GDPRに準拠したプライバシー方針【無料テンプレート】

あなたのサイトにプライバシー方針は必要なのでしょうか？プライバシー方針には何を書けばいいのでしょうか？収集した情報には異なる種類があるのでしょうか？ウェブサイトでプライバシー方針を公開しないと悪影響はあるのですか？プライバシー方針の無料テンプレート【100％GDPRに準拠しています】GDPRとは何でしょう？GDPRの対象になるのは誰ですか？GDPRの対象となるデータや情報は何ですか？会社がGDPRに準拠するべき理由とは何ですか？情報漏洩が発生したらどうなりますか？新しいプライバシー方針はどのようなものとなりますか？

ウェブサイトを作成しているときには、プライバシー方針などの細かい部分を忘れてしまうことがありますよね。色のテーマを決めたりナビゲーションバーのデザインなどに気を取られて、プライバシー方針はすっかり忘れていた、なんてことがあるはずです。しかし欧州連合ではGDPR（EU一般データ保護規則）が可決されてから、ネットのプライバシーを真剣に考える必要が出てきました。欧州連合域内のユーザーに商品やサービスを提供している場合は特に重要です。

ネットのプライバシー方針に関する問題を大まかに見ていきましょう。

あなたのサイトにプライバシー方針は必要なのでしょうか？

あなたのウェブサイトが利用者からデータを収集したり、広告を表示したり、アナリティクスなどで利用者をトラッキングしている場合、サイトにはプライバシー方針が必要となります。

あなたのビジネスの住所が欧州連合にあるか、欧州連合国に住んでいる顧客と取引をする予定の場合はGDPRに準拠したプライバシー方針が必要です。

プライバシー方針には何を書けばいいのでしょうか？

プライバシー方針には以下の3つの事項について説明が書かれている必要があります。

どのような情報を収集しているのか
情報はどのように収集されているのか
情報をどのように保管、保護しているのか

収集した情報には異なる種類があるのでしょうか？

はい、プライバシー方針では個人を特定できる情報と特定できない情報を区別します。

アメリカ国立標準技術研究所（NIST）によると、個人を特定できる情報は以下のように定義されています。

“個人に関する情報のうち、ある機関が保管している情報で、次のような情報を含む。（1）氏名、社会保障番号、生年月日、出身地、母親の旧姓、生体情報など、個人の身元を識別するために使用することができる情報（2）医療、教育、財務、雇用に関する情報など、個人を特定する情報または個人を特定しうるその他の情報。”

それに対してプライベートではない情報は以下のように定義されています。

“特定の人物、アカウントまたはプロフィールに対応している情報かもしれないが、その人物を特定、連絡、または見つけるのに十分でない情報。”

ウェブサイトでプライバシー方針を公開しないと悪影響はあるのですか？

はい。

ユーザーが知らない間にデータを収集するのは罰則の対象となる罪です。どのような種類のデータを収集しているのか明確に記述する必要があり、変更があった場合にはプライバシー方針を更新しなくてはなりません。変更しなかった場合、2千万ユーロまたは収益の4％の制裁金が科されます。

プライバシー方針の無料テンプレート【100％GDPRに準拠しています】

WebsitePlanet.com ではあなたが活動を開始できるように手助けしたいと考えています。また法的な手数料を節約できるようにしたいという願いいもあります。そのため、以下にプライバシー方針の例を用意しました。ダウンロード、編集、ウェブサイトでの利用、友達や同僚への共有はご自由にどうぞ。

かっこ｛…｝の個所はあなたのウェブサイトに合わせて例を編集してください。

私たちは良心的な組織ですが、弁護士ではありません。また、これは法的な助言でもありません。このプライバシー方針の例は一例にすぎず、経験のある公認の弁護士の助言や編集と併用することを意図して作成されたものです。

