プライバシーポリシーの書き方~個人ブログで個人情報保護法やGDPRは関係あるの?~

プライバシーポリシーの内容が気になったので個人情報保護法などを調べ内容を大幅に追記した。事業者ではない個人ブログであれば個人情報保護法の対象外となる。GDPR(EU一般データ保護規則)も調べたところ日本国内向けのサイトであれば対応する必要はなさそうであった。Googleアナリティクス、Googleアドセンス、Amazonアソシエイトは規約でプライバシーポリシーに決められた内容の記載を義務付けているため個人ブログであっても対応する必要がある。

注意

規約や法律は2019年6月のもので最新の情報と異なる可能性があります。必ず最新の情報を確認してください。

注意

本サイトで紹介するプライバシーポリシーは個人ブログ向けのものです。法人や大規模などのリスクのあるサイトは専門部門および専門家に相談し対応してください。

Webサイトにプライバシーポリシーはなぜ必要か

女性

法律やサービス規約でプライバシーポリシーへの記載が必要な項目があるため基本的に必要である。法律では個人情報の取り扱いについて取得前に通知する必要がある。サービスによっては規約に従いプライバシーポリシーに必要事項を記載しなければならない。

サイトの信頼性を上げるためにもプライバシーポリシーは個人的に必要と考えている。法律や規約への意識の低いサイトはあまり信用できない。

ポイント
  • 法律
  • サービス規約
  • 信頼性

法律

法律でプライバシーポリシーが必要になる場合がある。ケースによってはEUの規則であるGDPR(EU一般データ保護規則)にも対応しなくてはならない。

関連する法律や規則
  • 個人情報保護法
  • GDPR(EU一般データ保護規則)

個人情報保護法

個人情報に関する法律で違反すると罰則がある。個人情報を取り扱う事業者が対象となる。

個人情報保護法および同施行令によって、取扱件数に関係なく個人情報を個人情報データベース等として所持し事業に用いている事業者は個人情報取扱事業者とされ、個人情報取扱事業者が主務大臣への報告やそれに伴う改善措置に従わない等の適切な対処を行わなかった場合は、事業者に対して刑事罰が科される。
引用:個人情報の保護に関する法律 – Wikipedia

ユーザーの利益や権利を守ることを目的としている。

個人情報の有用性に配慮しつつ、個人の権利利益を保護する
引用:個人情報の保護に関する法律 – Wikipedia

個人情報の利用目的を具体的にして事前に通知するか公表する必要がある。Webサイトのプライバシーポリシーや個人情報保護方針などで公表するのが一般的である。

個人情報取扱事業者は、個人情報を取り扱うに当たって、利用目的をできる限り特定しなければならないとされています(個人情報保護法第 15 条第 1 項)。その際、利用目的はできるだけ具体的に特定しましょう。また、特定した利用目的は、あらかじめ公表しておくか、個人情報を取得する際に本人に通知する必要があります。
引用:個人情報保護法ハンドブック – 個人情報保護委員会

消費者等本人との信頼関係を構築し事業活動に対する社会の信頼を確保するためには、「個人情報保護を推進する上での考え方や方針(いわゆる、プライバシーポリシー、プライバシーステートメント等)」を策定し、それをホームページへの掲載又は店舗の見やすい場所への掲示等により公表し、あらかじめ、対外的にわかりやすく説明することや、委託の有無、委託する事務の内容を明らかにする等、委託処理の透明化を進めることも重要です。
引用:個人情報保護法ハンドブック – 個人情報保護委員会

プライバシーポリシーは法律で必須とはなっていないが利便性を考えたら必須と思っていいだろう。ただし書面で個人情報を取得する場合は印刷物などを使った方がよさそう。

ポイント
  • 個人情報保護法とは個人の利益と権利を守る法律で罰則がある
  • 対象の事業者は取得前に利用目的を具体的に通知する義務がある
  • 通知はプライバシーポリシーページでの公表でも可能である

個人情報を扱う事業者のWebサイトはプライバシーポリシーのページを設置し個人情報の取り扱いについて公表する義務がある。問い合わせフォームがあれば必ず個人情報が入力されるので基本的に事業者すべてのWebサイトが対象になる。個人サイト以外で個人情報の取り扱いについて明記されていない場合は法律違反になる可能性が高い。確認するとほとんどの事業者のサイトがトップページから個人情報の取り扱いに関するページに遷移できるようになっていた。

GDPR

サイト運営している人なら一度は効いたことがあるEUの個人情報を守る規則である。なんでEUの規則に対応しなければと思うが全世界とつながるWebサイトでは対象になる可能性がある。

