セット内容

  • プライバシーポリシー(Webサービス・アプリ向け)Word形式+HTML貼り付け用テキスト
  • 逐条解説(自社サービスに合わせた書き換えポイント)
  • 外部送信規律(電気通信事業法)対応の記載例

こんな場面で

Webサービス・アプリのローンチ時、個人情報の取得項目や委託先が変わったときの改定時。

特長

  • 利用目的・第三者提供・委託・開示請求対応など個人情報保護法の必須項目を網羅
  • アクセス解析・広告ツールの利用を想定したCookie等の記載例
  • 改正法対応のアップデート版を継続提供予定
以下はAIが作成し弁護士監修前のβ版である。一般的な参考情報として無料公開しており、個別事案への適合性は保証しない。重要な取引に使用する際は専門家によるレビューを受けること。監修完了後に正式版へ差し替える。

プライバシーポリシー(Webサービス向け)標準版(監修用ドラフト)

⚠ 本ファイルは弁護士監修前の草稿である。監修完了まで販売・配布を禁止する。

商品ID: privacy-policy-web / 価格: 1,980円 / 立場バージョン: 事業者(サービス提供者)

本ドラフトは、Webサービスを提供する事業者が個人情報保護法(以下「個情法」という。)及び電気通信事業法上の外部送信規律への対応を組み込んで作成するプライバシーポリシーの標準版である。第2部では、BtoC会員制サービスとBtoB SaaS(法人契約・従業員情報を扱う場合)の違いに応じた修正パターンを提示する。


第1部: 契約書本文(標準版)

プライバシーポリシー

〇〇〇〇株式会社(以下「当社」という。)は、当社が提供するサービス「〇〇〇〇」(以下「本サービス」という。)における利用者の個人情報の取扱いについて、以下のとおりプライバシーポリシー(以下「本ポリシー」という。)を定める。

第1条(個人情報の定義)

本ポリシーにおいて「個人情報」とは、個人情報保護法第2条第1項に定める個人情報をいい、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

第2条(取得する個人情報及び取得方法)

  1. 当社は、本サービスの提供にあたり、次の各号に掲げる個人情報を取得することがある。 (1)氏名、メールアドレス、電話番号、住所等の登録情報 (2)本サービスの利用履歴、閲覧履歴、検索履歴、購買履歴等の利用状況に関する情報 (3)IPアドレス、Cookie識別子、端末情報等の技術的情報 (4)決済に必要な情報(クレジットカード情報については決済代行事業者を通じて取得し、当社では保持しない。) (5)お問い合わせ、アンケート等を通じて利用者が任意に提供する情報
  2. 当社は、要配慮個人情報(個情法第2条第3項に定めるものをいう。)については、法令に定める場合を除き、本人の同意を得ることなく取得しない。

第3条(利用目的)

当社は、取得した個人情報を次の各号の目的の範囲内で利用する。

(1)本サービスの提供、維持、保護及び改善のため (2)利用者からのお問い合わせ対応のため (3)本サービスに関する登録の受付、利用者の本人確認、認証のため (4)利用料金の請求、決済処理のため (5)本サービスの新機能、更新情報、キャンペーン等の案内のため(利用者が案内の受領を希望しない場合は、所定の方法により停止できる。) (6)本サービスの利用状況の調査、データ分析、マーケティングのため(統計的に加工し、個人を識別できない形式に加工した上で利用する場合を含む。) (7)不正利用の防止、利用規約違反への対応のため (8)本ポリシーの変更等の通知のため (9)その他、上記の利用目的に付随する目的のため

第4条(利用目的の変更)

当社は、利用目的が変更前と関連性を有すると合理的に認められる範囲において、個人情報の利用目的を変更することがある。利用目的を変更した場合は、変更後の目的について、本ポリシーの改定により利用者に通知し、又は当社ウェブサイト上に公表する。

第5条(個人データの第三者提供)

  1. 当社は、次の各号に掲げる場合を除き、あらかじめ利用者の同意を得ることなく、第三者に個人データ(個情法第16条第3項に定めるものをいう。)を提供しない。 (1)法令に基づく場合 (2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき (3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき (4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
  2. 前項の規定にかかわらず、次の各号に該当する場合は、当該個人データの提供先は第三者に該当しないものとする。 (1)利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合 (2)合併その他の事由による事業の承継に伴って個人データが提供される場合 (3)特定の者との間で共同して利用される個人データが、共同して利用される者の範囲、共同して利用する者の利用目的、当該個人データの管理について責任を有する者の氏名又は名称等について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置いている場合
  3. 当社は、法令に定める要件を満たす場合、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること(オプトアウト)を条件に、あらかじめ個人情報保護委員会に必要事項を届け出た上で、本人の同意によらずに第三者に個人データを提供することがある。この場合、当社は当社ウェブサイト上に必要事項を公表する。

