(2017年10月1日公開 同年10月7日更新)
ブログを運営されている方の中には、Googleアドセンスへの申請準備等として、プライバシーポリシーの記載を検討されている方もいらっしゃるかと思います。
そこで、今回は、ブログに記載すべきプライバシーポリシーについて、文例を挙げたうえで、個人情報保護法や各種サービス規約などを参照にしつつ、あれこれ書いてみたいと思います。
なお、「プライバシーポリシーの文例だけが欲しい」という方は、その部分だけ読んでください(コピペ自由です)。Googleアドセンスの審査に通過しているので、一応、アドセンス対策としては問題ないと思います。「その理論的根拠が知りたい」というマニアックな方は、その先もどうぞ…笑 (^_^;)
ただし、以下の点にご注意ください。
- 一般的なブログを念頭に置いて作成していますが、内容として過不足のある可能性があります。
- 下記文例について法令適合性や有用性等を保証するものではありません。
- ご使用は自己責任にてお願い致します。下記文例をご使用になられたことによる一切の問題について当ブログでは責任を負いかねます。
- 2017年10月1日時点における法令を参照しています。その後の法改正等は、ご自身で調査お願いします。
- プライバシーポリシー文例
- プライバシーポリシーって義務なの?
- なぜ個人情報の定義を定めるの?
- 個人情報の利用目的とか第三者開示制限規定は不要なのでは?
- アクセス解析ツールと広告配信は何を書けばいい?
- リンク先ページについて書く必要ある?
- プライバシーポリシーの制定日と変更内容の告知は?
- おわりに
プライバシーポリシー文例
(↓↓ここから↓↓)
当ブログでは、個人情報の保護に関する諸法令を遵守し、個人情報を適正に取り扱うべく、以下のとおりプライバシーポリシーを定めております。
1. 個人情報の定義
当ブログにおいて「個人情報」とは、生存する個人に関する情報であって、以下の各号のいずれかに該当するものと定義しております。
(1) 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含みます。)
(2) 個人識別符号が含まれるもの
なお、Cookie、IPアドレス、その他端末識別番号等の情報は、特定の個人を識別しうる情報ではないため、それら単体では「個人情報」には該当しませんが、他の情報と容易に照合することができ、それにより特定の個人を識別しうる場合には、個人情報に該当するものと認識しております。
2. 個人情報の取得と利用目的
当ブログでは、ユーザー様の同意のもと、以下に掲げる利用目的を達成するために必要な範囲内で、ユーザー様のお名前、メールアドレスその他の個人情報を取得することがあります。
当ブログでは、適正且つ公正な手段を用いて個人情報を取得し、ユーザー様の同意なく、下記利用目的の範囲を超えて利用することはございません。
(1) お問い合わせに対応するため
(2) メールマガジン、その他の資料等を配信するため(※不要なら削除してください)
3. 個人情報の管理と第三者への開示制限
当ブログでは、ユーザー様の個人情報を適切に管理し、以下の各号に該当する場合を除き、あらかじめユーザー様ご本人の同意を得ることなく、第三者に開示・提供することはございません。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、ユーザー様ご本人の同意を得ることが困難であるとき
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、ユーザー様ご本人の同意を得ることが困難であるとき
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、ユーザー様ご本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
4. アクセス解析ツール
当ブログでは、Googleによるアクセス解析ツール「Googleアナリティクス」を利用しています。
Googleアナリティクスはトラフィックデータの収集のためにCookieを使用しています。このトラフィックデータは匿名で収集されており、個人を特定するものではありません。この機能は、Cookieを無効にすることで収集を拒否することが出来ますので、お使いのブラウザの設定をご確認ください。詳しくは Google アナリティクス利用規約 または Googleポリシーと規約 をご参照ください。
5. 広告配信
当ブログでは、第三者配信の広告サービスとして、Googleアドセンス、Amazonアソシエイト、A8.net を利用しています。(※使用していないものがあれば削除してください)
これらの広告配信事業者は、ユーザー様に応じた商品やサービスの広告を表示するため、Cookie、IPアドレス、位置情報又は端末識別情報等を収集又は使用することがありますが、これらの情報は、個人を特定するものではありません。この機能は、Cookieを無効にすることで収集を拒否することが出来ますので、お使いのブラウザの設定をご確認ください。
詳しくは、Googleポリシーと規約、Amazon.co.jp プライバシー規約、A8.net プライバシーについて をご参照ください。
6. プライバシーポリシーの変更
本プライバシーポリシーの内容を変更する場合、当ページにてお知らせいたします。
7. リンク先ページ
当ブログでは、他のウェブサイトへリンクを設定していることがありますが、リンク先サイトでの個人情報の取り扱いについては、当該リンク先サイトにてご自身でご確認ください。当該リンク先サイトのご利用は、ユーザー様の責任において行われるものとします。
当ブログおよび当ブログにリンクが設定されている他のウェブサイトから、ユーザー様の個人情報を用いて取得された各種情報の利用によって生じたあらゆる損害に関して、当ブログは一切の責任を負いません。
8. 個人情報に関するお問い合わせ
個人情報のお取り扱いに関するお問い合わせは こちら からお願い致します。
(お問い合わせフォームへのリンクで良いと思います)
2017年◯月◯日 制定
(↑↑ここまで↑↑)
※ 見出しタイトルやデザイン、赤文字箇所、リンクの設定等は各自でお願いいたします。
プライバシーポリシーって義務なの?