EU一般データ保護規則(EUいっぱんデータほごきそく、英: General Data Protection Regulation; GDPR)(規則 2016/679)とは、欧州議会・欧州理事会および欧州委員会が欧州連合 (EU) 内の全ての個人のためにデータ保護を強化し統合することを意図している。欧州連合域外への個人情報の輸出も対象としている。
引用:EU一般データ保護規則 – Wikipedia

後述するがGDPRは日本の個人情報保護法よりも厳しい内容となっている。

ポイント
  • GDPRとはEUの個人情報を守る規則である
  • 個人情報の範囲が広く罰則も個人情報保護法に比べ厳しい
  • EUをターゲットにしているサイトは適用される可能性が高い

サービス規約

Googleアナリティクス、Googleアドセンス、Amazonアソシエイトはプライバシーポリシーに規約で必要とされる内容を記載する必要がある。規約に従わない場合はサービスが利用できなくなる可能性があるため利用者はかならず対応しなければならない。

関連するサービス
  • Googleアナリティクス
  • Googleアドセンス
  • Amazonアソシエイト
  • その他アフィリエイト

Googleアナリティクス

Googleアナリティクス利用規約で個人情報の取り扱いについて公表することが義務付けられている。内容は個人情報保護法の「個人情報の利用目的を取得前に具体的に通知」に対応するものとなっている。

お客様はプライバシー ポリシーを公開し、そのプライバシー ポリシーで、お客様がデータ収集のために Cookie を使用していることを必ず通知するものとします。また、Google アナリティクスを使用していること、および Google アナリティクスでデータが収集、処理される仕組みについても必ず開示するものとします。
引用:Terms of Service | Google Analytics – Google

Googleアドセンス

アドセンス利用者は広告配信とCookieについて公表することが義務付けられている。個人情報保護法ではCookieは対象外だが利用者は規約に沿ってプライバシーポリシーを作成する必要がある。

プライバシー ポリシーには次の情報を記載する必要があります。

  • Google などの第三者配信事業者が Cookie を使用して、ユーザーがそのウェブサイトや他のウェブサイトに過去にアクセスした際の情報に基づいて広告を配信すること。
  • Google が広告 Cookie を使用することにより、ユーザーがそのサイトや他のサイトにアクセスした際の情報に基づいて、Google やそのパートナーが適切な広告をユーザーに表示できること。
  • ユーザーは、広告設定でパーソナライズ広告を無効にできること(または、www.aboutads.info にアクセスすれば、パーソナライズ広告に使われる第三者配信事業者の Cookie を無効にできること)。

引用:必須コンテンツ – AdSense ヘルプ

Amazonアソシエイト

Amazonアソシエイトでは参加者であることを明示する必要がある。アカウント停止の可能性もあるので利用者は必ずこの文言を明記する。

乙は、乙のサイト上または甲がアソシエイト・プログラム・コンテンツの表示を許可した他の場所のどこかに 「Amazon.co.jpアソシエイト」または「[乙の名称を挿入]は、Amazon.co.jpを宣伝しリンクすることによってサイトが紹介料を獲得できる手段を提供することを目的に設定されたアフィリエイトプログラムである、Amazonアソシエイト・プログラムの参加者です。」の文言を表示しなければなりません。甲は、この文言を適時変更することがあります。
引用:アソシエイト・セントラル – Amazonアソシエイト・プログラム運営規約

その他アフィリエイト

楽天アフィリエイトやA8などの利用規約を確認したが参加表明を義務付けるような文言は見つからなかった。アフィリエイトのリンクが個人情報保護法の対象になる個人情報を収集していないのであれば法律的に記載する必要はない。ただしアフィリエイトの利用を明記しておいた方が信頼性は高くなるだろう。

各サービスの規約で参加表明の明記が義務付けられている場合は利用停止になる可能性があるためかならず対応する。Googleアナリティクスは基本的に必須のサービスなのでサイトを作成したら必ずプライバシーポリシーを作成する。

ポイント
  • Googleアナリティクス、Googleアドセンス、Amazonアソシエイトはプライバシーポリシーに決められた内容を明記する必要がある
  • その他アフィリエイトサイトは規約で参加表明を義務付けていないがサイトの信頼性を考え明記しておいた方がよい
  • Googleアナリティクスはサイト運営に必要なのでプライバシーポリシーは基本的に必須と考えてよい

信頼性

個人的な意見であるがプライバシーポリシーがいい加減(もしくはない)サイトは信頼性に欠ける。法律等をある程度理解しプライバシーポリシーを作成した方がサイトの信頼性が上がるはずである。長く運営するなら面倒でもちゃんと作成しておいた方がよい。

個人情報の取り扱い

個人情報保護法ではIPアドレスを個人情報として扱わない可能性が高いが取得していることを表明しそれがユーザーにとって不利益にならないことをうたっておけばユーザーからの信頼度が上がるはずである。