第6条(外部送信規律への対応)

  1. 当社は、本サービスの提供にあたり、アクセス解析、広告配信等の目的で、Cookie、タグその他の方法により、利用者の端末に関する情報を外部の事業者に送信することがある。
  2. 前項の情報送信について、当社は電気通信事業法第27条の12の規定に基づき、送信される情報の内容、送信先の事業者、利用目的等を本ポリシー又は別途定める外部送信の通知・公表用ページにおいて明示するものとする。
  3. 利用者は、ブラウザの設定等により、Cookieの取得を拒否することができる。ただし、その場合、本サービスの一部の機能が利用できなくなることがある。

第7条(アクセス解析ツール及び広告配信)

  1. 当社は、本サービスの利用状況を把握するため、アクセス解析ツールを利用することがある。当該ツールはCookieを利用して情報を収集するが、氏名、電話番号等の個人を特定する情報は含まれない。
  2. 当社は、利用者の興味関心に応じた広告を配信するため、第三者配信の広告サービス(アドネットワーク等)を利用することがある。当該広告配信事業者は、当社が発行するCookie又は当該事業者が発行するCookieを使用して、利用者の当社サイト及び他のサイトへのアクセス情報に基づき広告を配信する。
  3. 利用者は、広告配信事業者のオプトアウトページ等を通じて、行動ターゲティング広告の配信停止を希望することができる。

第8条(個人データの安全管理措置)

当社は、取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために、組織的、人的、物理的及び技術的安全管理措置を講じるものとする。当社は、個人データの取扱いを委託する場合には、委託先に対する必要かつ適切な監督を行う。

第9条(保有個人データに関する事項の公表等)

当社は、個情法第32条の規定に基づき、保有個人データに関し、次の事項を本ポリシーにおいて明らかにする。

(1)当社の名称及び住所、代表者の氏名 (2)全ての保有個人データの利用目的(本ポリシー第3条のとおり) (3)保有個人データの利用目的の通知、開示、訂正等、利用停止等、第三者提供の停止の求めに応じる手続(次条のとおり)及び手数料の額(定める場合) (4)保有個人データの取扱いに関する苦情の申出先(次々条のとおり) (5)当社が加入する認定個人情報保護団体がある場合はその名称及び苦情の解決の申出先

第10条(開示等の請求手続)

  1. 当社は、本人から、個情法の定めに基づき、保有個人データの利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止若しくは消去又は第三者への提供の停止(以下「開示等」という。)を求められたときは、本人からの請求であることを確認の上、法令に従い遅滞なく対応する。
  2. 前項の請求は、当社が別途定める窓口(次条のお問い合わせ窓口)宛に、当社所定の方法により行うものとする。
  3. 当社は、開示等の請求に応じる場合、法令に定める範囲で相当の手数料を徴収することがある。

第11条(未成年者の個人情報)

未成年者が本サービスを利用し個人情報を提供する場合には、あらかじめ親権者等法定代理人の同意を得た上で利用するよう求めるものとする。当社は、未成年者からの個人情報の取得であることを認識した場合、法定代理人の同意の確認その他必要な措置を講じることがある。

第12条(プライバシーポリシーの変更)

当社は、法令上利用者の同意を得ることが必要とされる場合を除き、本ポリシーを変更できるものとする。変更後のプライバシーポリシーは、当社ウェブサイトに掲示された時点又は当社が定める時点から効力を生じるものとする。

第13条(お問い合わせ窓口)

本ポリシーに関するお問い合わせ及び前2条の開示等の請求は、下記の窓口までご連絡いただきたい。

住所: 〇〇〇〇 〇〇〇〇株式会社 個人情報保護管理者(又は個人情報お問い合わせ窓口) メールアドレス: 〇〇〇〇

以上

制定日: 〇〇〇〇年〇〇月〇〇日 最終改定日: 〇〇〇〇年〇〇月〇〇日

〇〇〇〇株式会社


第2部: 業種・利用場面パターン別の修正

本ポリシーは、単一のBtoC想定サービスを基準に作成した標準版である。以下は、想定する利用場面ごとの代表的な修正パターンを提示する。想定するバリエーション軸は「A. BtoC会員制サービス/BtoB SaaS(法人契約・従業員情報を扱う場合)の違い」「B. 広告収益型メディア/課金制サービスの違い」の2軸である。