最初に結論から申し上げますと、ほとんど多くのブロガーさんにとって、プライバシーポリシーの記載は法的義務ではありません(プライバシーポリシーの記載が義務ではないというか、個人情報保護法の適用外といった方が正確ですかね)。
プライバシーポリシーを定めていないからと言って何の問題もないですし、ほとんどの方は、「Googleアドセンスを申し込むにあたって必須だから」といった目的で作成されるのだと思います。あくまでもGoogle神の規約上、そうせざるを得ないから作るのであって、本来必要のないものです。
個人情報保護法によりますと、あれこれ法的義務が課せられているのは、国、地方公共団体、そして個人情報取扱事業者です。「個人情報取扱事業者って何やねん」といいますと、法第2条第5項には「個人情報データベース等を事業の用に供している者をいう」と定義されています。
またわかんない言葉が出てきましたね。「個人情報データベース等」って何だよ、ということで、宇賀先生の「個人情報保護法の逐条解説(第5版)」を読んでみますと、
「個人情報データベース等」は、「個人情報の部分集合」である。データベースの装置、記録媒体というハードのシステムではなく、そこに体系的に記録されている個人情報の総体を意味する。分散型データベースであっても、仕様が統一され、データの共有が可能な場合は、一つの「個人情報データベース等」と解される(55頁)。
とあります。
「うーん。よくわからん」という方は、氏名とか住所が記載された顧客リストとかを想像してください。「東京在住、男性」といった検索をかけると、それに該当する個人がピックアップされるようなものが「個人情報データベース等」です。
そして、「事業の用に供する」とは、それらの個人情報データベース等を反復継続して使用することを言います。法人に限らず、個人も含まれますし、営利目的であるか、非営利目的であるかを問いません。
まあ、いずれにせよ、多くのブロガーさんは、個人情報データベース等を保有しておらず、それを事業の用に供することもないので、「個人情報取扱事業者」には該当しないと考えて頂いて差し支えないかと。
ということは、上記文例にあるような、個人情報の利用目的だとか、第三者への開示制限といった個人情報保護法上の義務はありませんし、これをプライバシーポリシーに定める必要はなく、極論を言いますと、
- アクセス解析ツールと広告配信で、私じゃないけど第三者(Google)がCookie使ってるよー。
- でもCookieを無効にすることで、それらの情報取得を拒否できるよー。
- なんかあったら問い合わせてね。
これだけで良いと思います。はい。
それなのに、個人情報の定義だとか、利用目的だとか、第三者への開示制限だとか、リンク先ページのことを書くのは何故か。単に「その方が親切丁寧だから」「ユーザーのことを配慮しているから」という理由だけではありません。私なりの根拠があります。
なぜ個人情報の定義を定めるの?