以下はプライバシー方針の例であり、あなたの会社のニーズに合わせて編集、利用できます。公認弁護士に相談してからご利用ください。

A. はじめに

当サイトの利用者のプライバシーは弊社にとって非常に重要であり、弊社はプライバシーを保護することに尽力しています。このポリシーでは、お客様の個人情報をどのように扱うかを説明しています。
このウェブサイトに初めてアクセスしたときに、このポリシーの条件に従ってクッキーを使用することに同意することで、お客様が搭載にアクセスするたびにクッキーを使用することを許可したこととみなします。

B. 謝辞
この文書はSEQ Legal（seqlegal.com）のテンプレートを使用して作成され、
Website Planet（www.websiteplanet.com）によって変更されたものです

C. 個人情報の収集

次の種類の個人情報が収集、保存、及び使用される場合があります。

IPアドレス、地理的な場所、ブラウザの種類とバージョン、オペレーティングシステムなど、コンピュータに関する情報。
アクセス元、訪問時間、ページビュー、ウェブサイトのナビゲーションパスなど、このウェブサイトへのアクセスと使用に関する情報。
当サイトに登録するときに入力する、電子メールアドレスなどの情報。
当サイトでプロフィールを作成するときに入力する情報、例えば、名前、プロフィール写真、性別、生年月日、既婚・未婚などの交際状況、興味や趣味、学歴、職歴。
メールやニュースレターの購読を設定するために入力する名前やメールアドレスなどの情報。
当サイトでサービスを使用している間に入力する情報。
当サイトの使用中に生成される情報。いつ、どのくらいの頻度で、どのような状況で使用するかなどの情報を含む。
お客様が購入したもの、使用したサービス、または当サイトを通じて行った取引に関する情報。名前、住所、電話番号、メールアドレス、クレジットカードの詳細を含む。
インターネット上に公開する目的でお客様が当サイトに投稿する情報。ユーザー名、プロフィール写真、投稿内容を含む。
電子メールまたは当サイトを通じてお客様が当社に送信する通信に含まれる情報。通信コンテンツおよびメタデータを含む。
お客様が当社に送信するその他の個人情報。

お客様が他人の個人情報を当社に開示する前に、このポリシーに従ってその個人情報の開示と処理の両方についてその人の同意を得る必要があります

D. 個人情報の使用について

当サイトを通じて当社に送信された個人情報は、このポリシーまたはウェブサイトの関連ページで指定された目的に使用されます。以下の目的でお客様の個人情報を使用する場合があります。

当サイトの管理及び経営の管理のため。
お客様のために当サイトをパーソナライズするため。
当サイトで利用可能なサービスの使用を可能にするため。
豪サイトから購入した商品を送付するため。
当サイトを通じて購入したサービスを提供するため。
明細書、請求書、支払い通知を送信し、支払いを承るため。
マーケティング目的以外の通信を送信するため。
お客様が請求したメール通知を送信するため。
請求した場合、メールでニュースレターを送信するため（ニュースレターが不要になった場合、いつでも配信を停止することができます）。
当社の事業またはお客様が関心があると思われる慎重に選択された第三者の事業に関連するマーケティングを、郵送またはお客様がこれに特に同意した場合は、電子メールまたは同様の技術で送信するため（マーケティングコミュニケーションが不要になった場合はいつでも弊社にご連絡ください）。
当サイトのユーザーに関する統計情報を第三者の事業に提供するため（ただし、第三者事業はその情報からユーザーを特定することはできません）。
当サイトに関連するお客様からの問い合わせや苦情に対応するため。
当サイトを安全に保ち、詐欺を防ぐため。
当サイトの使用を管理する利用規約の順守を検証するため（当サイトのプライベートメッセージングサービスを通じて送信されるプライベートメッセージのモニタリングを含む）。
その他の用途。

プライバシー設定は、当サイトでの情報の公開を制限するために使用でき、ウェブサイトのプライバシー管理を使用して調整できます。
お客様の明示的な同意がない限り、第三者または他の第三者のダイレクトマーケティングのためにお客様の個人情報を第三者に提供することはありません。

