プライバシーポリシーへの同意は、必ず取得すべきものなのでしょうか？
また、同意はどのように取得すればよいのでしょうか？
今回は、プライバシーポリシーへの同意の要否や取得の方法などについて弁護士が詳しく解説します。

記事を監修した弁護士

Authense法律事務所

弁護士　

田村 顕志朗

（第二東京弁護士会）

第二東京弁護士会所属。同志社大学法学部法律学科卒業、京都大学法科大学院修了。企業法務のほか、離婚や相続といった家事事件、一般民事事件を多く取り扱う。親権や面会交流、遺産分割など、法的トラブルにおいて相手方と対立する依頼者の悩みに正面から向き合うことを心がけており、法的問題の解決を目指して粘り強く尽力する。
＜メディア関係者の方＞取材等に関するお問い合わせはこちら

「本人からの同意の取得」の定義

個人情報保護法において、一定の場合には本人からの同意取得が必要です。
この「本人からの同意の取得」について、個人情報保護員会が公表している「個人情報の保護に関する法律についてのガイドライン（通則編）」では、次のように規定されています。※1

本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示した上で、本人の同意の意思が明確に確認できることが必要である

つまり、いくら同意ボタンの設置など形式面のみが整っていたとしても、本人が同意をするかどうかを判断するために必要な内容が明確に示されていないのであれば、同意を取得したとは判断されない可能性があるということです。

同意取得は「必須」か

プライバシーポリシーへの同意取得は、必ずしも必須というわけではありません。
ただし、後ほど解説するように、第三者提供をする場合や要配慮個人情報を取得する場合などには、原則として本人の同意が必要となります。

同意が必要となる場面については、後ほど詳しく解説します。

• 料金プラン
• 資料ダウンロード

利用規約とプライバシーポリシーを分けた方がよい理由

プライバシーポリシーを利用規約とともに一つの画面で表示して、まとめて同意を取るケースが散見されます。
しかし、利用規約とプライバシーポリシーの表示画面は分けるべきであり、この方法はおすすめできません。

その主な理由は、次のとおりです。

規約変更が行いにくくなる

民法が改正され、新たに定型約款の規定が追加されました。
この改正は、2020年4月1日から施行されています。

定型約款とは、不特定多数の者へ画一的な内容のサービスを提供する場合に使用される定型的な約款のことであり、ウェブサイトの利用規約がその典型例です。

定型約款に該当すれば、あらかじめユーザーの同意を得ることで、定型約款の個々の条項についても合意をしたものとみなされます。
また、相手に不利とならないことなど一定の要件に該当すれば、個別に相手方と合意をすることなく内容の変更が可能であるため、事業者にとって非常に便利な制度であるといえるでしょう。

しかし、個人情報保護法におけるプライバシーポリシーへの同意は、定型約款への同意とは性質を異にするものです。
そのため、プライバシーポリシーと同じ画面で表示してしまうと、規約変更の際にもユーザーの個別同意が必要となる可能性が高く、せっかくの定型約款のメリットが享受しづらくなってしまうでしょう。

個人情報保護法の同意要件を満たさない可能性がある

利用規約への同意は、契約締結に関する法律行為の一種です。
一方、プライバシーポリシーへの同意は自己の個人情報取り扱いに関する同意であり、同じ「同意」であっても法的性質が異なっています。

そのため、利用規約と一体となったプライバシーポリシーへの同意では、個人情報保護法上の同意要件を満たすと言えるのか疑念が残るところです。

日常的には特に問題が起きなかったとしても、万が一法的トラブルに発展した場合には、この点で問題となる可能性が高いでしょう。

GDPRでは認められていない方法である

GDPRとは、EU域内の個人データ保護を規定する法律です。
GDPRにおいて、同意の取得の要件は次のように定められています。※2

別の事項とも関係する書面上の宣言の中でデータ主体の同意が与えられる場合、その同意の要求は、別の事項と明確に区別でき、理解しやすく容易にアクセスできる方法で、明確かつ平易な文言を用いて、表示されなければならない。そのような書面上の宣言中の本規則の違反行為を構成する部分は、いかなる部分についても拘束力がない。

