ウェブサイトのプライバシー方針【無料テンプレートあり】
ウェブサイトを作成する際にプライバシー方針についてしっかり考える人はあまりいません。しかし、EU(ヨーロッパ連合)ではGDPR(個人情報・個人データの扱いに関する規則)の法律が可決されていますから、EU内でビジネスを展開する場合はプライバシー方針をサイトに明記する必要があります。
この記事ではしっかりしたプライバシー方針にはどのようなことを記載する必要があるかご説明し、ページの一番下にはGDPRに準拠した無料テンプレートを掲載しています。あなたのサイトに合うように書き換えてご自由にご利用ください。
ネットでのプライバシー方針の基本
まず、サイトのオンラインプライバシー方針の基本について見ていきましょう。
プライバシー方針を表示するべきサイトとは?
ユーザーからデータを収集したり、ユーザーをアナリティクスでトラッキングしたり、広告を表示しているサイトやサービスすべてにプライバシー方針を表示する必要があります。EU内にビジネスの本社や支社がある場合や、EUに住んでいる人と取引する予定がある場合はGDPRに準拠したプライバシー方針が必要です。
プライバシー方針が必要な理由は?
サイトのプライバシー方針では以下のような事項をユーザーに説明します。
- 収集している情報の種類
- 情報収集の方法
- 情報の保存・保護方法
収集されている情報にはどんな種類がありますか?
ほとんどのプライバシー方針では個人を特定できる情報とそうでないものを区別しています。
アメリカ国立標準技術研究所(NIST)では個人を特定できる情報を以下のように定義しています。
「(1)氏名、社会保障番号、生年月日、出身地、母親の旧姓、生体に関する情報など、個人の身元を識別するために使用することができる情報、(2)医療、教育、財務、雇用に関する情報など、個人が特定される、または特定することが可能なその他の情報。」
個人を特定できない情報の定義は以下の通りです。
「特定の人物、口座またはプロフィールに関する情報であるが、その人物を特定したり、連絡したり、見つけたりするのには十分でない情報」
例として
- ブラウザの種類
- ブラウザのプラグインに関する情報
- 現地時間
- 訪問リクエストの日時(各ウェブページに訪問したり、ページを離れた時の日時)
- 言語
- どこのサイトからリンクされてページを訪問するに至ったのか
- 端末の種類(デスクトップパソコン、ノートパソコン、スマートフォンなど)
- 画面の大きさ、解像度、システムのフォントなど
個人を特定できないようなデータを共有することを心配しているユーザーの多くは、このような情報を隠すためにブラウザの拡張機能を利用しています。またVPNを使うことで個人を特定できない一部の情報が漏れないようにすることもできます。例えば、VPNを使うとユーザーの現地時間やサイトの訪問日時などの情報を隠すことができます。VPNについて詳しく知りたい方はこちらをクリックしてください。
プライバシー方針を掲載しないと法的に処罰がありますか?
はい。ユーザーに情報公開することなくデータを収集すると法的に罰則があります。また、プライバシー方針で明記されている以上の情報を収集したり、プライバシー方針を更新することなく、新しく情報を収集し始めた場合にも罰則の対象となります。
GDPRに準拠していないサイトは最大で2千万ユーロまたは全体の収入の4%の罰金が下されます。
オンラインプライバシー方針の無料テンプレート
プライバシー方針は長くて複雑なのでほとんどの場合、読まれていません。調査によるとプライバシー方針はあまりにも長いので、平均で1年間に訪問するサイトすべてのプライバシー方針を読んだ場合、すべて読み終わるには30日かかるそうです。
GDPRに準拠したプライバシー方針に変更するために注意するポイントの一つはプライバシー方針を簡潔にして、簡単に理解できるようにするということです。
複雑ですが、ユーザーがインターネットに関して心配していることについても書かれている必要があります。例えばデータセキュリティー、詐欺からの保護、個人のプライバシー保護などです。ネットの消費者はプライバシーに関する問題について気にしていますから、サイトの管理者はプライバシー方針を簡潔にわかりやすくする義務があります。以下で最も重要な部分について詳しく説明し無料のテンプレートを提案していますのでご利用ください。
ポイントその1:情報収集
プライバシー方針にはサイトはどのような情報を収集していて、その収集方法と情報の使い道を明記する必要があります。
ポイントその2:情報の利用
情報の収集について説明したら、サイトの管理者がどのように情報を利用しているのか説明する必要があります。この点でフェイスブックは2013年にプライバシー方針を更新しようとした際に非難されました。プライバシー方針に言語の項目を追加して、18歳以下のユーザーを含むすべてのユーザーの個人情報を宣伝の目的で利用できるようにしようとしたのです。
このような動きを監視しているグループが連邦取引委員会に報告したため、結局フェイスブックは言語の追加を諦めました。2014年にフェイスブックはプライバシー方針をわかりやすい英語に書き換え、その長さも2分の3ほどに削減されました。
データセキュリティーを重視している会社やサイトは:
- 個人を特定できるような情報をサードパーティに一切転売しません。
- データと匿名化・暗号化して漏洩に備えています。
- データを短期間しか保存しません。
ポイントその3:電子取引について
電子取引サイトに関しては取引を成立させるために収集されるユーザーの金銭的な情報を保護するために、どのような対策をしているのか明記する必要があります。これにはクレジット番号、社会保障番号、銀行口座番号などの情報が含まれます。
ポイントその4:サードパーティに関する情報公開
サイトとサードパーティの関係に関して簡潔に説明しましょう。理想的は法的に必要がある場合を除いて、個人を特定できる情報を転売・共有することはありません。個人を特定できないような情報をどのように利用しているのかということも説明しましょう。
ポイントその5:情報セキュリティーおよびトラッキング
模範的なプライバシー方針は情報セキュリティーとクッキーの使用についても説明します。
Googleは去年、クッキーに関する情報公開でプライバシー方針に問題がありました。英国の情報委員会はGoogleに誰がクッキーなどの「匿名でも個人を特定しうる情報」を収集しているのか、およびそのような情報の用途を明記するよう義務付けました。
ポイントその6:購読解除方法
プライバシー方針には不要なコミュニケーションを購読解除する方法を明記しましょう。
ポイントその7:合意
一般的なプライバシー方針には「ユーザーがサイトを利用することでプライバシー方針に合意しているものとみなします」と書かれています。さらに、方針には個人の権限を説明する義務があります。つまり、個人がデータを編集、削除するように要望したり、自分自身について収集されたデータを開示するように要求したりすることもできると明記する必要があります。
こちらで無料のプライバシー方針テンプレートをご覧になれます。
まとめ:プライバシー方針でユーザーの信用を向上
プライバシー方針はあなたの会社とそのユーザーを保護する貴重なものです。また、信頼関係を構築することができます。簡潔な分かりやすい文章で方針を書き、具体的に情報の保護方法を説明することで、分かりにくいプライバシー方針を公開している他社と差をつけることができます。
こちらで提供したテンプレートは初めの第一歩です。あなたのウェブサイトでは色々な方法で情報を収集しているでしょうし、その用途や意図も様々です。最高のプライバシー方針を書くためにはテンプレートをもとにしっかりカスタマイズすることが重要です。効果的なプライバシー方針が書けたか確認するためにはプライバシー方針を専門とする弁護士に相談したり、あなたの会社と似たような会社のプライバシー方針を見てみたりするのがいいでしょう。また、www.vpnmentor.com には他にもプライバシー用語や関連する話題について取り上げているので定期的サイトを訪問して最新情報をお読みください。
この記事を改善する方法についてコメントをお願いします。あなたのフィードバックが重要です!