個人のサイトやブログでも「プライバシーポリシー」ページは必要?何を公開したらいいの?考

個人のサイトやブログでも「プライバシーポリシー」ページは必要?何を公開したらいいの?考

2022年4月に改正された【個人情報保護法】。

ネットでいろいろ検索してると、個人のブログでも必要?不要?とか、個人のブログにおけるプライバシーポリシーページの書き方はああすれば、こうすれば、など、いろいろな情報が飛び交っている。

私自身このサイトの他、いくつかのサイトを運営しており、どの情報を信じればいいのかの判断がつかなかったので、設置の判断基準、プライバシーポリシーページの内容などについて、自身で調べて辿りついた結果を含め、備忘録的に公開することとした。

このサイトでは珍しく?かなり長文なので、ブックマークなどして時間のある時にゆっくり読んでいただくことをお勧めする

私は法律家でも専門家でもないので、本記事の内容の確度については保証も責任も持てないことをあらかじめ断っておく

本記事の内容や本ページ内に張ったリンク先ページ、自身で検索等をして調べたものを総合して判断した上で、どうするのかについての決定は自身でしていただきたい

プライバシーポリシーページを作る必要があるかどうかの判断

個人のブログやサイトへプライバシーポリシーページが必要かどうがについては、「事業者」が運営するものかどうかというところが最大のポイント。

事業者って何?ということについては、以下のリンク先ページで解説されている。

https://www.nta.go.jp/taxes/shiraberu/taxanswer/shohi/6109.htm

これによれば、事業者の定義は

  • 「事業者」とは、個人事業者(事業を行う個人)と法人
  • 「事業」とは、対価を得て行われる資産の譲渡等を繰り返し、継続、かつ、独立して行うこと

ん?ということは、何かを売るという行為をそのサイトを通じて行う=事業=事業者(個人事業者)にならんといかんの?という疑問が湧く。

これについては、個人情報保護法ではなく、特定商取引法の範囲だから、そちらも見ておく必要がある。

特定商取引法上で販売業者にあたるかどうかは、以下のリンク先ページ内にある【インターネット・オークションにおける「販売業者」に係るガイドライン】に書かれている

https://www.no-trouble.caa.go.jp/law/

これ以外の資料を含めいろいろ読んだ上での解釈としては、

  • 直接販売(サイト上で決済まで完結するもの)は事業(販売業者)にあたる可能性が高い
  • 販売スタンド(他の販売用サービス)で販売する場合は、オークションと同じと考えられ、以下を超える場合には事業(販売業者)にあたる可能性が高い
    • 過去1ヶ月に 200 点以上又は一時点において 100 点以上の商品を新規出品している場合
    • 落札額の合計(売上)が過去1ヶ月に 100 万円以上である場合
    • 落札額の合計が過去1年間に 1,000 万円以上である場合

ただし、利益を出す明確な意思があるかどうかを客観的に判断するとも書かれているので、これをクリアしていればOKということでもなさそう。

本当に法律って、未知のケースにもある程度対応できるようにしてあるから、いろんな解釈ができるようになっていてややこしい

自身のブログやサイトがこれにあたるかによって判断すればよいと思われるが、必要だったかどうかは、個人情報保護法違反の疑いが出てきて初めて法に照らして判断されるものだから、不安であれば設置しておく方が無難だと思う。

また、逆を言えば、このサイトの運営者は事業目的で運営していないことを明記する目的でプライバシーポリシーページを作成・公開しておくのがよい判断だと思う。

ここまで来て、ふと「ドメインを取得して割り当てていないサービスを利用したサイトやブログはどうなのか?」という疑問が湧いてきた。

例えば無料/有料のブログサービスやサイト管理サービス上に展開していて、ドメイン(サイト運営者)がそのサービスのサブドメインやサブディレクトリだった場合。

所有者はそのサービスの運営者であり、その中で取得する個人情報にあたるものについては、事業者である/ないに関わらず、そのサービスが取得管理するものだと思うのだが..。

本当にややこしい..。

私は法律家でも専門家でもないので、本記事の内容の確度については保証も責任も持てないことをあらかじめ断っておく

本記事の内容や本ページ内に張ったリンク先ページ、自身で検索等をして調べたものを総合して判断した上で、どうするのかについての決定は自身でしていただきたい

個人情報っていったい何なのか?

