された情報を外部へ送信する仕組み(外部送信規律と呼ばれます)について、送信される情報の内容や送信先、利用目的などを、利用者が確認できるよう通知・公表することが求められる場面が出てきました。対象や範囲には細かな要件があり、すべてのサイトが一律に同じ対応を求められるわけではありませんが、広告タグや解析ツールを多く使うサイトほど、意識しておく必要が高まっています。
海外に目を向ければ、欧州のGDPRに代表されるように、Cookie利用前に同意を取得する考え方が広がっています。日本の制度はこれらと完全に同じではありませんが、世界的な潮流として「利用者に分かりやすく説明し、選べるようにする」方向に進んでいることは、知っておいて損はありません。今後の改正にも目を配りつつ、まずは自社のプライバシーポリシーで、Cookieや外部送信について誠実に説明しておくことが、堅実な第一歩になります。
制作会社に任せるという選択肢
ここまで読んで「項目は分かったが、自社で文面を整えるのは負担が大きい」と感じた方もいるかもしれません。プライバシーポリシーは、ホームページ制作とあわせて整えてしまうのが効率的です。サイトの構成やフォームの仕様を把握している制作会社であれば、どんな情報を取得しているか、どんな解析ツールを入れるかを踏まえて、土台となる文面を一緒に用意しやすいからです。
私たち格安HP屋は、東京・神保町を拠点に、2020年の創業以来、全国の中小事業者のホームページ制作をお手伝いしてきました。新規制作は税込25万円、リニューアルは税込30万円、ランディングページは税込8万円で、いずれも追加料金なし・修正回数は無制限です(別途、サーバーやドメインの実費として年間1〜2万円程度がかかります)。フォーム設置やプライバシーポリシーの設置場所の設計といった、サイト公開に必要な一式を標準で整えられるため、最短2週間ほどで公開まで進められます。費用の考え方についてはホームページ制作費用の記事や追加料金の有無についての記事もあわせてご覧ください。
ただし、ここで一点だけ正直にお伝えします。制作会社が用意できるのは、あくまで一般的な土台としての文面です。自社特有の事情に照らして法的に過不足がないかどうかの最終判断は、弁護士などの専門家の領域です。「土台は制作会社で効率よく整え、最終確認は専門家へ」という役割分担が、無理がなく確実だと考えています。どの制作会社に頼むか迷っている方は、制作会社の選び方の記事も参考になるはずです。
まとめ:難しく考えず、まず実態を書き出すことから
最後に要点を整理します。
- プライバシーポリシーは、問い合わせフォームやアクセス解析を使うサイトなら、用意しておくのが安全です。文書名そのものは義務でなくても、利用目的の公表や開示等手続の整備といった、中身にあたる事項は法律で求められています。
- 必要な理由は、法律の要請、扱っている情報の存在、そして利用者の信頼という三つの側面から説明できます。
- 基本の記載項目は、事業者情報・取得する情報・利用目的・第三者提供・安全管理・開示等請求・問い合わせ窓口・Cookie/アクセス解析・改定の各項目です。とくに利用目的は、書いた範囲でしか使えないため慎重に。
- 作り方は、まず自社が扱う情報を棚卸しし、信頼できるひな形を土台に、自社の実態へ書き換えるのが王道です。ひな形の丸写しは避けましょう。
- 特定商取引法に基づく表記とは別物であり、Cookieをめぐる制度は国内外で動いています。今後の動向にも目を配りましょう。
身構えると難しく感じますが、出発点は「自社がどんな情報を、何のために扱っているか」を素直に書き出すことです。そこさえ正確なら、あとは項目に沿って整えていけば形になります。そして繰り返しになりますが、本記事は一般的な解説であり、法的助言ではありません。自社の事情に合わせた最終的な確認は、弁護士などの専門家にご相談ください。土台づくりやサイトへの設置でお困りの際は、格安HP屋(info@kakuyasuhp.com)までお気軽にお問い合わせください。