アフィリエイトへの参加表明

GoogleアドセンスとAmazonアソシエイト以外のアフィリエイトは参加表明を義務付けていない。わざわざ「アフィリエイトやってます」書く必要があるだろうか?アフィリエイトをやっていることがわかってユーザーの印象が悪くなる可能性もあるが個人的には後ろめたい気持ちが無いのであれば参加表明した方が最終的に信頼を勝ち取ることができると思う。儲かるからといって価値の無いサービスや商品を紹介するとユーザーからいつか見放されるだろう。

法律や規約への意識

大企業だと法務部門があったり情報公開までに何十ものチェックが入るのでやらかす可能性が非常に低くなる。筆者も解釈の難しいライセンスは法務部門に相談していた。リスクが大きいためか大きな会社では法律やライセンスについてかなり意識が高い。

小規模や個人の場合第三者のチェックや専門家へ相談することができない。個人運営などでは手が回らないこと思うがリスク軽減と信頼性獲得のためにも法律やライセンスへの意識を高めておいた方がいいだろう。

個人情報の対象

個人情報保護法では個人情報の定義があいまいでメールアドレス、Cookie、IPアドレスについて明記されていない。個人情報保護法と違いGDPRではこれらの情報を明確に定義している。国際化サイトであればより厳格なGDPRを基準にする必要がある。


*1:メールアドレスの内容から個人が特定できるような場合に対象となる。

個人情報保護法

ざっくり言うと個人情報とは個人を容易に特定できるような情報である。

第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
引用:個人情報保護法の基本 – 個人情報保護委員会事務局

具体的な内容ではマイナンバーなども対象になる。

「個人識別符号」は以下①②のいずれかに該当するものであり、政令・規則で個別に指定される。
① 身体の一部の特徴を電子計算機のために変換した符号
⇒DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋
② サービス利用や書類において対象者ごとに割り振られる符号
⇒公的な番号
旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証等
引用:個人情報保護法の基本 – 個人情報保護委員会事務局

メールアドレス

メールアドレスは条件によって個人情報に該当する場合がある。取得前に判断するのは難しいのでメールアドレスは実質個人情報と考えてよさそうだ。

メールアドレスには、個人情報に該当するものとしないものがあります。記号を羅列したもの(例えば「0123ABCD@soumu.go.jp」)のように、それだけでは特定の個人を識別できない場合には、個人情報には該当しません。しかし、特定の個人の氏名を記載したもの(例えば「〔氏名のローマ字記述〕@soumu.go.jp」)のように、特定の個人を識別できる場合には、個人情報に該当します。
なお、保護法では、「他の情報と照合することができ、それにより特定の個人を識別できることとなるもの」(第2条第2項)も個人情報としています。このため、記号を羅列したメールアドレスであったとしても、例えば、それがある省のある職員のメールアドレスであって、当該省の職員であれば職員名簿等により誰のメールアドレスなのか分かるような場合には、そのようなメールアドレスは、個人情報であるといえます。
引用:総務省|行政機関・独立行政法人等における個人情報の保護|<3 個人情報の該当性>

IPアドレス

他サイトの解説を見るとIPアドレスは対象外の可能性が高い。しかしIPアドレスもアクセス時間などが分ればISPのログから個人が特定できてしまう。個人的にIPアドレスも個人情報として取り扱った方が無難だと思う。

詳細は、委員会規則に定められることになりますが、「2)個人特定性の高いID」に何が該当するのか、関心を集めることになりました。顧客番号、従業員番号、携帯電話番号、機器の個体識別番号、IPアドレスなどがこれに該当するのか?というポイントです。
結論から言うと、「2)個人特定性の高いID」は行政機関が発行したIDのみが該当することになりました。つまり、民間が発行した顧客番号などは該当しません。多くの事業者は、委員会規則が発表されたときに、胸をなでおろしたことと思います。
引用:個人情報保護法改正のポイント | インターネットプライバシー研究所

では、IPアドレスは、日本において、個人情報になるのでしょうか?IPアドレスは、それ自体では、直ちに個人を特定できるものとはいえないので、個人情報保護法にいう「個人情報」とはいえないでしょう。また、IPアドレス自体は、「個人識別符号」にもなっていません。
引用:EU司法裁判所がIPアドレスは個人情報と判断!日本の個人情報保護法はどうなっているの? | IT法務や仮想通貨、ICO、AIの法律に詳しい弁護士|中野秀俊

Cookie

IPアドレス同様にこれだけでは個人の特定につながらないので対象外の可能性が高い。

ポイント
  • メールアドレスは条件によって個人情報になるが個人情報と思っていい
  • IPアドレスは個人情報にならない可能性が高い
  • Cookieは個人情報にならない可能性が高い

