【雛形付き】プライバシーポリシーをecサイト用に徹底解説

2023年4月3日

「プライバシーポリシーってそもそも何？」

「書き方や設置場所が分からない」

「作成時に注意するポイントはある？」

このような悩みをお持ちの方も多いのではないでしょうか。

ECサイトを開設するときには「プライバシーポリシー」というお客さんの個人情報を保護する旨を明記した文書を作成する必要があります。ただ、具体的にどう書けばいいのか分からないケースも多いです。

そこで今回は

プライバシーポリシーの書き方や設置する場所
プライバシーポリシー作成時におさえるべきポイント
初心者でも使いやすいテンプレート

これらを徹底解説します。

プライバシーポリシーの設置はお客さんから信頼されるECサイトを作るためには重要なことですので、ぜひ参考にしてください。

プライバシーポリシーってなに？

皆さんは、プライバシーポリシーをご存じですか？なんとなく聞いたことはあっても、実際のところ何なのかわからないという方もいらっしゃるのではないでしょうか。

プライバシーポリシーとは、個人情報の保護方針を定めた文書です。現在では、ネットショップ運営者の多くが自身のサイトに掲載しています。

今回は、プライバシーポリシーとは何のために作るのか、どのように自身のサイトに掲載すればよいのかについて詳しく解説していきます。

ぜひ、ご自身のネットショップ作りの参考にしてください。

プライバシーポリシーは、お客さんへの安全証明！

プライバシーポリシーには、ネットショップやHPで得た個人情報をどう扱うか、に関する方針を記すことになります。プライバシーポリシーはそのネットショップやHPの運営者が個人情報保護法に則って定め、ショップやHPの利用者に向けて開示します。

特にネットショップでは、商品の発送のために住所や電話番号などの重要な個人情報を入力してもらう必要があります。そのため、個人情報の扱い方をきちんと開示しておくことで利用者も安心して買い物ができるようになります。

運営者としても、事前に個人情報保護の方針を伝えておくことで未然にトラブルを防げるなどのメリットもあるので、ショップの開設時に定めておくのが良いでしょう。

プライバシーポリシーは必ず必要？

個人情報の保護に関する法律（個人情報保護法）には以下のように定められています。

この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一国の機関
二地方公共団体
三独立行政法人等（独立行政法人等の保有する個人情報の保護に関する法律（平成15年法律第59号）第２条第１項に規定する独立行政法人等をいう。以下同じ。）
四地方独立行政法人（地方独立行政法人法（平成15年法律第118号）第２条第１項に規定する地方独立行政法人をいう。以下同じ。）

個人でネットショップを営む者も、この「個人情報データベース等を事業の用に供している者」にあたります。そのため、どれだけ規模の小さいHPだとしても、ネット上で個人情報を扱う以上はプライバシーポリシーの公開が必要だと言えます。

プライバシーポリシーには多くのメリットがある

プライバシーポリシーの設定・公開は面倒な作業ではありますが、これを公開するメリットも多く存在します。

1.ネットショップ運営者にとってのメリット
・個人情報の取り扱いに関するトラブルを未然に防ぐことができる
・しっかりと個人情報を取り扱う信頼できるショップであるとアピールできる

2.お客さんにとってのメリット
・自分の個人情報がどのように扱われるのか事前に知ることができる
・プライバシーポリシーの有無を確認することで、信頼できるショップかどうか判断できる

保護対象になる個人情報ってどんなもの？

それでは、どのような個人情報が保護の対象になるのでしょう。個人情報保護法では、「個人情報」について以下のように定められています。

個人情報の保護に関する法律　第2条

この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第２号において同じ。）で作られる記録をいう。第18条第２項において同じ。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）
二個人識別符号が含まれるもの

要するに、生存する個人に関する情報であって、氏名や生年月日などによって個人が特定できる情報（直接的でなくとも、他の情報と照合することで個人が特定できる情報を含む）と、生存する個人に関する情報であって個人識別符号が含まれるものが個人情報です。個人識別符号とは、指紋認識データや顔認識データなどの「個人の身体の特徴をコンピュータ用にデータ化したもの」や運転免許証番号やマイナンバーのように「個人に割り当てられた文字や番号等」を言います。

