利用規約やプライバシーポリシーを作成する際の注意点

こんにちは、すぐ乗る電車を間違えて謎の街へ行ってしまうじょーじです。

デジタルサービスに関わる仕事をしていると、日々「利用規約」「プライバシーポリシー」という言葉を目にします。

サービスを利用するユーザー側からすると、これらにあまり関心を持つことは決して多くないかもしれません。しかしいざ自分がサービスを作る側になるといったい何を気にして利用規約やプライバシーポリシーを作成すべきなのか、意外と分からなくなってしまいがち。

しかも丁寧に定めておかないとビジネス上のリスクも考えられるため、適当に作るわけにもいきません。

そこで今回は利用規約やプライバシーポリシーを作成するにあたって意識したい基本的なポイントをまとめました。

1 利用規約とは?

利用規約とは「サービスを提供する事業者がユーザー向けに整理したサービス利用上のルールを文章にまとめたもの」

アプリ等をダウンロードして起動する際に、利用規約の画面が表示され、それに「同意する」または「同意しない」を選択するといった画面を見たことはありませんか?あれがこの利用規約です。

この利用規約を定める意味としては、大量の利用者にサービスを提供することもあり、個々に契約を締結することが困難であることがまず1つ。

そしてユーザーとの間でのトラブルに際して規約がないと対処が難しいことも挙げられます。

そのため、利用規約は訴訟に発展した際に裁判所が判断を行うための資料になります。

したがって利用規約の内容はサービスを提供する中で起こりうる様々なトラブルを想定して作成する必要があります。

雛形などを使用することには問題ありませんが、自社サービスに適した規約になっていない場合はその部分についての加筆修正が必要でしょう。

利用規約が有効と言えるためには、ユーザーがいつでも容易に利用規約を閲覧できるようにしておく必要があることも意識しておきましょう。

2 利用規約を作成する際に必要な観点

実は利用規約は法律上作らなければならないというものではありません。

作成する大きな理由としては、利用者との関係においてトラブルになった際に対応しやすくするため。

利用規約の内容は事業者とユーザー間でのトラブルが発生した際の解決内容に影響し、類似の事例であっても利用規約の内容次第では結論が大きく変わる可能性もあります。

そんな利用規約は事業者側が一方的に決めることができます。法令違反となる規約がない限りはユーザーはその利用規約に同意するか、もしくはしないかの2択しか決定権がありません。

利用規約がない状態でユーザーと事業者にトラブルが発覚した場合、場合によっては民法が適用され、債務不履行や不法行為が問題になってしまうかもしれません。

そうなると企業は信用面でも金銭面でも大きなリスクを負うことになります。

このような事態も想定し、利用規約は慎重に作成する必要があります。

3 利用規約に共通して求められる代表的な規定

利用規約の作成については、基本的には自社の提供するサービスに準拠した形で作成することが求められます。

利用規約を作成する場合に他企業のサービスを参考にすることは悪くありませんが、提供するサービスや企業の考え方が異なれば当然ながら内容も異なってくることを念頭においておきましょう。

どのようなサービスを提供するのであっても、次のような共通項目は基本的には欠かせないため、規約に入れておきましょう。

3-1 利用規約への同意

サービスを利用する場合は、利用規約への同意が必要であることを明記し、適用対象となる各ユーザーから同意してもらう必要があります。これがないと利用規約の一方的な提示になり、法的効力が認められません。

会員登録が必要なサービスの際は利用規約全文を表示しなければ同意ボタンが押せないなど「クリック」に重みを持たせることで何か問題が発生した際に反論、対抗ができるようにするなどの工夫も効果的です。

3-2 サービスの内容

サービスの内容を明示していない場合、サービス提供の義務範囲が不明確になってしまいます。

特に有料サービスを提供するような場合は、どこまでが金額内でどこからが金額外なのかを明記しておきましょう。

不明確だとサービスの不履行として問題になってしまう恐れも考えれられます。

3-3 利用規約の変更

利用規約への同意を得たとしても、サービス内容が変更された場合に備えて、利用規約の変更に関しても規定しておくと良いでしょう。

ユーザーにとって影響が大きい内容や、不利益変更になってしまう変更の場合「変更日以降にサービスを継続利用していることをもって変更に同意したとみなす」といった旨を通知するなどの対応を検討しましょう。

この場合、民法第548条を参考にすることもおすすめです。

3-4 用語の定義

自社サービスの中で独自に定められている用語に関しては、「用語の定義」に関する規定を設け、第三者から判断しても利用規約の内容の意味を明確に読み取れるようにしておきましょう。

用語の定義があいまいだと、トラブルが発生した際に用語の解釈が争点になってしまう可能性も考えられます。

3-5 パスワード及び登録情報の管理

アカウントの共有は売上の減少に繋がってしまいます。さらにアカウントの共有、譲渡はセキュリティ上のトラブル原因となってしまうかもしれません。

そのため、アカウントの共用や譲渡の禁止、自己責任下で管理する旨を規定し、これらに反したことで発生した事故はユーザーの自己責任になることを明記しておきましょう。

3-6 登録、管理

残念ですが中には後々トラブルになりかねないユーザーも存在します。

そのような要因を除外すべく、除外事由を列挙した規定を設け、過去に問題を発生させたユーザーが再登録を試みようとしてきた場合や、未成年者取消などの民法上の取消が認められる場合を想定しておきましょう。