A. BtoC会員制サービスとBtoB SaaS(法人契約・従業員情報を扱う場合)の違い

A-1. 取得する個人情報の追加(第2条関連、BtoB SaaS版)

BtoB SaaS版では、契約主体である法人の担当者情報に加え、当該法人の従業員が本サービスを利用する場合の従業員情報(氏名、社内メールアドレス、所属部署、役職等)を取得する構成になることが多い。次の一文を追加することが考えられる。

「本サービスが利用契約者(法人)の従業員等による利用を予定するものである場合、当社は、利用契約者から当該従業員等の氏名、メールアドレス、所属部署等の情報の提供を受けることがある。この場合、利用契約者は、当該従業員等から必要な同意取得又は通知を行う責任を負うものとする。」

解説: BtoB SaaSでは、当社(サービス提供者)が従業員本人と直接の接点を持たないまま個人データを取得する構成になりやすく、利用契約者(法人)と当社との間の役割分担(どちらが本人への説明義務を負うか)を契約書(利用規約・データ処理委託条項等)で明確にしておくことが望ましい。

A-2. 委託・共同利用構成の明記(第5条関連)

BtoB SaaS版では、利用契約者からの提供を受けた従業員情報を「委託」として整理するか、独自の「共同利用」として整理するかにより第5条の記載を調整する必要がある。一般的には、SaaS提供事業者が法人から従業員データの取扱いを受託する構成(委託)として整理する例が多い。

「当社は、利用契約者から取扱いを委託された個人データについて、利用契約者の指示の範囲内でのみ取り扱うものとし、利用契約者の同意なく目的外利用を行わない。」

A-3. 安全管理措置の水準(第8条関連)

BtoB SaaS版では、取引先法人からの監査対応(セキュリティチェックシートへの回答等)を想定し、ISMS認証取得の有無、データセンターの所在地、第三者機関による監査の実施状況等、より詳細な安全管理措置の記載を求められることが多い。

A-4. 越境移転条項の要否

クラウドインフラを海外事業者(AWS、Google Cloud等)に依拠する場合、BtoC・BtoBいずれの版でも、個情法上の外国にある第三者への提供規制(個情法第28条)との関係で、次のような条項を検討する必要がある。

「当社は、個人データの取扱いの全部又は一部を、日本国外に所在するサーバーを利用する事業者に委託することがある。この場合、当社は、委託先が個人情報保護法が定める体制を有していることを確認の上、必要な措置を講じるものとする。」

B. 広告収益型メディアと課金制サービスの違い

B-1. 利用目的・第三者提供構成の重点(第3条・第7条関連)

広告収益型メディア版: 第7条(アクセス解析ツール及び広告配信)の記載を厚くし、利用する広告配信事業者(アドネットワーク名)を具体的に列挙する構成にすることが望ましい。また、行動ターゲティング広告のためのCookie利用について、外部送信規律(第6条)との関係で通知事項をより詳細に記載する必要がある。

課金制サービス版: 広告配信に関する記載を簡略化する一方、決済情報の取扱い(決済代行事業者の名称、当社が保持しない情報の範囲)について具体的に記載することが望ましい。

B-2. Cookie同意取得の要否

広告収益型メディア版では、第三者Cookieを用いた広告配信の比重が高いため、初回訪問時のCookie同意バナー(オプトイン取得)の実装を前提とした記載を検討することが考えられる。一方、課金制サービスで会員登録後にのみ機能する構成の場合は、利用規約への同意と一体でCookie利用の通知を行う設計でも足りる場合がある。

B-3. 統計データの利用に関する記載

広告収益型メディア版では、個人を識別できない形式に加工した統計データを広告主等の第三者に提供する場合があるため、次の一文を追加することが考えられる。

「当社は、利用者個人を識別できない形式に加工した統計データを作成し、広告主その他の提携先に提供することがある。」

C. 越境移転が本格化するケース(海外子会社・海外委託先を利用する場合)

C-1. 標準版(国内取扱いを前提)

第1部の本文をそのまま用いる。

C-2. 海外子会社・海外委託先へ個人データを継続的に移転する場合の追記

追加条文例(第5条の後に新設): 「当社は、個人データの取扱いの全部又は一部を、日本国外に所在する当社の子会社又は業務委託先に委託し、又は提供することがある。この場合、当社は、個人情報保護法第28条の規定に従い、次のいずれかの措置を講じるものとする。 (1)本人の同意を得ること (2)提供先が個人情報保護委員会規則で定める基準に適合する体制を整備していることを確認すること (3)提供先が個人情報保護法と同等の水準にあると認められる国に所在すること 前項に基づき個人データを外国にある第三者に提供する場合、当社は、提供先の所在国、当該国における個人情報保護制度の有無、提供先が講じる個人情報保護のための措置等について、本人の求めに応じて情報を提供するよう努める。」