以上のものが個人情報保護法でいうところの「個人情報」となり、これらの情報を扱う人やお店はプライバシーポリシーの公開が義務となります。

しかし、個人情報保護法に定められていない情報でも、個人のプライバシーに深くかかわるものは保護対象となる可能性があります。例えば、端末固有のIDや、ウェブサイトの閲覧履歴などです。

このことからわかるように、個人情報の範囲は非常に広く、どのような情報でも保護の対象となる可能性があります。そのため、お客さんからどのような情報を取得し、どのような目的で利用するのか、些末な情報でもあらかじめ説明しておくことは非常に重要です。特にプライバシーに深くかかわりそうな情報を扱う場合は、あらかじめ明確に同意を取るようにしましょう。

個人情報保護法に違反した場合の罰則は？

個人情報保護法は2020年に改正され、罰則の強化や追加が行われました。2022年4月から施行となります。現在の個人情報保護法に違反した場合の罰則は以下の通りです。

第七章　罰則
第八十二条　第七十二条の規定に違反して秘密を漏らし、又は盗用した者は、二年以下の懲役又は百万円以下の罰金に処する。
第八十三条　第四十二条第二項又は第三項の規定による命令に違反した場合には、当該違反行為をした者は、一年以下の懲役又は百万円以下の罰金に処する。
第八十四条　個人情報取扱事業者（その者が法人（法人でない団体で代表者又は管理人の定めのあるものを含む。第八十七条第一項において同じ。）である場合にあっては、その役員、代表者又は管理人）若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等（その全部又は一部を複製し、又は加工したものを含む。）を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。
第八十五条　次の各号のいずれかに該当する場合には、当該違反行為をした者は、五十万円以下の罰金に処する。
一　第四十条第一項の規定による報告若しくは資料の提出をせず、若しくは虚偽の報告をし、若しくは虚偽の資料を提出し、又は当該職員の質問に対して答弁をせず、若しくは虚偽の答弁をし、若しくは検査を拒み、妨げ、若しくは忌避したとき。
二　第五十六条の規定による報告をせず、又は虚偽の報告をしたとき。
第八十六条　第八十二条及び第八十四条の規定は、日本国外においてこれらの条の罪を犯した者にも適用する。
第八十七条　法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、次の各号に掲げる違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。
一　第八十三条及び第八十四条　一億円以下の罰金刑
二　第八十五条　同条の罰金刑
２　法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。
第八十八条　次の各号のいずれかに該当する者は、十万円以下の過料に処する。
一　第二十六条第二項又は第五十五条の規定に違反した者
二　第五十条第一項の規定による届出をせず、又は虚偽の届出をした者

引用：E-GOV法令検索

以上のように、個人情報保護法に違反すると懲役や罰金などの重い罰則が課せられるので、ネットショップを運営する際にも個人情報の取り扱いには十分な注意が必要です。

続いては、個人情報保護法が制定されてから現在に至るまでどのような推移をたどってきたのかを見てみましょう。

個人情報保護法が制定されてから現在に至るまで

個人情報が重視されるようになったきっかけは、行政機関や企業の事務的作業にPCなどの電子機器が一般的に使用され、膨大な個人情報を取り扱うようになったことです。

まず1980年にOECDの理事会で「プライバシー保護と個人データの国際流出についてのガイドラインに関する勧告」が採択されたことが、国際社会全体で個人情報保護へ向かう流れを作りました。

日本では1988年に当時の通商産業省が公的機関を対象に「個人情報保護に関する法律」を、1989年には民間を対象に「個人情報保護に関するガイドライン」を制定しました。

しかしこのときはまだ罰則がなく、民間に対するガイドラインは法的強制力もなかったために個人情報保護としては十分に機能していなかったのです。1999年にようやく本格的な法律を作ろうという議論が行われるようになりました。