GDPR

個人情報保護法と違い個人情報の定義されるに内容が多い。特にIPアドレスやクッキーは個人情報保護法と違い明確に定義されている。

個人データ(例)
・氏名
・識別番号
・所在地データ
・メールアドレス
・オンライン識別子(IPアドレス、クッキー)
・クレジットカード情報
・パスポート情報
・身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
引用:EU一般データ保護規則(GDPR)の概要(前編) | NTTデータ先端技術株式会社

このサイトに個人情報保護法とGDPRの違いがまとめられていた。GDPRの場合は個人情報の取得に明確な同意が必要になる。プライバシーポリシーで個人情報の取り扱いについて公表するだけでは許されない。

GDPRとは、EUで定められた新しい個人情報保護の取り組みで、個人データの処理と移転に関するルールです。日本の個人情報保護法よりも厳格なルールが定められており、IPアドレスやIDFA、ADIDといったこれまで個人を特定する情報とみなされていなかった端末識別子が個人情報として取り扱われ、そのデータを利用する際はユーザーから明確な同意を得る必要があるなど、厳格な管理体制が必要となります。
引用:GDPRとは?日本の個人情報保護法との違いは?いまさら聞けない「GDPR」解説 #Web広告研究会セミナーレポート | SuperMagazine

どうやら最近見かけるようになったクッキーの同意はこれが原因のようだ。

最近になり、WebサイトにアクセスするとCookieの利用についてポップアップで警告があらわれたり、同意が求められるケースが増えたと感じています。日本ではそれほど目立ちませんが、欧州のWebサイトでは顕著です。あるメーカーでは、日本語での表示ではポップアップは現れないのに、言語をフランス語に変えるとCookieの利用に対して同意が求められます。
引用:いよいよ明日施行!欧州GDPR:「Cookie」のBefore/Afterで考える5つのポイント | Oracle 日本

ポイント
  • IPアドレスやCookieなど個人情報が明確に定義されている
  • GDPRではCookieの利用に明確な同意が必要となる

対象サイト

法人や大規模サイトはリスクを考え法務部門や専門家に相談して対応した方がよいだろう。小規模や個人サイトの場合は法律の目的を理解し対応する必要がある。


*1:事業ではない個人ブログなどは対象外となる。
*2:規約ではすべてのサイトを対象としているが国内向けサイトは適用されない可能性が高い。
*3:サービス利用者は各サービス規約に決められた内容を明記する必要がある。

法律

開業届を出していない個人ブログの場合は対象外になる可能性が高い。日本語の国内向けサイトであればGDPRもそこまで心配はいらないだろう。事業者でない個人ブログの場合でも長期継続するのであればリスクを考え法律を理解し対応しておいた方がよい。

個人情報保護法

個人情報を取り扱うすべての事業者が対象となる。

しかし、法改正によりこの規定は廃止され、個人情報を取り扱う「すべての事業者」に個人情報保護法が適用されることとなりました。取り扱う個人情報の数に関わらず、例えば、紙やデータで名簿を管理されている事業者は、すべて「個人情報取扱事業者」となり、法の対象になります。
引用:個人情報保護法ハンドブック – 個人情報保護委員会

個人ブログや趣味のブログでも個人情報を取り扱ったら対象となるのだろうか?「すべての事業者」とあるので事業者でなければ「個人」なので対象外になるのだろうか?そもそも事業者ってなに?

事業者(じぎょうしゃ)とは、事業をおこなうもの。日本の国税法令等での「事業者」とは、個人事業者(個人事業主, 事業を行う個人)と法人や団体を指し、事業とは、同種の行為を反復、継続、独立して行うこと、としている。単に業者(ぎょうしゃ)ともいう。
引用:事業者 – Wikipedia

開業届を出して事業者と認められたら対象になりそうだが個人ブログでは事業者と認められない可能性が高い。趣味や片手間でやっているブログなどであれば事業者でないので個人情報保護法の対象から外れる。

事業所得であるかどうかは「独立性」「営利性・有償性」「反復性・継続性」といったことなどから総合的に判断するのですが、たんに給与所得者が片手間でやっている商売は、雑所得とされる可能性があります。
引用:売上がいくらになったら青色申告したらいい? 税理士さんに聞いてみた|スモビバ!