わざわざ定義しなくても、個人情報保護法第2条第1項に定めがあるため、本来不要です。法人サイトのプライバシーポリシーを見ていると、個人情報を定義していない会社さんも多い。
ただ、それでも定義した方が良いと思う理由は、2つありまして、
- 日本国内からのアクセスだけとは限らず、個人情報の法規制が異なる海外からの流入もあり得る。
- IPアドレスや端末識別番号のように、個人情報なのかどうかよく分からない情報について、ブログとしてのスタンスを示した方が良い。
この2つです。
前者の問題もさることながら、問題は後者です。IPアドレスとか、IDFAのような端末識別子・端末識別番号は、「個人情報じゃないの?」と思う人がいるかもしれません。実際のところ、EU司法裁判所は、IPアドレスを個人情報と判断していますし、日本でも、個人情報保護法の改正に当たり、IPアドレスのような特定の個人が識別される蓋然性が高いパーソナルデータについてまで、個人情報の範囲を拡大しようという動きもあったのです。
しかし、法案取りまとめの最終段階に至って、個人を識別するのみで特定しないパーソナルデータは個人情報には含まれないこととなりました(宇賀・前掲41頁)。IPアドレスや端末識別子は、「個人識別符号」の中にも含まれていません。そのため、これらの情報は個人情報には該当しません。
そこで、「IPアドレス等を取得する・されることがあるかもしれないけど、それは個人情報じゃないよ」と、ユーザーに対して明確化することによって、広告配信やアクセス解析の際のCookie使用について変な誤解を避けるという効果が見込めます(たぶん)。
個人情報の利用目的とか第三者開示制限規定は不要なのでは?
はい。確かに不要です。
何度も言うように、多くのブロガーさんは、「個人情報取扱事業者」ではないため、個人情報の利用目的の特定(法第15条)、利用目的による制限(同第16条)、個人情報の適正取得(同第17条)、利用目的の通知又は公表(同第18条)、データ内容の正確性の確保等(同第19条)、安全管理措置(同第20条)などなど、これらの義務を負うことはありません。
「じゃあ、別に書かなくてもいいじゃん」ってなりますし、大抵の場合は別に問題にならないんですが、それでも私が、利用目的と第三者開示について書いておくべきと思うのには以下の理由があります。
① せっかくプライバシーポリシーを設置するなら書こう。
なんじゃそら(笑)
まあ、体裁といいますか、プライバシーポリシーといえば、利用目的の特定・公表と、「第三者開示をしません」という決意表明。こう相場が決まっているのです。現在、プライバシーポリシーのテンプレとして広まっている文言を見ていますと、利用目的や第三者開示について書かれているものもありますが、そうではないものもあります。
見ていて、ちょっとショボーンとなると言いますか、ほんとに必要最小限のプライバシーポリシーだな、、という印象。せっかく設置するんだったら、「お、ちゃんとしたプライバシーポリシーを定めてるじゃん!」って思われるようなものにしたくないですか?ユーザーからの信頼を得るという部分も含めて。
② プライバシー権侵害の問題は残るよ。
こっちの方がむしろ重要。
個人情報保護法の適用外だからといって、個人のプライバシー権を侵害してもいいということにはなりません。「うわ、なんか変な問い合わせ来たw Twitterで拡散してやろうww」と、氏名、メールアドレスなどを開示すれば、プライバシー権の侵害として、民法上の不法行為責任が成立するおそれがあります。
ブログ運営者が取得する個人情報って、せいぜいお問い合わせの際の氏名、メールアドレスぐらいですが、大学主催の講演会に参加を申し込んだ学生の学籍番号、氏名、住所等の個人情報を、大学側が警察に開示したという事案において、最判平成15年9月12日(早稲田大学江沢民講演会事件)は、次のように判示しています。
学籍番号,氏名,住所及び電話番号は,大学が個人識別等を行うための単純な情報であって,その限りにおいては,秘匿されるべき必要性が必ずしも高いものではない。また,本件講演会に参加を申し込んだ学生であることも同断である。しかし,このような個人情報についても,本人が,自己が欲しない他者にはみだりにこれを開示されたくないと考えることは自然なことであり,そのことへの期待は保護されるべきものであるから,…本件個人情報は,上告人らのプライバシーに係る情報として法的保護の対象となるというべきである。