莫大な量の個人データが取り扱われることが一般的になり、21世紀に入ってからは大規模な個人情報流出事件が多発します。次第に個人情報保護を強化する必要性を唱える意見が増え、2002年に個人情報保護法関連五法が国会に提出されました。ところが当時はまだ反対意見も多く、一旦は廃案になってしまいます。

その後法案は再び提出され、個人情報保護法は2003年に成立しました。その一部は即日施行され、2005年には全面施行となっています。個人情報保護法は3年ごとに見直すことが明文化されており、幾度かの改正を経て現在に至ります。

プライバシーポリシーの書き方

これまでのお話で、プライバシーポリシーを提示することがいかに大事かがお判りいただけたと思います。それでは、実際にプライバシーポリシーを提示するにはどうすればよいか、やり方を確認していきましょう。

一番手軽なのは、ネット上で公開されているテンプレートを使用することです。個人で運営する小規模なショップなどでは、テンプレートをたたき台に多少のアレンジを加えるだけでも十分でしょう。

もちろん、自分だけのプライバシーポリシーを作成することもできます。この項目では、プライバシーポリシーを自作する方法を解説していきます。

1.ライバルを参考にして作る

プライバシーポリシーを自作するのであれば、他のサイトがどのようなページを作っているかを参考にするのが一番です。特に、自分と同じような個人情報を扱っている同業他社のサイトが好ましいでしょう。

書き洩れがないかの確認になりますし、わかりやすい表現なども参考にできるはずです。ですが、テンプレートと異なり他者の文面をそのまま使ってしまうのは問題がありますのでその点については注意しましょう。

2.専門家に頼る

作成したプライバシーポリシーは、行政書士や弁護士などの法律の専門家に依頼してチェックしてもらうとよいでしょう。数万円ほどで作成自体を依頼することも可能です。

Web制作会社などに依頼することもできます。その場合は、専門家の監修があるかないかをしっかりと確認した上で、安心して任せられるところを選びましょう。

プライバシーポリシーの雛形

ネットショップでの使用を想定したプライバシーポリシーのテンプレートをまとめました。

序文から始まり、個人情報の定義や収集方法、利用目的、第三者への提供や開示についての項目があります。自身のショップに適したアレンジを施した上で使用してください。

プライバシーポリシー（個人情報保護方針）

株式会社〇〇（以下、「当ショップ」と表現します。）は、当社が取得した個人情報の取り扱いに関し、個人情報の保護に関する法律やその他ガイドライン等を遵守するよう、以下の個人情報保護方針を定めます。

なお、本プライバシーポリシーは、当ショップにおいてのみ適用されます。

第1条、個人情報について

個人情報とは、個人情報保護法に定められた個人情報を指します。具体的には、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、連絡先その他の記述等により特定の個人を識別できる情報、及び他の情報と照合することによって特定の個人を識別することができることとなるものを指します。

第2条、個人情報の収集方法

当ショップでは、ユーザーが商品のご購入、お問い合わせをする際に以下の個人情報をお尋ねすることがあります。

a)お名前、フリガナ
b)生年月日
c)ご住所
d)お電話番号
e)メールアドレス
f)パスワード
g)銀行口座、クレジットカード番号など
h)当ショップとのお取引履歴及びその内容

個人情報を収集するにあたっては、利用目的を明記の上、適法かつ公正な手段によります。

第3条、個人情報の利用目的

当ショップがユーザーからお預かりした個人情報を利用する目的は以下の通りです。

a)ご注文の確認、照会
b)商品発送の確認、照会
c)お問い合わせへの対応

第4条、利用目的の変更

当ショップは、利用目的が変更前と関連性を有する場合のみ、個人情報の利用目的を変更することがあります。変更があった際には、目的や変更内容についてユーザーへ通知、または当ショップ上で公表いたします。