ポイント
  • 事業者が対象で開業届を出していない個人は対象外である
  • 反復・継続などの条件を満たしていないと事業者として認められない
  • 対象者でない個人サイトでもプライバシーポリシーはあった方がよい

対象者ではないとしても信頼性を考え個人情報の取り扱いについてプライバシーポリシーに明記しておいた方がいいと思う。コメントや問い合わせで使用されるメールアドレスが個人情報になる可能性があるため対応することをおすすめする。

GDPR

基本的に日本語の国内向けの個人ブログであってもGDPRの対象となる。ただし他サイトを見るとそこまで厳格に対応する必要はなさそう。

建前では国内向けサイトもGDPRの対象となるが本音は対象外。

この疑問への見解も、「対象となる。但し、現実的には制裁の対象となるとは考えにくい。」だ。GDPRではその個人データの主体(個人情報が指し示す人)の国籍や居住地を定義はしておらず、あくまでもEU圏内の個人データの取扱いに関する規則であり、EU圏内で活動する法人に対しての規則とも言えるからだ。(このあたりがEU圏内向けと感じる部分である) よって、旅行者であれ、だれであれ、EU圏内で取得された個人データであればGDPRの対象となる。が、前述の通り、事業者側の対象がEU圏外であれば現実的に対象とはなりにくいだろう。
引用:GDPR具体的考察 | デジタルマーケティングジャーナル

100%ではないがに日本国内向けサイトは対象外になる可能性が高い。

EU以外の国を拠点に日本語でブログを運営していて、海外情報などはまったく載せておらず、日本国内だけをターゲットにしているブログは、GDPRの適用範囲外となる可能性が高そうです。
引用:個人ブログのGDPR対策ガイド | TokoAruga.com

GDPRの規約的にはすべてのサイトが対象となるがこれは建前だろう。

残念ながらグローバルIPの遮断によってGDPR適用が免除されるという条文はGDPRのどこにもありません。たとえば欧州在住の人がVPNで米国のサーバ経由であなたのブログにアクセスしてもGDPRは適用されます。GDPRが国籍や普段の居住地を問わず、出張や旅行でEEA域内に物理的に存在してもGDPR適用対象のデータ主体とみなしているためです。物理的にEEA域内に存在すればGDPR上の欧州個人となります。したがってグローバルIPやGoogle Analyticsのフィルタで、EEA域内からのアクセスを遮断しても、GDPR適用外だと主張することはできません。
引用:GDPRがわかりにくい!個人サイトはどう対応すべき?僕はとりあえずこの方法で!

法人や大規模サイトは対応を検討した方がいいが小規模や個人はそこまで対応する必要はなさそう。個人ブログ的にはコストが見合えばネタとして対応するのもアリかもしれない。

ポイント
  • 規約上はすべてのWebサイトがGDPRの対象になる可能性がある
  • 実際は日本語の日本国内向けサイトであればGDPRの対象外である可能性が高い
  • 国内サイトであってもEU圏をターゲットにしている場合は対応が必要となる

サービスの規約

以下の3つのサービスを利用している場合は利用規約で決められた内容をプライバシーポリシーに明記する必要がある。

プライバシーポリシーの設置が必要なサービス
  • Googleアナリティクス
  • Googleアドセンス
  • Amazonアソシエイト

サイトの信頼性

サイトの信頼性を上げるためにもプライバシーポリシーで個人情報の扱いを明記しておいた方がよいと思う。

個人情報の取り扱い

事業者でない場合は個人情報の取り扱いについて明記する必要はないがユーザーの信頼度が上がるのであった方がよい。

アフィリエイトの参加表明

アフィエイエイトを知らない人にはこれを書いても意味はなさそう。ただしアフィリエイトを知っている人には正直に言った方が印象は良くなるだろう。

法律や規約への意識

法人や大規模サイトのほとんどがプライバシーポリシーをがっつり書いてある。個人サイトでも同様のボリュームで記載できるので信頼獲得のためにもやっておいた方がいいだろう。

プライバシーポリシーの書き方

法律や規約を引用しながら本サイトのプライバシーポリシーを紹介する。

個人情報保護法

条文に沿ってプライバシーポリシーに必要な情報をまとめた。

利用目的の特定

取得する個人情報の利用目的をできる限り具体的にして公表しなければならない。

第十五条
1.個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
~中略~
(利用目的による制限)

個人情報保護法では氏名とメールアドレスが個人情報に該当する。

取得情報 個人情報保護法 GDPR
氏名
メールアドレス △*1
IPアドレス ×
Cookie ×

ブログでよく使うサービスだと対象になるのはWordPressのコメントと問い合わせフォームである。

サービス 氏名 メールアドレス IPアドレス Cookie
Googleアナリティクス × × ×
Googleアドセンス × × ×
Amazonアソシエイト × × ×
楽天アフィリエイト × × ×
その他アフィリエイト × × ×
WordPressコメント
WordPress問い合わせ × ×

〇:あり、△:条件付きであり、×:なし

対象はコメントと問い合わせで取得した氏名とメールアドレスで利用目的は以下の通り。

サービス 氏名 メールアドレス
WordPressコメント コメントと共にサイトに公開される。 サイトに公開されることはない。連絡が必要な場合に使用する場合がある。
WordPress問い合わせ 連絡が必要な場合に使用する場合がある。 連絡が必要な場合に使用する場合がある。