解説: 単発的にクラウドサーバーを海外リージョンで利用する場合(第2部A-4で言及)と異なり、海外子会社への継続的な個人データの移転や、海外のBPO(ビジネス・プロセス・アウトソーシング)事業者へのカスタマーサポート業務委託等を行う場合は、個情法第28条の規制がより本格的に問題となる。提供先の国の名称や制度の有無について、本人の求めに応じた情報提供体制を整えることまで求められる点に留意し、実際の委託先・提供先の状況を踏まえて記載を調整する必要がある。

C-3. グローバル企業グループ内での共同利用構成

追加条文例: 「当社は、当社が属する企業グループ内において、グループ会社間で個人データを共同利用することがある。共同利用する項目、共同して利用する者の範囲、利用目的及び管理責任者については、当社ウェブサイトの別ページにおいて公表する。」

解説: 海外親会社・グループ会社と個人データを共有する場合、共同利用の枠組み(個情法第27条第5項第3号)を用いる例があるが、共同利用者の範囲に外国にある事業者が含まれる場合は、外国第三者提供の規制と共同利用の規制の適用関係を整理する必要があり、単純な国内グループ会社間の共同利用と同一に扱うことができない点に注意が必要である。


第3部: 逐条解説(購入者向け)

第1条(個人情報の定義) 個情法上の「個人情報」の定義を確認する条項。実務上は、氏名等の直接的な識別情報だけでなく、Cookie識別子等の情報が「他の情報と容易に照合することができ、特定の個人を識別できる」場合には個人情報に該当しうる点に留意する必要がある。

第2条(取得する個人情報及び取得方法) 取得する情報の項目を具体的に列挙する条項。実際にサービスが取得している情報と記載内容に齟齬がないよう、開発担当者へのヒアリングを踏まえて調整することが望ましい。要配慮個人情報(病歴、犯罪歴等)を取得する可能性がある場合は、本人同意取得の運用フローと整合させる必要がある。

第3条(利用目的) 個情法第17条・第21条に対応し、利用目的をできるだけ具体的に特定して公表する条項。「その他、上記の利用目的に付随する目的のため」という包括文言のみに依拠すると、後に利用目的の範囲外との指摘を受けるリスクがあるため、想定される利用目的をできる限り個別に列挙することが望ましい。

第4条(利用目的の変更) 個情法第17条第2項に対応する条項。「変更前と関連性を有すると合理的に認められる範囲」という要件があるため、全く異なる目的への変更は本条によることができず、本人の同意取得が必要になる点に留意する。

第5条(個人データの第三者提供) 個情法第27条に対応する条項。第三者提供の原則禁止と例外事由(法令に基づく場合等)、及び「第三者に該当しない場合」(委託・事業承継・共同利用)の整理は個情法実務の中核である。特に「委託」と「共同利用」は要件(本人への通知事項等)が異なるため、実際の情報の流れがどちらに該当するかを正確に見極める必要がある。第3項のオプトアウトによる第三者提供は、個人情報保護委員会への届出が効力要件となる点に注意する。

第6条(外部送信規律への対応) 2023年6月施行の改正電気通信事業法第27条の12に対応する条項である。Cookie等の識別子を用いて利用者の端末情報を外部に送信する場合、その内容を利用者に通知し、又は容易に知り得る状態に置くことが求められる。対象となるサービスの範囲(一定規模以上の電気通信事業者等)に該当するか否かは事業の性質によって異なるため、該当性の判断は個別に確認する必要がある点に留意する。

第7条(アクセス解析ツール及び広告配信) Google Analytics等のアクセス解析ツール、及びアドネットワークを利用する場合の記載例。第三者配信の広告に用いられるCookieについては、外部送信規律及び電気通信事業法上の外部送信の通知・公表事項と重複する部分があるため、第6条との整合性を保った記載とする必要がある。

第8条(個人データの安全管理措置) 個情法第23条に対応する条項。組織的・人的・物理的・技術的安全管理措置の具体的な内容(アクセス制御、暗号化、従業者への教育等)は、社内規程等の別文書に譲る構成が一般的である。