つまり、利用規約など他の文書の中でプライバシーポリシーが表示される場合、同意の要求は利用規約などと明確に区別できることが要件とされています。
たとえば、利用規約の中にプライバシーポリシーを織り込んで利用規約全体について同意を得る場合には、このGDPRにおける同意の要件には適合しません。

これは、あくまでもEU域内において事業を行う場合に適用されるものである一方、データ活用の国際化が進む中、今後日本の個人情報保護法においてもこのような規定が設けられる可能性がありますので、参考として知っておくとよいでしょう。

プライバシーポリシーの同意が必要なケース

プライバシーポリシーは利用規約とは異なり、必ずしもすべてのケースでユーザーの同意が必要となるわけではありません。
しかし、次のケースでは、原則としてプライバシーポリシーへのユーザーの同意が必要となります。

あらかじめ特定した利用目的を超えて個人情報を用いる場合

個人情報を取り扱う事業者は、あらかじめ本人の同意を得ずに、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはなりません。

たとえば、従来はユーザーにウェブサービスを提供する目的のみで個人情報を利用すると定めていたにもかかわらず、今後はユーザーに向けて自社の新サービスを案内するEmailを送付したい場合などがこれに該当します。

この場合には、新商品の案内送付に個人情報を利用する前に、既存ユーザーの同意を得なければなりません。

既存ユーザーの同意を得る方法としては、ユーザーがウェブサービスを訪れた際にポップアップで変更後のプライバシーポリシーを表示し、同意をしなければ提供しているウェブサービスの利用ができないような形で同意を得るとスムーズでしょう。

ただし、ウェブサービスへログインするたびに改訂のポップアップが表示されてしまうと、ユーザーは煩わしく感じ、解約が増えてしまう可能性があります。
そのため、一度表示して同意を得たら、次回以降はポップアップが表示されないようにするなど、設計の工夫をするとよいでしょう。

要配慮個人情報を取得する場合

要配慮個人情報を取得する際には、人の生命保護のために急を要するなど特別な場合を除き、あらかじめ本人の同意を得なければなりません。

要配慮個人情報には、次のものが該当します。

• 人種
• 信条
• 社会的身分
• 病歴
• 犯罪の経歴
• 犯罪により害を被った事実
• その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報（心身の機能の障害、健康診断等の結果、本人を被疑者や被告人としておこなわれた逮捕などの事実など）

個人情報を第三者に提供する場合

個人情報を自社のみで取り扱うのではなく第三者に提供する場合には、人の生命保護のために急を要するなど特別な場合を除き、原則としてあらかじめ本人同意を得なければなりません。

ただし、次の条件をすべて満たす場合には、例外的に本人の同意が不要であるとされています。

1. 要配慮個人情報でないこと
2. 偽りその他不正の手段により取得されたものでないこと
3. 本人の求めに応じて個人データの第三者提供を停止することとしていること
4. 第三者に提供される個人データの項目やその個人データの取得の方法など、一定の事項をあらかじめ本人に通知するか本人が容易に知り得る状態に置くこと
5. 個人情報保護委員会に届け出ること※3

プライバシーポリシー同意の取り方3パターン

ユーザーからプライバシーポリシーの同意を得る方法には、主に次の3つがあります。
運用するサイトの態様などに合わせて、適切な方法を選択するとよいでしょう。

独立した同意ボタンを設ける方法

1つ目の方法は、利用規約などへの同意とは別に独立したチェックボックスや同意ボタンを設け、プライバシーポリシーへの同意を得る方法です。
プライバシーポリシーの全文をスクロールして表示しなければ、同意ボタンが押せないように設計をするとよいでしょう。

この方法は、ユーザーによる見落としの可能性がもっとも低いため、特に重要な個人情報を取り扱う場合におすすめです。

利用規約への同意と併せてプライバシーポリシーへの同意を取る方法

2つ目の方法は、利用規約への同意と併せてプライバシーポリシーへの同意を得る方法です。

ユーザーがチェックボックスにチェックをしたり同意ボタンを押したりする前に、利用規約とプライバシーポリシーをいずれも全文表示する設計にするとよいでしょう。
一度の同意で済むため、ユーザーにとっての負担は比較的少ないといえます。