問い合わせの回答にしか使っていない。

記入例

取得した個人情報は必要がある場合に限り問い合わせの回答で利用いたします。
引用:プライバシーポリシー | ゼロからBLOG

利用目的の制限

公表した利用目的を超えて個人情報を使ってはいけない。

第十六条
1.個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
~中略~
(適正な取得)

利用目的以外に使うことはないと思うが一応宣言しておく。

記入例

本人の同意が無い限りこの目的以外で利用することはありません。
引用:プライバシーポリシー | ゼロからBLOG

適正な取得

ユーザーをだまして個人情報を取得してはならない。

第十七条
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
(取得に際しての利用目的の通知等)

そんな悪意は微塵もないのだが・・・。

取得に際しての利用目的の通知

個人情報の取り扱いについてをサイト内で公表しなければならない(直接本人との同意を得ない場合)。変更があった場合もその旨を公表する必要がある。

第十八条
1.個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
~中略~
3.個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
~中略~
(データ内容の正確性の確保)

プライバシーポリシーのリンクをサイトの分かりやすい場所に配置することで対応する。

変更についてはその旨をプライバシーポリシーに明記しておく。

記入例

プライバシーポリシーの内容は適時見直しを行い改訂することがあります。

制定日:2018年7月15日
改訂日:2019年6月7日

引用:プライバシーポリシー | ゼロからBLOG

苦情の処理

問い合わせの回答でしか使わないので苦情はないと思うが・・・。

第三十一条
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
(報告の徴収)

問い合わせフォームを設置しているのでとりあえずそれでよしとする。

個人情報の管理

情報漏洩しないように注意しなさい。

第二十条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
(従業者の監督)

あたりまえのことだと思うがセキュリティ意識がある旨を明記しておく。

記入例

個人情報の漏洩を防止するためにセキュリティ対策を実施しています。
常にシステムを最新状態に保ちセキュリティソフトをすべての端末に導入しています。
引用:プライバシーポリシー | ゼロからBLOG

第三者への提供

本人の同意なしに個人情報を第三者に提供してはならない。

第二十三条
1.個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一  法令に基づく場合
二  人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三  公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四  国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

ざっくり以下のようにまとめた。

記入例

取得した個人情報を第三者に提供することはありません。
ただし法令により許された場合を除きます。
引用:プライバシーポリシー | ゼロからBLOG

訂正請求

個人情報の訂正を依頼されたら対応しないといけない。

第二十六条
1.個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
2.個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。
(利用停止等)

問い合わせフォームで対応するよう以下の文言を記載した。

記入例

個人情報の訂正や消去が必要な場合は問い合わせフォームにてご連絡ください。
本人確認が取れた場合に限り対応します。
引用:プライバシーポリシー | ゼロからBLOG

GDPR

日本語で日本国内に向けたサイトであれば対応しなくてもいいだろう。

GDPRについて何も書かなくてもいいかと思ったが以下のサイトで上手いこと書いてあったので参考にさせていただいた。

参考記事のタイトルとURLを入力してください
記入例

本サイトは日本国内の居住者を対象としておりEU圏内の居住者を対象としていません。
引用:プライバシーポリシー | ゼロからBLOG

掲載される広告について

必須ではないが使用している広告すべてについて明記する。GoogleアドセンスとAmazonアソシエイトは利用規約に沿って対応する。

記入例

当サイトでは以下の第三者配信広告サービスを利用しています。

  • Googleアドセンス
  • Amazonアソシエイト
  • 楽天アフィリエイト
  • アフィリエイトA8.net
  • バリューコマース アフィリエイト
  • リンクシェア

これらのサービスはユーザーに適切な広告を表示するためおよび広告のクリックを確認するためにCookieを使用することがあります。Cookieに氏名、住所、メールアドレスなどの個人情報は含まれません。
引用:プライバシーポリシー | ゼロからBLOG

Googleアドセンス

ポイントは以下の二つ。その旨がプライバシーポリシーに記載されていれば問題ないだろう。

ポイント
  • Googleアドセンスで取得する個人情報の目的を具体的に明記する
  • パーソナライズ広告を無効にできること

以下はGoogleアドセンス規約の引用である。なぜか話が重複してわかりにくいがざっくり言えば利用目的明示と広告の無効化についてである。

プライバシー ポリシーには次の情報を記載する必要があります。

  • Google などの第三者配信事業者が Cookie を使用して、ユーザーがそのウェブサイトや他のウェブサイトに過去にアクセスした際の情報に基づいて広告を配信すること。
  • Google が広告 Cookie を使用することにより、ユーザーがそのサイトや他のサイトにアクセスした際の情報に基づいて、Google やそのパートナーが適切な広告をユーザーに表示できること。
  • ユーザーは、広告設定でパーソナライズ広告を無効にできること(または、www.aboutads.info にアクセスすれば、パーソナライズ広告に使われる第三者配信事業者の Cookie を無効にできること)。