E. 個人情報の開示について

このポリシーに記載されている目的に合理的に必要な場合、職員、役員、保険会社、専門アドバイザー、代理店、供給会社、または下請業者に個人情報を開示する場合があります。
このポリシーに記載されている目的のために合理的に必要な場合、当社グループのメンバー（つまり、子会社、最終持株会社、およびそのすべての子会社）に個人情報を開示する場合があります。

法律で義務付けられている範囲で、
進行中または将来の法的手続きに関連する場合、
当社の法的権利を確立、行使、または防御するため（詐欺防止および信用リスクの低減を目的とした他者への情報提供を含む）、
当社が販売している（または販売を検討している）事業または資産の購入者（または購入予定者）へ、
当社の合理的な意見では、かかる裁判所または当局がその個人情報の開示を合理的に判断する可能性がある場合、裁判所またはその他の管轄当局にその個人情報の開示を申請できると合理的に信じる者に、

個人情報を開示する場合があります。

このポリシーで規定されている場合を除き、当社はお客様の個人情報を第三者に提供しません。

F. 国際的なデータ通信

当社が収集する情報は、このポリシーに従って情報を使用できるようにするために、当社が事業を展開している国のいずれかで保管、処理、および転送される場合があります。
当社が収集する情報は、欧州経済地域で施行されているデータ保護法と同等のデータ保護法を持たない次の国に転送される場合があります：米国、ロシア、日本、中国、インド。
当サイトで公開する個人情報、または当サイトで公開するために送信する個人情報は、インターネットを介して世界中で利用できる場合があります。当社は他者によるそのような情報の使用または誤用を防ぐことはできません。

G. 個人情報の保持

本項Gでは、個人情報の保持および削除に関する法的義務を確実に順守するように設計されたデータ保持ポリシーと手順を規定します。
弊社が何らかの目的のために処理する個人情報は、その目的またはそれらの目的に必要な期間よりも長く保持されることはありません。
弊社は一般的に、項G2に違反することなく、以下で規定された日時に以下で規定されたカテゴリに該当する個人情報を削除します。
1. 個人に関する種類の情報は{日付・時刻を入力}に削除されます。
2. {追加の日付・時間を入力}
本項Gのほかの規定にかかわらず、
1. 1. 法律で義務付けられている範囲で、
  2. 文書が進行中または将来の法的手続きに関連していると思われる場合、および
  3. 当社の法的権利を確立、行使、または防御するため（詐欺防止および信用リスクの低減を目的とした他者への情報提供を含む）。
個人情報を含む文書（電子文書を含む）を保持します。

H. 個人情報のセキュリティ

弊社は、お客様の個人情報の損失、誤用、または改ざんを防ぐために、合理的な技術的および組織的な予防措置を講じます。
お客様から提供されたすべての個人情報は、安全な（パスワードおよびファイアウォールで保護された）サーバーに保存されます。
当サイトを通じて行われるすべての電子金融取引は、暗号化技術によって保護されます。
お客様は、インターネットを介した情報の送信は本質的に安全ではなく、インターネットを介して送信されるデータのセキュリティを保証できないことを認めます。
当サイトへのアクセスに使用するパスワードを秘密にする責任はお客様にあります。弊社がお客様のパスワードを要求することはありません（当サイトにログインする場合を除く）。

I. 修正

当サイトに新しいバージョンを公開することにより、このポリシーを随時更新する場合があります。定期的にこのページを確認し、ポリシーの変更内容の理解に努めてください。ポリシーの変更については電子メールまたは当サイトのプライベートメッセージングシステムを通じて通知する場合があります。

