はじめての利用規約、プライバシーポリシー
2020年7月15日に千葉直愛法律事務所代表 千葉直愛さんによる「App/Webサービスに必要な法律知識(初級)」をオンラインで開催した。
本イベントではApp/Webサービスを開発中/ローンチしたけど、
「利用規約ってなに?」「プライバシーポリシーってなに?」
「とりあえず他社のやつをコピペで貼っておけば良い?」
「今年会社作ったばかりだけど個人情報取扱事業者に該当する?」
「ユーザーの情報を外部の提携事業者に共有してもよい?」
「ユーザーからクレームが入ったけどどうやって対応したらいい?」
といった悩みを抱えた方向けに、素朴な疑問についての答えを、できる限り初歩的なところから丁寧に説明するイベントとなっている。
本noteではイベントで解説された内容をまとめた。
はじめに
アプリやWebサービスを制作するには関係する法律がいくつも存在する。作らなければならない規約類も多いが、
その中でもどの事業者にも必須となる「利用規約」「プライバシーポリシー」「特定商取引法に基づく表示」について解説する。
「利用規約」とは
正直なくても法的には構わないが、利用規約は事業者自身を守るものなので絶対に作ったほうがいい。例えば、ユーザーが利用料金を滞納した場合、利用規約がないと何ヶ月で強制退会になるのかすらわからなくなってしまう。
「プライバシーポリシー」とは
これは個人情報保護法の要請から作成が必須となる。
「特定商取引法に基づく表示」とは
完全無料のサービスであれば、法的には極論、なくても問題ないが、インターネット上でサービスを展開する場合は作成すべき。インターネットで何か物を売るときはそれがいつまでに解約できるか、クレームがあったときはどこに連絡すればいいのかなどを、特定商取引法の要請に基づき明記する。
もし「利用規約」がなかったら?
トラブルが起きてから作ればいいのでは?という考えもあるかもしれないが
2020年4月から「改正民法」が施行され、約款を作るときや変更するときはユーザーに周知しなくてはいけないことが法律になった。
そのため、ユーザーが利用し始めたときに「利用規約」や「プライバシーポリシー」がないと、後付で作っても有効にならない可能性が高い。
ネットに落ちてる規約をコピペして使う?
実態として、コピペ利用規約、プライバシーポリシーはたくさん存在する。とくにプライバシーポリシーについては、個人情報保護法の存在により記載する項目が予め決まっているため、全て似たようなないようになってくる。
コピペした利用規約を使っていた業者に対して、著作元が裁判を起こした事例もある(訴えた側が勝訴)。ただこの判決で認められた損害賠償は5万円である。
なぜ「利用規約」と「プライバシーポリシー」は分かれているのか?
個人情報の取り扱いに関しては、個人情報保護法によって固められている。
法律上分けないといけないわけではないが、一緒にしてしまうとややこしくなってしまうため分けている。
昔はある程度以上の規模にならなければ個人情報保護法が適用されなかったため、プライバシーポリシーは全事業者が作る必要はなかった。しかし、2017年5月30日から個人情報保護法の適用対象が拡大しプライバシーポリシーはほぼすべての事業者が作成しなければならなくなった。
プライバシーポリシーには何を記載すればいいのか?
1,利用目的
なぜ情報を取得するのか目的を書く。
ここで大事なのが二項の部分。途中で方針転換をした場合、利用目的を変更するのが大変難しくなってくる。
では、どこまで書くのか。
例) 第◯条
当社は、次に掲げる目的のために、お客さなの個人情報を取得します。
1 当社の事業活動を用いるため
2 当社のマーケティング活動に用いるため
このような記載だと少なすぎる。
もっと細かく明記しなければならない。
大きい企業になると取得情報の利用目的だけで20項目以上ある。
2,取得情報
何を取得するのか明記しなければならない。
法律上は、特定の誰かを識別できる情報のことを個人情報と定義しており、なんでもかんでも個人情報になるわけではない。
ただ、最近の事業者は個人情報とは言えない情報まで網羅して記載している。
3,第三者提供
個人情報の第三者提供は原則NGだが予め本人の同意を得ることによって適法となる。
この「同意」の取り方は各社工夫されている。
〈過去に第三者提供が問題となった事例〉
以上のリクナビ事件など、個々数年の様々な趨勢を踏まえて、個人情報保護法が2020年に改正された (6/5可決 12日公布)(施行はまだ)
改正法の中では「個人関連情報」という新しい情報の類型が出現。
cookieやID情報も個人関連情報として規制対象になるだろう。
Q&A
Q,サービスを作っており海外でもサービスを展開していきたいのですが、日本と海外ではどのくらい法律は違うのでしょうか?
A,特に厳しいのはEUとアメリカのカリフォルニア州。
EUで作る場合はGDPRと言う日本の保護法より厳しい規制がある。アメリカに関してはカリフォルニア州ではgoogleなどもあり厳しい規制が存在する。
Q,第三者が誰に当たるのか?例えば運営主体が三社の場合その会社間で情報を共有することは可能か?
A,第三者の定義は個人情報保護法で定義されているため変えることはできない。
この場合、「共同利用」という仕組みがあり、しかるべき手続きを踏めば同じ情報を会社間で利用することは可能。
そのほかに、コールセンター業務のみ外部にお願いする場合などは「委託」という形になる。
Q,利用規約やプライバシーポリシーを作るにあたって他に気をつけないといけない点はあるか?
A,規約に辿り着くまでの距離。階層が深くなりすぎるとアプリ審査でリジェクトされてしまう恐れもある。
Q,利用規約を変更した場合、ユーザーにはどのように同意を求めればいいのか?
A,例えばプライバシーポリシーが変わった時に、同意しないとアプリやサービスが立ち上がらないようにするなどの工夫がある。
Q,利用規約やプライバシーポリシーの更新で、事前に取らないといけない周知期間や同意期間などはあるのでしょうか?
A,効力発生時期をインターネットの利用その他の適切な方法により周知しなければならない。ただ、何日前から周知しないといけないなどは法律的にない。
最後に
時間の都合上Q&Aはここまでとなり、イベントは終了した。
実際に、法律について何も分からない方でも理解できる内容となっていた。
8/18には実際に利用規約・プライバシーポリシーを作るオンラインイベントを開催予定。
(次回イベントURL)
興味を持った方は是非、このイベントに参加していただきたい。
講師紹介
弁護士千葉直愛(ちばなおあき)
1万回の失敗と挑戦を繰り返す起業家・スタートアップを支援する弁護士。 プライベートでは、妻とともに、むすこ(2歳半)のツーオペ育児に奮闘中。大阪弁護士会所属。千葉直愛法律事務所代表。京都大学法学部卒、神戸大学法科大学院修了。大阪府立大学非常勤講師。