個人情報保護法でいう、個人情報の定義は、個人情報の保護に関する法律の第二条に書かれている、本当にややこしいので、あくまでも個人的解釈をすると、

  1. その情報だけでバッチリその人が特定されてしまうもの
  2. その情報とその他の情報の合わせ技一本で、その人が特定されてしまう可能性のあるもの

ということになる。

1は完結明瞭だが、2については、そのサイトにある個人を特定するかも知れない情報を巡り巡って調べたら個人が特定されてしまった..なんてケースも当てはまるのかも知れない。

また条文の中には、個人識別符号が含まれるものともあるので、例えばクレジットカード番号などを入力して直接決済するようなサイトで、その後のアフターフォローや購入履歴の管理のためにその情報を保持していれば個人情報にあたる可能性が高い。

ここでまた事業かどうか?を蒸し返すことになるのだが、事業として届け出ていないケースであっても、決済機能を設ける=収益を上げる気満々であり、収集した情報を保持することになるのだから、そうしたサイトではプライバシーポリシーは必須であると考えられる。

と同時に特定商取引法上に基づき、運営者情報(個人だったら個人名や住所)を開示する必要が出てくるから、さらに大変..ということにもなるだろう。

そういう意味でも、サイトを通じて何かを売る場合には、外部の決済サービスを利用して、そのサービスの販売ページへ移動するボタンを設け、そのサービス内でユーザー登録をしてもらい(個人情報はそのサービスが保持・管理することになる)、そこで購入してもらうというのが一番スマートかも知れない。

逆に決済機能を持っていないにしろ、コメントや問い合わせフォームといった何かを入力してもらう機能を有効にしているブログやサイトでは、少なくとも名前(ニックネーム)やメールアドレスなど、個人情報の定義に当たりかねない情報の入力を必須とする場合は、事業性の有無に限らずプライバシーポリシーページの公開をしておいた方がいいのではないかと考える。

また、2022年4月の法改正では、

  • 個人情報を5000件以上保有するという条件が廃止された
  • 外国にある第三者への個人データの提供時に、提供先の第三者における個人情報の取扱いに関する本人への情報提供が必要
  • 6ヶ月以内に消去するデータについて、開示請求の対象となること。また、個人データを提供・受領した際の記録も開示請求の対象となること
  • 個人関連情報の第三者提供の制限等として、提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認が義務付けられたこと。

から、以下に該当するサイトやブログを運営している人は、プライバシーポリシーページを用意しておいた方がいいのではないかと考える。

  • 個人情報に値する可能性のある情報が1件でもある(コメントが1件でもあるブログ)
  • 6ヶ月以内に消去するデータがある(問い合わせフォームからの履歴や内容など)
  • 個人データとなることが想定されるデータの第三者提供がある(外部のアクセス解析やパソコン上の履歴などを使った関連広告などの表示など)

参考:改正個人情報保護法対応チェックポイント

私自身法律というのは守るべきもの(かつ守ってくれるべきもの)だと解釈していたが、今回のことで、法律は「問題が起こった場合に違反しているかどうかを判断する材料」だと再認識した。

何が個人情報にあたるのか?などについては、個人情報保護委員会のサイトにあるよくある質問(個人向け)も参考にしていただきたい。


以上を総合して私が運営するサイトの場合は

  • 独自ドメインを使って運営しているサイトである(要は個人所有のサイトである)
  • 事業は行っていないが、個人情報に当たる可能性のあるものを収集することがある
  • 直接販売はしていないものの、アフィリエイトを利用して間接的に収益を得ていること。またその先の契約や決済は私の関知するところではないこと
  • Google Adsense、Google Analyticsを使用していて、個人情報ではないが、個人情報となり得るかもしれない情報を第三者へ提供していること