J. お客様の権利

お客様は、弊社が保持しているお客様に関する個人情報を開示するように指示することができます。そのような情報の提供には、次の条件が適用されます。

料金を支払うこと{該当する場合は料金を入力}、そして
適切な身分証明書を提供すること（{ポリシーに反映するように文章を編集してください。この目的のためには一般的に、公証人によって証明されたパスポートのコピーと現住所を示す公共料金請求書の原本を適切な身分証明書として認めます}）。

法律で許可されている範囲で、お客様が要求する個人情報の開示を保留する場合があります。
お客様にはマーケティング目的で個人情報を処理しないよう指示する権利があります。
実際には、通常、マーケティング目的での個人情報の使用に事前に明示的に同意するか、マーケティング目的での個人情報の使用をオプトアウトする機会を提供します。

K. サードパーティのウェブサイト

当サイトにはサードパーティのウェブサイトへのハイパーリンクとそれに関する詳細情報が掲載されています。弊社は、サードパーティのプライバシーポリシーと行いを管理することはできず、責任を負いません。

L. 情報の更新

弊社がお客様に関して保持している個人情報を修正または更新する必要がある場合はお知らせください。

M. クッキー

当サイトはクッキーを使用しています。クッキーは、ウェブサーバーからウェブブラウザに送信され、ブラウザによって保存される識別子（文字と数字の文字列）を含むファイルです。その後、ブラウザがサーバーからページを要求するたびに、識別子がサーバーに送り返されます。クッキーは、「永続」クッキーまたは「セッション」クッキーのいずれかです。永続クッキーは、ウェブブラウザによって保存され、有効期限前にユーザーによって削除されない限り、設定された有効期限まで有効です。一方、セッションクッキーは、Webブラウザが閉じられるユーザーセッションの終了時に期限切れになります。クッキーには通常、ユーザーを個人的に特定する情報は含まれませんが、クッキーに保存され、クッキーから取得した情報にリンクされている可能性のある個人情報が保存されます。{正確なフレーズを選択してください。当サイトでは、セッションクッキーのみ・永続クッキーのみ・セッションクッキーと永続クッキーの両方を使用しています。}

当サイトで使用するクッキーの名前、およびそれらの使用目的は以下のとおりです。
1. ユーザーがコンピュータを使って{サイトで使用されているすべての用途を使用してください。ウェブサイトにアクセスする・ウェブサイトをナビゲートする際にユーザーを追跡する・買い物かごを使用する・ウェブサイトの使いやすさを改善する・ウェブサイトの利用を分析する・ウェブサイトを管理する・詐欺を防止しウェブサイトのセキュリティを改善する・ユーザーごとにウェブサイトをパーソナライズする・特定のユーザーに特に関心のある広告のターゲット化する・目的の説明}ことを認識するためにウェブサイトでGoogle AnalyticsとAdWordsを使用します。
ほとんどのブラウザでは、クッキーを拒否できます。例えば、
1. Internet Explorer（バージョン10）では、[ツール]、[インターネットオプション]、[プライバシー]、[詳細設定]の順にクリックして、クッキー処理上書き設定からクッキーを拒否できます。
2. Firefox（バージョン24）では、[ツール]、[オプション]、[プライバシー]の順にクリックし、ドロップダウンメニューから[履歴にカスタム設定を使用する]を選択し、[サイトからのCookieを受け入れる]を選択します。
3. Chrome（バージョン29）では、「カスタマイズと制御」メニューにアクセスし、「設定」、「詳細設定を表示」、「コンテンツ設定」の順にをクリックし、「設定からサイトをブロック」を選択して、すべてのCookieをブロックできます。

すべてのクッキーをブロックすると、多くのウェブサイトのユーザビリティに悪影響が及びます。クッキーをブロックすると、ウェブサイトのすべての機能を使用できなくなります。