第9条(保有個人データに関する事項の公表等) 個情法第32条に対応する条項。保有個人データの定義(6か月以内に消去するものを除く、当社が開示等の権限を有するデータ)に該当する範囲を正確に把握した上で、公表事項に漏れがないようにする必要がある。

第10条(開示等の請求手続) 個情法第33条から第39条までに対応する条項。本人確認の方法(運転免許証の提示等)や手数料の要否について、実務上の運用フローと整合させる必要がある。

第11条(未成年者の個人情報) 未成年者が主要な利用者層となるサービス(教育系、ゲーム系等)では、法定代理人の同意取得フローをより具体的に記載することが望ましい。

第12条(プライバシーポリシーの変更) プライバシーポリシーの変更は、利用目的の変更を伴う場合は個情法上の制約(第4条参照)を受ける点に留意する必要がある。単なる記載の明確化にとどまる変更と、実質的な取扱いの変更とを区別して手続を検討することが望ましい。

第13条(お問い合わせ窓口) 個情法上、苦情処理の窓口を設けることが求められている点に対応する条項。個人情報保護管理者の設置は法令上の義務ではないが、実務上広く採用されている。

D. 退職・解約後のデータ保有期間の設計

D-1. 標準版(保有期間の記載なし)

第1部の本文をそのまま用いる。

D-2. サービス解約後の個人データ保有期間を明示する場合

追加条文例(第8条の後に新設): 「当社は、利用者が本サービスを退会した場合又は利用契約が終了した場合であっても、法令に基づく保存義務、会計・税務上の記録保存の必要性、不正利用防止等の目的のため、退会後〇年間、当該利用者の個人データを保有することがある。当該期間の経過後、当社は合理的な期間内に当該個人データを消去し、又は復元不可能な状態に加工する。」

解説: 個情法上、個人データの保有期間について一律の上限が定められているわけではないが、利用目的の達成に必要な範囲を超えて個人データを保有し続けることは、利用目的の特定・公表の趣旨に照らして望ましくないとされる。退会後のデータ保有期間をあらかじめ明示しておくことで、利用者に対する説明責任を果たしやすくなる。保有期間の設定にあたっては、消費者契約・特定商取引法上のクーリングオフ対応、税法上の帳簿保存義務(原則7年等)等、他の法令上の保存義務との整合を確認する必要がある。


第4部: 監修者への確認依頼事項

  1. 本サービスが電気通信事業法第27条の12(外部送信規律)の対象事業者に該当するか(対象となる電気通信役務の範囲、利用者数等の該当性判断)を確認いただきたい。該当する場合、第6条の記載及び別途の外部送信通知・公表ページの要否を確認いただきたい。
  2. 本サービスにおいて要配慮個人情報(病歴、健康診断の結果、犯罪歴等)を取得する可能性がある場合、第2条第2項の同意取得フローが個情法上十分な水準にあるか確認いただきたい。
  3. 第5条第3項のオプトアウトによる第三者提供の仕組みを実際に採用する予定がある場合、個人情報保護委員会への届出事項及び届出手続について、本ポリシーの記載内容が最新の実務に適合しているか確認いただきたい。
  4. クラウドインフラ(AWS、Google Cloud等)が海外リージョンを利用している場合、個情法第28条(外国にある第三者への提供)の規制対象となるか、第2部A-4の越境移転条項の記載で十分か確認いただきたい。
  5. 第7条の広告配信に関する記載について、実際に利用予定のアドネットワーク・アクセス解析ツールの名称を具体的に列挙する必要があるか、それとも包括的な記載で足りるか、実務上の水準を確認いただきたい。
  6. 第2部AのBtoB SaaS版において、従業員情報の取扱いを「委託」と整理する場合と「共同利用」と整理する場合とで、契約書(データ処理委託条項等)との整合性をどのように取るべきか確認いただきたい。
  7. 第9条の保有個人データに関する公表事項について、認定個人情報保護団体への加入がない場合の記載(該当箇所の削除)で問題ないか確認いただきたい。
  8. 本ポリシーの改定(第12条)について、実質的な利用目的の変更を伴う改定を行う場合の本人への通知方法(メール通知の要否、周知期間の設定等)について、実務上望ましい水準を確認いただきたい。
  9. 第2部C-2・C-3の越境移転・グローバル共同利用に関する条項について、個人情報保護法第28条の適合基準確認の実施方法や、提供先の国名・制度の情報提供義務への対応方法の記載が実務水準として十分か確認いただきたい。
  10. 第2部D-2の退会後データ保有期間の条項について、業種横断的な標準値として何年程度を例示するのが妥当か、また税法・特定商取引法等の他法令上の保存義務との整合について確認いただきたい。