第5条、個人情報の第三者への提供の禁止

当ショップでは、ユーザーよりお預かりした個人情報を適切に管理し、次のいずれかに該当する場合を除き、個人情報を第三者に開示いたしません。

1、ご本人の同意がある場合
2、人の生命、身体または財産の保護のために必要であり、本人の同意を得るのが困難な場合
3、公衆衛生の向上または児童の健全な育成の推進のために特に必要があり、本人の同意を得るのが困難な場合
3、国の機関もしくは地方公共団体などの要請があり、法令に基づき開示することが必要である場合
4、ユーザーが希望されるサービスを行うために、当ショップが業務を委託する業者に対して開示する場合
5、合併その他の事由により事業の継承が行われる場合

第6条、個人情報の開示

当ショップは、ユーザーから個人情報の開示を求められたときは、ご本人であることを確認させていただいた上、速やかに対応させていただきます。ただし、開示することにより次のいずれかに該当する場合は、その限りではありません。また、開示しない決定をした場合には、その旨を遅滞なく通知します。

1、本人または第三者の生命，身体，財産その他の権利利益を害するおそれがある場合
2、当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
3、その他法令に違反することとなる場合

前項の定めにかかわらず、履歴情報および特性情報などの個人情報以外の情報については、原則として開示いたしません。

第7条、個人情報の訂正、削除

ユーザーは、当社のお預かりする自己の個人情報が誤った情報である場合には、当社に対して個人情報の訂正、追加または削除を請求することができます。下記の第10条、お問合せ先よりお知らせ下さい。

当ショップは、ユーザーから前項の請求を受けてその請求に応じる必要があると判断した場合には、当該個人情報の訂正等を行います。また、訂正等を行った場合、もしくは訂正等を行わない旨の決定をした場合は、これをユーザーに通知いたします。

第8条、個人情報の安全対策

当ショップは、ユーザーの個人情報を正確かつ最新の状態に保ち、個人情報への不正アクセス・紛失・破損・改ざん・漏洩などを防止するため、セキュリティに万全の対策を講じております。

第9条、個人情報の利用停止

当ショップは、ユーザーから個人情報があらかじめ公表された利用目的の範囲を超えて取り扱われているという理由、または偽りその他不正の手段により収集されたものであるという理由により、個人情報保護法の定めに基づきその利用の停止を求められた場合には、ユーザーご本人からのご請求であることを確認の上で遅滞なく必要な調査を行い、その結果に基づき遅滞なく個人情報の利用停止を行い、その旨をユーザーに通知いたします。なお、利用停止を行わない旨の決定をした場合には、遅滞なくユーザーにその旨を通知いたします。

第10条、法令や規範の遵守と見直し

当ショップは、保有する個人情報に関して、日本の法令その他規範を遵守するとともに、本ポリシーの内容を適宜見直し、その改善に努めます。また、変更を行う際は、当ページへの変更をもって公表とさせていただきます。

第11条、お問い合わせ先

本ポリシーに関するお問い合わせは、下記の窓口までお願いいたします。

住所：○○○○○○
社名：△△△△△△
担当部署：□□□□□
Eメールアドレス：××××××××

作成したネットショップのプライバシーポリシーをチェックしよう

それでは、テンプレートをもとに作成したプライバシーポリシーをチェックしてみましょう。

利用目的は具体的に書こう

ネットショップを運営している場合、商品配送のために顧客から住所や名前、電話番号といった個人情報を入手することになるでしょう。

商品の注文・発送目的のみで個人情報を取得するのであれば、上記のテンプレート通りで問題はありません。ですが、「他の商品を宣伝したい」「ダイレクトメールを送りたい」とお考えの場合は、上記のテンプレートでは不十分です。

プライバシーポリシーに、「ダイレクトメールを郵送するために利用する」という記載がなかった場合、個人情報の目的外利用として個人情報保護法に違反するおそれがあります。ユーザーの中には、一度利用したネットショップから連絡が来るなんて思っていない人もいます。そんな方に、いきなりダイレクトメールや宣伝用メールを届けると驚かれてしまいます。「勝手に住所を使われた！」と怒ってしまう場合もあるでしょう。

そもそも、個人情報の保護に関する法律は、利用目的を具体的に特定することを求めています。そのため、プライバシーポリシーの中で「新商品の案内やお知らせのため」という具体的な利用目的を明示していないかぎり、ダイレクトメールを送ってはいけません。