また反社会勢力等との関係が無い旨を規約や条約の条項に入れておくことは企業取引において求められる傾向にあります。

3-7 禁止行為

デジタル上のサービスでは迷惑行為や悪質な行為を行うユーザーが現れることが珍しくありません。禁止する規定をあらかじめ用意していなかった場合、迷惑行為をやめさせることは事実上難しくなるでしょう。

第三者を誹謗中傷するような内容の投稿の禁止、法令に違反するような内容の投稿の禁止など、サービスを利用する上での禁止事項を定めておきましょう。

これらをあらかじめ利用規約の中に「禁止行為」として列挙しておくことが必要です。これは実務上極めて重要な規定と言えるでしょう。

ユーザーが利用規約に違反した場合には、サービス提供事業者が利用者のアカウントを停止することができるといった旨を記載することも大切です。

3-8 サービスの停止など

デジタル上のサービスにおいては、サーバー負荷やメンテナンスを要する場合などはサービスの停止や中断等を行う場合があります。

そのような場合に備えて、任意にサービス提供の停止、中断が行えるように記載しておくことが求められます。

3-9 権利帰属

著作権などの知的財産権の権利帰属などを明確にする条項です。

ユーザー投稿型のサービスなどは注意が必要です。ユーザーが投稿したコンテンツが第三者の権利を侵害していることも考えられます。

その場合は運営者が対処を求められ訴訟を提起されてしまうかもしれません。

また、対価なく投稿サイト側に著作権等が帰属するように規定してしまうと、利用者からの反発を受けて炎上してしまうかもしれません。

そのため権利について明確に規定する必要があります。

著作権は利用規約に規定がなければ、サービス運営者に移転したり、利用が許諾されたりすることはありません。運営者が利用するためにはユーザーから権利を譲り受けるか、ユーザーから権利の利用について許諾を受ける必要があります。

3-10 取消登録等

規約違反か登録情報に虚偽の事実があることが判明した場合、ユーザーは責務の一切について当然に期限の利益を失い、直ちに全ての支払いを行わなければならないことなどを規定します。

3-11 免責事項・損害賠償

ユーザーが事業者に対して損害賠償責任を負う場面についての規定です。

「当社は一切責任を負いません」という免責規定は消費者契約法に反し、無効になる可能性もあります。

「当社は、故意又は重大な過失がある場合を除き、本サービスの利用に起因して利用者が被った損害を賠償する責任を負わない」などの旨を記載しましょう。

サービス運営者の責任について利用規約にどのように規定するかはとても重要になってきます。

3-12 有効期限

利用規約の有効期限です。

一般的にはユーザーが登録を行ってから退会、もしくは何らかの理由により利用登録を抹消される時点まで、もしくはサービスの提供終了までで設定されます。

3-13 地位の譲渡など

ユーザーがユーザーとしての立場や地位を自由に譲渡できてしまうとユーザー管理が非常に大変です。

規定がない場合であっても日本の法律では契約上の地位の移転には相手方の同意が必要です。しかし利用規約においても念のため規定しておくことがベターでしょう。

3-14 準拠法・裁判管轄

紛争に発展した際の準拠及び裁判管轄について規定します。

原則としてサービス運営者の本店所在地を基準にすることが一般的です。

4 プライバシーポリシーとは?

プライバシーポリシーとは、企業が個人情報の利用目的や管理方法を文章にまとめて公表したものをいいます。

「個人情報保護方針」あるいは「プライバシーステートメント」とも呼ばれます。

各種の法律やルールの下で、「個人情報保護法での公表義務や、プライバシーマークの要請に対応する」 という役割を担っています。

個人情報保護法において「プライバシーポリシーを定めなければならない」という規定はありません。

しかし個人情報保護法においては、「利用目的」「第三者提供」「保有個人データに関する事項」などに関する規定があります。

「ユーザーから個人情報を取得し、また利用等をする際には一定の事項について公表すること」が義務づけられています(個人情報保護法18条)。

個人情報保護法により「ユーザーから情報の取り扱いについて同意を取るか、取り扱い方針を公表する」ことが重要です。

しかしデータを取得するたびに「取得してもいいですか?」と聞くわけにもいきません。そのため、多くの企業ではプライバシーポリシーを事前に公表しておくことで、一括して対処を行っています。

5 改正個人情報保護法とプライバシーポリシー

近年個人情報の保護に関しては非常に関心が高まっています。

プライバシーポリシーはその事業者の個人情報に関する取り扱いの基本的な姿勢を示すもの。それと同時に個人情報保護法において公表が求められている事項を表示するという役割も持ちます。