から、自身を守るためのものでもあると考え、プライバシーポリシーページを公開することとした。

個人運営サイトにおけるプライバシーポリシーページの内容

私のように個人でもプライバシーポリシーを公開すると判断した方が、次に考えるのが、何を記述したらいいのかということだろう。

ネットで検索するとコピペで..というようなサイトが多数登場するが、実はこれらは、ここまで長々と書いた「事業者」が「そのサイト」で「直接販売」していることが前提なので、全然(語弊あり)役に立たない。

多分自身で読んでもチンプンカンプンで何をどう直したらいいのかすらわからないものもあることだろう(笑)。

そこでここでは、以下の条件を持つサイトを運営されていることを前提に、作成のポイントのみ紹介する。文面に関しては、当サイトのプライバシーポリシーページを参考にしてもらえればと思う。

  • 事業ではなくあくまでも個人で情報発信を目的として運営しているサイトやブログ
  • 直接販売(決済)機能を持たないサイトやブログ
  • Google Adsenseなどのコンテンツ連動型広告サービスを使っているサイトやブログ
  • Google Analyticsなど、外部でのアクセス解析を行っているサイトやブログ
  • フォームによる問い合わせ機能やコメント機能を持つサイトやブログ

プライバシーポリシーページに記載が必要と思われるもの

私は法律家でも専門家でもないので、本記事の内容の確度については保証も責任も持てないことをあらかじめ断っておく

本記事の内容や本ページ内に張ったリンク先ページ、自身で検索等をして調べたものを総合して判断した上で、どうするのかについての決定は自身でしていただきたい

運営者情報

特定商取引法上の記述ではないので、いざという時に連絡が取れるよう、運営者の名前(ニックネーム)とメールアドレスのみ記載すればよいと考える。

メールアドレスは直書きだと外部から機械的に読み取られ、スパムメールの嵐にならないようにしておくとよい

ページを作成した日、更新した日

いつから有効になり(公開され)、いつ改定したのかを明確にしておく必要がある。

また、何も記述がないと、個人情報を保管している相手に対し、改定するたびに通知する必要が出てくるので、ページが改定(更新)した日から効力を発揮することも明記する。

広告の配信のための情報の提供

Google Adsenseをはじめとする、いわゆる「コンテンツ連動型広告」は、ブラウザの履歴情報などを収集してその人に合った広告が表示される仕組みになっている。

この情報は、直接的な個人情報ではないにしろ、個人情報となり得る情報を第三者に提供している可能性があることから、サイト内でフォームなどに入力した個人が特定されるような情報を渡してはいないことを含めて記載しておく必要がある。

Google Adsense以外でも、「コンテンツ連動型広告」を設置している場合には併せて明記が必要。

Amazonアソシエイトについては、コンテンツ連動型ではないものの、Amazonアソシエイトの規約にパートナー(広告を使っている)であることをどこかに明示しなくてはならないというのがあるので、含めておくとよいと考える。

逆に、特定商品や特定サービスへの紹介リンクを、サイト運営者自身が選んで挿入している広告(楽天アフィリエイトやA8、ValueCommerceなど)は、特に個人の情報も利用しなければ何かの情報を渡すものではないので、明記の必要はない。

明記の必要性に関しては、利用しているアフィリエイトサービスそれぞれの規約やマニュアルなどを参照していただきたい

アクセス解析のための情報提供

Google Analyticsなど外部のアクセス解析サービスを利用している場合には、個人を特定しかねない情報(アクセス元IPアドレスなど)を提供することとなるので、どんな情報を提供しているのか、どんなことに利用しているのかについて明記する必要がある。

逆にサイト内、または自身で契約してているサーバー内で独自にアクセス解析をする場合で、個人情報となり得る情報の収集を行っている場合には、別に記載する必要がある。

著作権、メディアの取得元、外部からのリンクについて

これは直接関係ないように思うが、訪問者から得る情報の扱い方ではなく、サイト上にある自身の情報を守るための記述。

たくさんのユーザーが自由に参加するようなサイトなら、別に規約を作ってそちらに記載してもよし、自身の情報発信のみだったらこちらに書いておくもよし。

入力フォームから送信された内容の取り扱い

ブログのコメント欄や問い合わせフォームから送信された内容について、どんな情報が個人情報に当たる可能性があるのか、何に利用するのか、どう保管するのかなどを記述する。