例えば、上記のテンプレートに以下のような内容を追加しておけば問題はないでしょう。

第3条、個人情報の利用目的
当ショップがユーザーからお預かりした個人情報を利用する目的は以下の通りです。

a)ご注文の確認、照会
b)商品発送の確認、照会
c)お問い合わせへの対応
d)商品に関するダイレクトメールや資料のご送付

詳しい内容を書かずに、「サービス提供のため」などの記載のみでは具体的に利用目的が特定できないため、後のトラブルにつながる恐れがあります。

第三者提供について「同意」を得る

保有する個人情報をマーケティングのための参考資料として使う場合もあると思います。その際、第三者へ情報提供し分析や調査を依頼することもあるでしょう。

個人情報保護法によると、収集した個人情報を第三者へ提供する場合には、原則としてユーザーの同意を得ることが必要とされています。

第3条の「利用目的」は、ユーザーに分かりやすく明示しておくだけで問題ありません。ですが、「第三者への提供」に関しては、ユーザーに与える影響の大きさゆえに明示するだけでは足りず、同意を得ることも要求されます。

外国の事業者に情報を提供する場合は明記する

収集した情報を海外の事業者へ提供する場合には、個人情報の扱いが日本の法律と異なるため、必ず明記して同意を得る必要があります。

同意なしに顧客の個人情報を提供してしまうと、法律違反で罰則を受ける危険性があります。ただし、EU諸国とイギリスの事業者である場合と、事業者が日本の法律と同程度の個人情報保護を徹底してくれる場合には、必ずしも明記は必要ありません。

外国の事業者に情報を提供する時には、プライバシーポリシーに提供先の国名または地名を明記したうえで、情報提供を行うことがある旨を記載します。あるいは、プライバシーポリシーを確認したときに国名または地名を特定できるように記載することでも対応可能です。

また、どのような場面で情報提供を行うのかを具体的に明記して、個別に同意を得られるようにすることでも代用できます。

委託先への情報開示も明示する

全くの第三者だけではなく、業務上の委託先へ情報を開示する可能性があることも明記しておきましょう。上記のテンプレートでは、第5条の4項が該当します。

業務上の委託先とは、ネットショップ運営における宅配業者などです。これはショップのサービスを提供する上で必要な情報開示ですので、全くの第三者への情報提供よりは法的拘束もゆるく、「明示」でよいとされています。個人情報保護法でも、ショップの「利用目的の達成に必要な範囲内」であれば、本人の同意を得ることなく委託先へ情報提供することを認めています。

ですが、委託先も第三者であることに変わりはないので、ユーザーから同意を得ておくに越したことはないでしょう。

また、業務を委託した場合には、委託先に対する個人情報保護法上の監督義務が発生します。委託先の個人情報の利用方法や管理に対し責任を負う場合があるということを覚えておきましょう。

個人情報の共同利用をする際は、その旨も明記する

これは個人運営のショップには関係のないことかもしれませんが、念のためお話ししておきます。自身のネットショップが順調に成長し、2店舗目3店舗目と事業拡大した場合、ユーザーの情報を姉妹店間で共有する必要が出てくるでしょう。

その場合、以下の内容をあらかじめ顧客に通知するか、わかりやすく公開しておく必要があります。共同利用に関しては、同意を得る必要はなく明示しておくだけでOKです。

・共同利用をすること
・共同利用する個人データの項目
・共同利用する店舗等の範囲
・利用する店舗の利用目的および個人データの管理について責任を負う者の氏名または名称

ユーザーへの開示方法ですが、個人情報保護法には「顧客への通知」または「顧客が容易に知ることができる場合」を「明示した」と捉えます。そこで、個人情報の共同利用についてプライバシーポリシーに明記しておくと良いでしょう。

以下に例を載せておきます。

第〇〇条、個人情報の共同利用
当ショップでは、ユーザーによりよい商品やサービスを提供するため、姉妹店も含めたレベル向上を図っております。そのため、当ショップでは、以下の範囲内で適切な管理と安全措置のもと個人情報を共同利用いたします。