2017年、ビッグデータの利活用の推進等のために改正個人情報保護法が施行されました。プライバシーマークを取得している会社では、法律よりもさらに厳しいルール(JISQ15001)が適用されます。

2017年の改正法以前は、個人情報保護の適用を受けるのは5,000件を超える個人情報を保有する事業者に限られました。

しかし法改正によりほぼ全ての事業者に個人情報保護法が適用されることになっています。

6 プライバシーポリシー作成にあたって

プライバシーポリシーはユーザーが簡単に見ることのできるわかりやすい場所に設置しなければなりません。

個人情報の保護に関する法律についてのガイドライン(通則編)」では自社のホームページのトップページから1回程度の操作で到達できることが推奨されています。

フッターに配置したり、設定項目に配置したりすることが一般でしょう。

7プライバシーポリシーに共通して求められる代表的な内容

7-1 個人情報の定義

個人情報の定義は個人情報保護法第二条に定められている通り記載することで事足りるでしょう。

氏名や生年月日などをはじめとし、年齢や性別、住所、電話番号、家族構成、アドレス、IPアドレス、サイトの訪問情報、勤務先情報、クレジットカード番号などなど様々な情報が個人情報に該当することがあります。

ユーザーから取得する可能性が高い情報については、個人情報の定義の中に記載しておくといいでしょう。

7-2 個人情報の利用目的

個人情報保護上、取得した個人情報の利用目的を公表することが求められています。

この定めにおいて重要な点としては、抽象的、包括的な記載では充分ではないという点。

個人情報保護法は、利用目的をかなり具体的に特定することを求めている点に注意が必要です。

例えば「事業活動に活用するため」「マーケティング活動に反映するため」などというレベルでは「利用目的を具体的に特定していない」と捉えられます。

「当サービスにおけるデジタルコンテンツの提供の最適化、関連するアフターサービス、新サービスやイベントのご案内に関する情報のお知らせのため」といったレベルまで目的を特定することが求められます。

したがって、事業者によって利用目的の記載内容は変わり得るということ。他のサービスのプライバシーポリシーを参考にする際は注意が必要です。

また記載漏れがある場合は当該目的に個人情報を利用できなくなるため、漏れがないかをしっかりと確認しておきましょう。

7-3 個人情報の第三者への開示や提供の禁止

事業者自身が保有している個人データを外部の事業者などに提供する場合であっても規定が設けられています(個人情報保護法第23条)。

これは「個人情報の利用を許可していない事業者にユーザーの個人情報を勝手に利用されてしまうことを防ぐため、個人情報を第三者に提供する際は原則として本人の同意を要する」というもの。

そのため、第三者へ個人情報を提供する場合は、その提供方法や個人データの項目などを記載し、ユーザーの同意を得る必要があります。

個人情報保護法では「オプトアウト」という「一定の要件を充たす代わりに本人から明示的な同意を得ずに個人データを第三者提供できる手続き」を定めています。

このオプトアウトによる第三者提供を採用する場合、事業者は「本人の求めに応じて個人データの提供を停止し、個人情報保護委員会規則に定める事項を通知または本人が容易に知り得る状態に置き、さらに個人情報保護委員会へ届出を行う義務」を負うことになります(個人情報保護法23条)。

7-4 本人からの利用目的の通知、開示、訂正、利用停止などの求めに応じる手続き

個人情報保護法において本人からの利用目的の通知、開示、訂正、利用停止などの求めに応じる手続きを公表することも求められています(個人情報保護法第27条)。

これらの項目もプライバシーポリシーに入れ込む必要があります。

また、本人からの開示請求に応じる場合の手数料を必要とする場合は、その旨も記載しておきましょう。

7-5 個人情報の共同利用

個人情報は複数の事業者間で共有され、利用されるケースもあります。

グループ会社での連携などは代表的な例でしょう。

そうなると複数社から個人情報の第三者提供に関する通知がきてしまい非常に煩わしいため、このようなケースには「個人情報の共同利用」という方法が認められています。

個人情報の共同利用を行う際は当然ながら規約に明確に明記しておきましょう。

7-6 苦情や相談などの担当窓口

個人情報保護法では個人データの取り扱いに関する苦情などの窓口について「本人が知り得る状態にしておく」ことを個人情報取扱事業者に義務付けています。

そのため、苦情などの申し出先として、企業の連絡先や問い合わせフォームなどの案内を記載しておく必要があります。

最後に: 雛形や他社を参考にするのはありだが、自社が必要としている情報を過不足なく盛り込むことが大切

いざ「利用規約作っといて」「プライバシーポリシー作っといて」と言われてもなかなか0から作り上げるのは大変。

雛形や他社のフォーマットを参考にするのは問題ありませんが、自社のサービスにその規定が当てはまるかはわかりません。

自社のサービスを理解し、会社としての方針やリスクを理解した上でこれらを作成することが大切です。

もし利用規約やプライバシーポリシーを作成する機会があった場合、参考になれば幸いです。

GET IN TOUCH