プライバシーポリシーの書き方

プライバシーポリシーとは

「プライバシーポリシー」とは、ウェブサイトを運営するときに取得した個人情報の取り扱いについて記載したものです。プライバシーポリシーでは、個人情報保護法に基づいて、取得した”個人情報の保護”と”利用目的”を明確にします。

プライバシーポリシーとは

プライバシーポリシー (英語: privacy policy) は、 インターネットのウェブサイトにおいて、収集した個人情報をどう扱うのか(保護するのか、それとも一定条件の元に利用するのか)などを、サイトの管理者が定めた規範のこと。個人情報保護方針などともいう。

Wikipedia

プライバシポリシーの必要性

「個人で運営しているブログだから、そんな頭の痛くなるような文章は載せなくていいんじゃないの?」と思いますが、ほぼすべてのウェブサイトに「プライバシーポリシー」が必要です。

プライバシーポリシーが必要な場合

  • Googleアドセンス広告を貼っている
  • Googleアナリティクスやサーチコンソールを使っている
  • アクセス解析を使っている
  • Amazon、楽天、A8ネット、afBなどアフィリエイトプログラムに参加している
  • お問い合わせフォームなどユーザーがメールアドレスを記入する場合がある
  • コメント欄が設置されている
  • メルマガ登録がある
  • 読者アンケートがある

これらのチェック項目に当てはまる場合は、「プライバシーポリシー」を記載しなければなりません。個人で運営していても、アクセス解析やお問い合わせフォーム、コメント欄などはほとんどのサイト運営者が設置していますよね。

プライバシーポリシーの掲載は、

  • 個人情報保護法
  • GoogleやAmazonアソシエイトASPなどの利用規約
により定められています。プライバシーポリシーの掲載を怠っていると、ブラウザやウェブサーバーに自動的に収集されたデータが利用されていることについてクレームがくる恐れがあります。。

個人情報保護法

刑事上の責任(刑事罰:<例>最大6ヶ月の懲役、最大30万円の罰金)や民事上の責任(損害賠償・謝罪金)に問われる可能性もあります

Googleサービス

Googleアドセンス、アナリティクスなどのサービスの利用規約には、「必須コンテンツ」に「サイトのプライバシー ポリシーについて」明記されています。

  • GoogleがCookieを利用してアクセス履歴を参照して広告を配信していること
  • Googleやサイト運営者がCookieの情報を使って広告を表示していること
  • Cookieの設定をユーザーが変更できること

Googleアドセンス|ヘルプ

Amazonアソシエイト

アマゾンアソシエイトやその他ASPを利用している場合、(Google アドセンス)の他に利用しているASP名を入れましょう!特にアマゾンはチェックがとても厳しいです。

プライバシーポリシーの記載事項

プライバシーポリシーを掲載するにあたり、自分のウェブサイトがどのような情報を収集しているか知る必要があります。

個人情報の定義

プライバシーポリシーの目的や「当サイト」、「個人情報」などの言葉の定義を記載します。

個人情報の収集方法

(Cookie、メールアドレスなど)

ウェブサイトで収集される個人情報には以下のものがあります。

  • Cookie(クッキー)
  • メールアドレス
  • 名前(ハンドルネームなど)
  • IPアドレス

個人情報の利用目的

Cookieの利用

Cookieは、

  • Googleアナリティクスなどを含むアクセス解析ツール
  • Googleアドセンス、Amazonアソシエイト、A8ネットなどのASP
に使われています。Cookieは、ユーザーの氏名、住所、電話番号、メールアドレスなど個人の身元を特定するものではなく、ブラウザに記録されたウェブ閲覧記録であること、ブラウザ設定から無効にできることを記載します。

メールアドレスの利用

メールアドレスは、

  • お問い合わせフォーム
  • メール
  • メールマガジン
など、ユーザーが登録したときに運営者にもわかります。メールアドレスが収集されるケース、利用目的、第三者への漏洩をしないことを明記します。

IPアドレス

IPアドレスは、ネット通信をしたときのPCやスマホの住所です。ウェブザーバーやアクセス解析ツールに記録が残ります。基本的には

  • コメント欄
  • スパムメール
の荒らし・スパム対策としてプライバシーポリシーにIPアドレスの利用について記載します。

個人情報の共同利用・第三者提供

個人情報漏洩防止のため、プライバシーポリシーに記載された目的以外でのユーザーの個人情報の利用は禁止されています。警察の操作など、事件性がある場合に開示しなければならない旨を記載します。

(グループ会社などでの個人情報を共有を予定している場合には、「個人情報保護法第23条2項」でその旨を事前に本人に通知するか、公表すること義務付けられています。)

個人情報の開示・訂正・追加・削除・利用停止

サイトの管理者は、本人から保有している個人情報の開示・訂正・追加・削除・利用停止などの申し出があった場合に手続きをすることが義務付けられています。

掲載されている広告について

広告配信サービスを利用していること、広告配信サービスの利用にあたりCookieを使用していることを記載します。

個人情報の取扱いに関する相談や苦情の連絡先

個人情報の開示・訂正・追加・削除・利用停止やお問い合わせなどの連絡先を記載します。

プライバシーポリシーの変更

プライバシーポリシーは、サイト管理者が法令や規約を守るために、法改正や規約の更新があった場合には変更しなければなりません。プライバシーポリシーを変更したときの対応について記載します。一般的なブログやアフィリエイトサイトでは、訪問した読者を特定できないので、”適宜変更”する旨を記載しておけば良いでしょう。

日付、サイト運営者の情報

  • プライバシーポリシーの制定日
  • サイト管理者の氏名
  • サイト管理者の連絡先
  • URL

などを記載します。

その他「SSLセキュリティについて」

ECサイトなどウェブサイト経由で個人情報を取得する場合は「SSLセキュリティについて」の項目も必要です。ブログやアフィリエイトサイトでは、直接個人情報を取得しないため、記載しなくてOKです。

GDPR(General Data Protection Regulation:一般データ保護規則)

018年5月25日からEU圏で施行されたGDPR(一般データ保護規則)では、

  • IPアドレス、Cookie、IDFAも個人情報とする
  • 個人情報を取得する場合は、ユーザーの同意が必要
ということが定義されています。GDPRはEU圏で商品やサービスを提供している企業だけでなく、EU圏内にいるユーザーの情報をトラフィックしている場合、EU圏外の企業やウェブサイトも対象になります。GDPRに違反した場合、「最大で年間売上高の4%以下、もしくは2000万ユーロ以下のいずれか高い方が適用」されます。2000万ユーロは、約25億円前後の賠償です。

たとえ、日本語でブログを運営していても、EU圏内のユーザーのアクセスがあったり、EU圏内に旅行や留学に行った日本人のアクセスがあれば適応されてしまいます。このブログでは、旅行ネタが多くEU圏からのアクセスもあります。対策としては、

  1. EU圏からのアクセスを拒否する
  2. データの収集目的、Cookieの処理、個人データの法的根拠を明確にする+Cookie利用の同意を導入する
のどちらかになります。

こちらの記事もおすすめ