ただし、まとめて同意ボタンを押すことで、ユーザーにとっては利用規約に同意をしたのかプライバシーポリシーに同意をしたのかよくわからないままに同意をする可能性が否定できません。

そのため、たとえ同意ボタンは1つにまとめる場合であっても、同意ボタンを押す前にチェックを入れてもらうチェックボックスは、利用規約の確認とプライバシーポリシーの確認とで個別に表示した方がよいでしょう。

みなし同意による方法

3つ目としては、みなし同意による方法が挙げられます。

みなし同意とは、利用規約の内部に「利用規約へ同意をすることで、プライバシーポリシーへも同意したものとみなす」旨の文言を記載する方法です。
この場合には、この利用規約内にプライバシーポリシーへのリンクを表示することが多いでしょう。

そのうえで、利用規約についてのみの同意とチェックボックスなどを設け、プライバシーポリシーへの個別のチェックボックスや同意ボタンは設けません。
この方法の場合には、ユーザーがプライバシーポリシーを見るひと手間を省略できるため、ウェブサイトからのユーザーの離脱を減らすことが可能となります。

その一方で、この方法ではユーザーがプライバシーポリシーに本当に同意をしていたかどうか、疑念が残りやすいでしょう。
そのため、特に重要な個人情報を取得する場合や、たとえば第三者提供などプライバシーポリシーを読み込んでいないユーザーから不意打ちであると主張されるような個人情報の取り扱いをする可能性がある場合にはおすすめできません。

プライバシーポリシー作成のポイント

プライバシーポリシーを作成する際の主なポイントは次のとおりです。

利用規約とは分けて作成する

プライバシーポリシーとウェブサイトの利用規約とは、分けて作成するべきです。
その理由は、「利用規約とプライバシーポリシーを分けた方が良い理由」にて前述したとおりです。

個人情報を明確に定義する

プライバシーポリシーにおいては、自社で取り扱う個人情報を明確に定義しましょう。
これにより、何がプライバシーポリシーにおける個人情報に該当するのか、ユーザーにとって明確となります。

利用目的を具体的に記載する

プライバシーポリシーには、個人情報の利用目的を明確に記載してください。

また、いったん定めた利用目的の範囲を超えて個人情報を利用する場合には、本人の同意を得る必要があります。
そのため、近い将来行う可能性がある利用目的についても、あらかじめプライバシーポリシー内に記載しておくと良いでしょう。

開示請求などへの対応方法を明記する

個人情報保護法において、本人は個人情報を取り扱う事業者に対して、保有している個人データの開示請求や訂正の請求などができるとされています。
そして、個人情報を取り扱う事業者は、この開示や訂正などを請求する方法を本人の知り得る状態に置くか、本人の求めに応じて遅滞なく回答しなければなりません。

そのため、これらについてもあらかじめプライバシーポリシー内に定めて公表しておくとよいでしょう。

作成や同意取得の仕方を弁護士に相談するメリット

プライバシーポリシーの作成や同意取得方法の構築をする際には、弁護士に相談することをおすすめします。

個人情報の取り扱い実態は、企業によって異なります。
しかし、企業ごとの実情に沿ったプライバシーポリシーを企業が独自で作成して運用をしていくことは、容易ではありません。

弁護士へ相談することで、企業の個人情報取り扱いの実情に沿ったプライバシーポリシーの作成や運用が可能となり、企業は安心をして本業に取り組むことができるようになります。

まとめ

利用規約とは異なり、プライバシーポリシーへの同意はどのような場面でも必須というわけではありません。
しかし、第三者提供する場合など一定の場合には同意が必要となるため、利用形態ごとに慎重に判断するようにしましょう。

同意の取得などプライバシーポリシーの運用は、実はさほど容易なものではなく、よく理解しないままコピペをしたプライバシーポリシーなどを流用していると、ある日突然足をすくわれてしまうかもしれません。

Authense法律事務所には、プライバシーポリシーなど企業法務やインターネット法務に詳しい弁護士が多数在籍しております。
プライバシーポリシーの構築や運用面でなどでお困りの際には、ぜひAuthense法律事務所までご相談ください。

Authenseが発刊する
経営者向けビジネスマガジン