第三者配信による広告掲載を無効にしていない場合、広告の配信時に第三者配信事業者や広告ネットワークの Cookie が使用される可能性があります。その点についても、次の方法でサイトのプライバシー ポリシーに明示してください。

  • 第三者配信事業者や広告ネットワークの配信する広告がサイトに掲載されることを明記します。
  • 対象となる第三者配信事業者や広告ネットワークの適切なウェブサイトへのリンクを掲載します。
  • これらのウェブサイトにアクセスすれば、パーソナライズド広告の掲載で使用される Cookie を無効にできることをユーザーに明示します(配信事業者や広告ネットワークがこの機能を提供している場合)。または、www.aboutads.info にアクセスすれば、第三者配信事業者がパーソナライズド広告の掲載で使用する Cookie を無効にできることを知らせます。

引用:必須コンテンツ – AdSense ヘルプ

パーソナライズ広告の停止やCookieの利用停止はリンクがあった方がいいだろう。

ポイント
  • Cookieを使用して広告を配信している
  • Cookieを使うことでユーザーに適切な広告を表示している
  • ユーザーはパーソナライズ広告を無効にできる
  • またはCookieを無効にできる

以下は本サイトのプライバシーポリシーである。こちらも最低限の内容にしてある。

記入例

当サイトではGoogle AdSenseを利用しています。Google AdSenseでは、Cookieを使用してユーザーに合わせた広告を表示しています。
Cookieを無効にすることも可能です。無効にする方法についてはこちらをご参照ください。
引用:プライバシーポリシー | ゼロからBLOG

Amazonアソシエイト

規約では決められた文言をサイトに表示すればよいとなっている。内部でCookieを使用しているがその旨は記載する必要はない。ただしGDPRに対応するならCookieの使用を明記しなくてはならない。

乙は、乙のサイト上または甲がアソシエイト・プログラム・コンテンツの表示を許可した他の場所のどこかに 「Amazon.co.jpアソシエイト」または「[乙の名称を挿入]は、Amazon.co.jpを宣伝しリンクすることによってサイトが紹介料を獲得できる手段を提供することを目的に設定されたアフィリエイトプログラムである、Amazonアソシエイト・プログラムの参加者です。」の文言を表示しなければなりません。甲は、この文言を適時変更することがあります。
引用:アソシエイト・セントラル – Amazonアソシエイト・プログラム運営規約

決まった文言を入れるだけなので特に難しいことはないだろう。

記入例

本ブログは、Amazon.co.jpを宣伝しリンクすることによってサイトが紹介料を獲得できる手段を提供することを目的に設定されたアフィリエイトプログラムである、Amazonアソシエイト・プログラムの参加者です。
引用:プライバシーポリシー | ゼロからBLOG

Googleアナリティクス

アナリティクスで使うのはCookieで収集する情報も個人を特定できるものは含まれない。Cookieは個人情報保護法の個人情報に該当しない可能性が高いがアナリティクスの規約に従い決められた内容を明記する。

お客様はプライバシー ポリシーを公開し、そのプライバシー ポリシーで、お客様がデータ収集のために Cookie を使用していることを必ず通知するものとします。また、Google アナリティクスを使用していること、および Google アナリティクスでデータが収集、処理される仕組みについても必ず開示するものとします。この情報の開示は、「ユーザーが Google パートナーのサイトやアプリを使用する際の Google によるデータ使用」のページ(www.google.com/intl/ja/policies/privacy/partners/ や、Google が随時提供するその他の URL)へのリンクを目立つように表示することで実施可能です。
引用:Terms of Service | Google Analytics – Google

ポイント
  • 利用者はアナリティクスを利用していることを明記
  • データを収集処理する仕組みを必ず開示
  • データ収集処理についてはリンクの明記でもよい

以下は本サイトのプライバシーポリシーである。データ収集の仕組みはリンクにしており最低限の内容で規約を遵守している。コピペか同様の文言を記載すれば問題ないだろう。

記入例

当サイトでは「Googleアナリティクス」を利用しています。Googleアナリティクスはデータ収集のためにCookieを使用しています。データが収集、処理される仕組みについてはポリシーと規約を参照してください。詳細についてはGoogle アナリティクス利用規約を参照してください。
引用:プライバシーポリシー | ゼロからBLOG