このようなプライバシーに係る情報は,取扱い方によっては,個人の人格的な権利利益を損なうおそれのあるものであるから,慎重に取り扱われる必要がある。本件講演会の主催者として参加者を募る際に上告人らの本件個人情報を収集した大学は,上告人らの意思に基づかずにみだりにこれを他者に開示することは許されないというべきである。本件個人情報を開示することについて上告人らの同意を得る手続を執ることなく,上告人らに無断で本件個人情報を警察に開示した同大学の行為は,上告人らが任意に提供したプライバシーに係る情報の適切な管理についての合理的な期待を裏切るものであり,上告人らのプライバシーを侵害するものとして不法行為を構成するというべきである。(下線は筆者によるもの)
まあ、要するに、氏名とか住所のような個人情報であっても、これをみだりに第三者に開示すれば、プライバシー権侵害として不法行為が成立することもありますよ、ということです。
ブログ運営者の意識の問題ですが、「そういったことはしちゃいけないんだ」という意識付けのためにも(?)、プライバシーポリシーで明記しておくべきだと思うのです。
また、ユーザーによっては、お問い合わせの際に、「個人情報の利用目的を書いていないし、第三者への開示についても書いていない。なんて非常識なサイトなんだ」と怒るかもしれません(どうだろ、居るかな?)。
そのようなトラブルを避け、「お問い合わせに対応するために個人情報を取得するんですよ」「法令によって許容されている場合を除き、本人の同意なく第三者へ開示しませんよ」というスタンスを明確にすることで、「ちゃんと個人情報を取扱っているサイトだな」という安心感を与えることにも繋がります。
(もちろん口先だけでなく、本当にちゃんと管理しましょう)
アクセス解析ツールと広告配信は何を書けばいい?
アクセス解析ツールと広告配信の文面につきましては、
こちらのはりすさんのブログ記事を参照させて頂きつつ、文言を変えさせて頂いております。ここは、Googleアドセンスの審査に通過するために必須の部分となります。
ここで書かないといけないポイントは、
- アクセス解析ツールとしてGoogleアナリティクスを使用していること。
- Googleアドセンスを使用して広告が掲載されること。
- これらのツールや広告配信において、Cookieが使用されており、トラフィックデータや、IPアドレスなどのパーソナルデータを収集していること。
- 上記情報は特定の個人を識別しうる情報ではないこと。
- Cookieを無効にすることで、これらの情報取得を拒絶できること(オプトアウト)。
といったところです。Googleの利用規約へのリンクが必須だと思えませんが、記載しておくのが無難かなーと思います。
なお、Cookieを使用して収集しているデータを「個人情報」と勘違いしているブログさんも見かけるのですが、上述のとおり、これは個人情報ではありません。というか、これを個人情報と言っちゃったらかなり問題です。お気をつけください。
リンク先ページについて書く必要ある?
うーん。これはちょっと微妙ですが、あちこち色んな外部サイトにリンクを張られている場合は、書くべきだと思います。
書いていないからといって問題というわけではないですけど、特にアフィリエイトをされている方の場合、ユーザーをリンク先に積極的に誘導しており、リンク先ページで何か問題があった際に、「お前のサイトのリンク踏んだら、とんでもないサイトに飛んだぞ。どう責任取ってくれんだよ」というクレームがないわけではないです。
あと、ブログに掲載されている画像や記事内容の著作権について、プライバシーポリシーの中に記載されている例を見かけるんですが、プライバシーポリシーというより、利用規約の中に規定する文言ですかね。プライバシーポリシーの中に記載したからといって問題というわけではないですが。。
プライバシーポリシーの制定日と変更内容の告知は?
利用規約ではよくある話ですが、こういう類の規程類は、改訂することを前提としているため、いつ、どのような変更を行ったのかを追えるようにしておくのがベストです。それによって、旧規程が適用されるのか、新規程が適用されるのかが変わってしまうからです。
また、変更する際は、どのように告知するのかも明記しておきます。上記文例では、「当ベージにてお知らせいたします」と銘打っています。
ブログに記載するプライバシーポリシーについて、そこまでする必要があるか?という疑問がありますし、絶対必要というわけでもないですが、「明記しておいて損はない」と思います。
おわりに
プライバシーポリシーの文例と、その理論的根拠について長々と書いてみました。個人情報保護法は、個人情報保護委員会のガイドラインや国際情勢にも大きく左右される法分野ですので、今後の動向にも注意していきたいと思います。