・共同利用するショップ名と商品、サービスは以下の通りです。

ネットショップ××（姉妹店名）
ネットショップ〇〇

・共同で利用する個人情報の項目と範囲及び収集方法
当ショップにて、ユーザーが商品のご購入、お問い合わせをする際に入力いただいた個人情報および当ショップの商品やサービス利用履歴。

・共同して利用するものの利用目的
当ショップでの利用目的と同じです。

共同利用する際には、共同利用者の間で顧客情報の管理について共同で責任を負うようにしておきましょう。また、姉妹店以外の企業との共同利用も可能ですが、その際にはユーザーから同意を得ておくのが無難です。

Shopifyでプライバシーポリシー以外に必要な内容は雛形を使う

Shopifyは気軽にECサイトを開設できるサービスとして有名ですが、プライバシーポリシー以外にも記載しておく必要がある項目が存在します。

今回はShopifyを使ってECサイトを開設するとき、プライバシーポリシー以外に必要な内容を紹介します。雛形はShopifyが無料で提供しているものもあるので積極的に使っていきましょう。

利用規約

利用者がECサイトを利用するときのルールを定めたものが利用規約です。これを定めることで万一サイト運営者と利用者との間でトラブルが発生した場合に対応することができます。

ゼロから作成するのが大変な場合はShopifyが提供している雛形を使用しましょう。

ただし雛形を全てそのまま使用したり、他のサイトで定められている利用規約のコピペは厳禁です。権利侵害で訴えられるリスクもあるので絶対にやめましょう。

特商法に基づく表記

一般的に「特商法」と呼ばれることが多いですが、消費者を保護するためのルールを定めたものです。こちらもShopifyの雛形を使用することができます。

ただし特商法の内容はECサイトのジャンルや内容によって細かい部分が変わることもあります。こちらも雛形を丸々コピーするのではなく、必要に応じて言い回しを工夫していきましょう。

返金ポリシー

商品やサービスに何らかの不具合等が発生すると利用者から返金を求められることもあります。そのため、どのような場合に返金に応じるのか、応じられないケースはあるのかといった内容を定めておく必要があります。

一般的には「特商法」の中に記載するので、返金ポリシーとして独立して表記する必要はありません。ただし、特商法の中で返金に関する内容を入れることを忘れないようにしましょう。

配送ポリシー

商品の発送に関する内容をまとめたものですが、こちらも一般的には「特商法」の中に記載するので独立して表記する必要はありません。先ほどの返金ポリシー同様に、顧客対応では必須の内容なので記載を忘れないようにしましょう。

プライバシーポリシーの設置場所は？

プライバシーポリシーができ上がったら、いよいよあなたのネットショップに掲載することになります。

プライバシーポリシーは、ショップを訪れるユーザーにとって見やすくわかりやすい場所に置いておく必要があります。具体的には、ショップのトップページから1回以内のクリックで飛べる場所と考えておけばよいでしょう。

ショップページのフッター部分がおすすめ

プライバシーポリシーは、ユーザーが確認したいと思った時に探しやすく、普段のショップ利用では邪魔にならない、そういった場所に置いておくのが良いでしょう。そこで、ページの下部、フッター部分にリンクを貼っておくのがおすすめです。

ユーザー登録フォームへの設置

個人情報保護に関する法律では、ユーザー入力画面への打ち込みで直接本人から情報を収集する場合には、あらかじめ利用目的を明示しなければならないという記載があります。（個人情報保護法第18条2項より）

さらには「第三者への情報提供」のように、ユーザーへの明示だけでなく「同意」が必要な内容もあります。そこで、ショップを利用するためのユーザー情報の登録フォームにプライバシーポリシーを設置し、「同意する」というチェックボックスにチェックを入れてからでないとユーザー登録できないようにするのが良いでしょう。皆さんの中にもこのような仕様のサイトを見たことがある方はいらっしゃるかと思います。