コメントについて

WordPressのコメントや問い合わせフォームで個人情報が入力されるためその旨を明記する。コメント欄の氏名とメールアドレスが個人情報となる。

収集する個人情報
  • 氏名
  • メールアドレス
  • IPアドレス
記入例

コメントでは氏名、メールアドレス、IPアドレスの個人情報を取得します。コメントは承認制となっており承認されると一般公開されます。著作権違反、誹謗中傷、公序良俗に反するなどの不適切なコメントは非公開になります。悪質なコメントについてはIPアドレスを基にサイバー警察に通報することがあります。
コメントではメールアドレスと名前の再入力を省略するためにCookieを利用することができます。利用したい場合にはコメントフォームの下にある「次回のコメントで使用するためブラウザーに自分の名前、メールアドレス、サイトを保存する。」にチェックを入れてください。
コメントの変更および削除したい場合は問い合わせフォームにてご連絡ください。本人確認が取れた場合に限り対応させていただきます。
コメントに引用が含まれる場合その部分をblockquote(引用タグ)で囲う場合があります。
引用:プライバシーポリシー | ゼロからBLOG

本サイトではコメントを承認制にしているのでその旨も記載した。

問い合わせ

問い合わせでも個人情報を取得している。

収集する個人情報
  • 氏名
  • メールアドレス

すでに利用目的に書いてるのでなくてもいいが一応いれてみた。

記入例

問い合わせでは氏名、メールアドレスの個人情報を取得します。問い合わせの回答が必要な場合に限り入力したメールアドレスに運営者から連絡させていただくことがあります。
引用:プライバシーポリシー | ゼロからBLOG

免責事項

いくつかのサイトを参考に作成した免責事項である。心配性なので気になる記事は個別に免責事項を記載している。

記入例

当サイトに掲載されている記事の内容について正しい情報を提供するように努めていますが、記事の内容およびリンク先からいかなる損失や損害などの被害が発生しても当サイトでは責任を負いかねますのでご了承ください。当サイトに掲載されているすべての情報(記事、プライバシーポリシーなど)は予告なしに変更・削除される場合がありますのでご了承ください。
引用:プライバシーポリシー | ゼロからBLOG

迷惑行為について

本サイトのネタとなっているアドセンス狩りについても明記しておく。詳しくはこちらの記事を参照。

アドセンス狩りまとめ~体験談、対策プラグイン、運用レポートなど~
記入例

本サイトへの攻撃と思われる行為があった場合IPアドレスを特定しサイバー警察へ通報することがあります。
アドセンス狩りと呼ばれる広告を執拗にクリックする行為があった場合はIPアドレスを特定しプロバイダーおよびサイバー警察へ通報することがあります。
引用:プライバシーポリシー | ゼロからBLOG

著作権について

これもいくつかのサイトを参考に作成したものである。一度パクられた記事があるかチェックしてみたい。

記入例

当サイトに掲載されるすべての情報は著作権を放棄しておりません。ただし、当サイトに掲載されている記事の引用は「引用元の明示」によって無償で引用いただけますが、必ず引用元記事へのリンクをお願いいたします。ただし、全文の転載はお断りしております。
引用:プライバシーポリシー | ゼロからBLOG

プライバシーポリシーの変更

改訂日をわかるようにした。

記入例

プライバシーポリシーの内容は適時見直しを行い改訂することがあります。

制定日:2018年7月15日
改訂日:2019年6月7日

引用:プライバシーポリシー | ゼロからBLOG

まとめ

本サイトは現時点で趣味レベルのブログであり事業と呼べるものではないため個人情報保護法の対象から外れる可能性が非常に高い。個人情報の扱いについて明記する義務はないが調べたのとサイトの信頼性をあげるためにその旨を明記した。GDPRについては対応するコストもかかるので今回は対応しなかった。

個人情報保護法 個人情報保護法の対象である事業者ではないが信頼性を上げるため個人情報の取り扱いについてプライバシーポリシーに明記した。
GDPR 日本国内向けのサイトであれば制裁を受ける可能性が非常に少ないため対応していない。効力はないがその旨をプライバシーポリシーに記載した。

掲載する広告については義務ではないが使用しているサービスすべてを記載した。その他、著作権や免責事項などプライバシーポリシーによく書かれている内容を入れている。

個人ブログで最低限の内容にしたい場合はプライバシーポリシーに以下の利用しているサービスだけ記載すればよい。

必須項目
  • Googleアナリティクス
  • Googleアドセンス
  • Amazonアソシエイト

著作権については明記しなくても保護されるのでなくてもいいだろう。トラブルを避けるためにも免責事項はあった方がいいかな。

個人ブログレベルであれば上記のサービスだけ気にすればいい。法人や大規模サイトなどリスクがある場合は専門部署や専門家に相談して対応しましょう。

本サイトのプライバシーポリシーはこちら。

プライバシーポリシー

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です