免責事項

  • 表示された広告やリンクをクリックした先で契約や購入したことは、このブログではなく、あくまでもクリックした先のサービスとクリックした人の契約であること
  • また、クリックした先のサービスや商品に関する問い合わせやクレームは当事者同士で行ってもらうこと。
  • 広告も含むリンク先ページの企業や個人、内容について、一切の間違いがないことや違法性がないことを保証するものではないこと。
  • 今読んでいるページの内容についても同様に、正確な情報を提供しているつもりであっても間違いや誤りがあったり、情報が古い可能性があること。

など、このサイトを通じて訪問者自身が判断して起こした行動については訪問者の自己責任であることを明記して、サイト運営者自身が責任を負わないことを知らせるために、結構重要。

あとは、必要なもの、不要なものを判断して完成させればよいだろう(恐らく何かのトラブルになったときにしか利用しないだろうから..)。

なお、このサイトのプライバシーポリシー作成にあたっては、「個人 ブログ プライバシーポリシー」で検索したさまざまなページを参考にしたから、本当にいろいろと見て参考にすることをおすすめする。

また、検索等で尋ね当たった個人ブログへのプライバシーポリシーページの必要性を述べている記事が、きちんと自身の経験に基づいて、本当に判断に困っている人のために公開しているかは、そのページまたはサイトがプライバシーポリシーを公開しているかで容易に判断がつく。

理由は簡単、必要性を訴えているのに自身のサイトで採用していないのはおかしいからである。


最後に何度もくどいようだが、誤った情報を提供することがないよう、以下を再度強く伝ておく。

私は法律家でも専門家でもないので、本記事の内容の確度については保証も責任も持てないことをあらかじめ断っておく

本記事の内容や本ページ内に張ったリンク先ページ、自身で検索等をして調べたものを総合して判断した上で、どうするのかについての決定は自身でしていただきたい

WordPressを使ったサイトでプライバシーポリシーページを公開する方法

このサイトはWordPressを使って運営しているので、最後にWordPressでの使い方を補足しておく。

WordPressはワールドワイド?のサイト運営ツールなので、いつぞやのバージョンから、プライバシーポリシーページの作成が簡単にできるようになっている。

大まかには、管理画面から「設定」→「プライバシー」と進み、「新規プライバシーポリシーページを作成する」をクリックして保存後、メニューなどへリンクを追加すればハイ終わりという感じ。

だが、これはあくまでワールドワイドかつすごく汎用的に作られたものであり、しかも英語から無理やり?日本語にしたものなので、サイトの条件に合致した内容ではないから、前項のように、自身のサイトに合った内容のものを新規の固定ページで作り、それをプライバシーポリシーページとして扱うようにすることをおすすめする。

また、WordPress5.9.2の段階では、プライバシーポリシーページの作成と設定を行っても、ログイン画面にリンクが表示されるだけで、体をなさないから、

  • メニューに固定ページを入れてリンク表示させる
  • ウィジェットに固定ページを入れてリンク表示させる

のが一番簡単な設置方法。

他には、投稿テンプレート、固定ページテンプレート、フッターテンプレートなどに以下を記述して呼び出すこともできる。

<?php the_privacy_policy_link(); ?>

phpの宣言が必要かどうかは、有効化しているテーマの構造によるので、それに合わせて変えること

「the_privacy_policy_link」というWordPressのテンプレート関数は、公開されているプライバシーポリシーがあり、かつ、プライバシー設定でそのページがあるときだけ、日本語では「プライバシーポリシー」というリンクが自動で出力されるので、使い勝手がいいと思う。

ちなみに、ここまでで書いたように、一応転ばぬ先の杖でプライバシーポリシーページを公開しておこうというこのサイトのような環境であれば、特に目立つようにする必要はないから、私が管理するサイトではフッター一番下のコピーライト表示横にひっそりとリンクを出すだけにした。

作者:

白黒ハチワレ猫の「モモ」と暮らしています。
このサイトでも使用しているWordPressテーマ【HABONE】の開発と配布を行っています。

年齢:40代 趣味/園芸・ペット・卓球