コンピュータに既に保存されているクッキーを削除できます。たとえば、
1. Internet Explorer（バージョン10）では、クッキーファイルを手動で削除する必要があります（削除の手順はhttp://support.microsoft.com/kb/278835を参照してください）。
2. Firefox（バージョン24）では、「ツール」、「オプション」、「プライバシー」の順にクリックし、「履歴にカスタム設定を使用する」を選択し、「Cookieを表示」をクリックしてから「すべて削除」をクリックして、クッキーを削除できます
3. Chrome（バージョン29）では、「カスタマイズと制御」メニューにアクセスし、「設定」、「詳細設定を表示」、「閲覧データを消去」の順にをクリックして、クッキーと他のサイトとプラグインデータを削除するを選択してから「閲覧データを消去」をクリックして下さい。
すべてのクッキーをブロックすると、多くのウェブサイトのユーザビリティに悪影響が及びます。

上記のテンプレートをお客様のウェブサイトに導入する場合は、法律の専門家に相談することをお勧めします。Website Planetは責任を負いかねます。

GDPRとは何でしょう？

GDBRとはGeneral Data Protection Regulationの頭文字で、ヨーロッパ連合が導入する、個人情報、個人データの扱いに関する規則です。ヨーロッパ連合理事会、ヨーロッパ議会、ヨーロッパ委員会が協力し、市民が個人情報の管理をより適切に管理できるようにするために制定したものです。

公式にヨーロッパ議会に認可されたのは2016年のことで、ヨーロッパ連合は会社や企業がこの新しい規制に準拠するために2年の期間を設けました。そのため2018年5月25日以降、この新しいGDPR法に準拠していない会社は法律に違反していることになります。

GDPRの対象になるのは誰ですか？

ヨーロッパ連合内でヨーロッパ連合市民を対象に営業を展開しているすべての企業及び営業を検討しているすべての企業はこの新しい規制に準拠する必要があります。ヨーロッパ連合圏内の会社であっても、ヨーロッパ連合の市民を対象に商品やサービスを提供している場合は規制の対象です。また、ヨーロッパ連合市民の個人情報を保存している組織は2018年5月25日から罰則の対象になります。

GDPRの対象となるデータや情報は何ですか？

ヨーロッパ連合市民を特定するのに利用できるあらゆる個人情報はGDPRの対象となっており、以下のようなデータが含まれます

名前
写真
メールアドレス
ソーシャルメディアへの投稿
個人の医療に関する情報
IPアドレス
銀行に関する情報

未成年者は個人情報の利用に法的に合意することはできません。そのため、16歳以下の子供のデータを企業が利用したい場合は親または保護者に許可を求める必要があります。

会社がGDPRに準拠するべき理由とは何ですか？

5月25日までにGDPRに準拠しない会社はEUによって多額の罰金が科されます。この額は全体の収入の4％または2千万ユーロ（金額の大きい方）となります。また、その違反によってはさらに罰則が科されることもあります。

さらに重要なことは新しい規制に準拠しない会社は市場での信頼を失うことです。つまり、GDPRの法律に従えば、顧客が会社やそのウェブサイトを信頼する可能性が高まるということです。人は安全だと感じた場合、組織と取引する可能性が高まるのです。GDPRに従うということはきちんとした経営というだけでなく、会社にメリットをもたらすことになるのです。

情報漏洩が発生したらどうなりますか？

情報漏洩が発生した場合（許可なく外部者が個人のデータにアクセスできた場合）、GDPRにのっとって72時間以内にデータ保護組織に申し出る必要があります。また、なるべく早く被害に遭った個人に事態を報告する必要があります。GDPRの主な目的はユーザーのプライベートな情報を保護することなのです。

新しいプライバシー方針はどのようなものとなりますか？

この法律の意図と基本的な内容が分かりましたね。ではあなたのプライバシー方針をGDPRに従ったものにするためにどのように書けばいいのかガイドラインをご紹介します。

方針をなるべく簡潔に短く書きましょう。プライバシー方針には基本的に3つの要素があります。簡潔で、簡単に読めること、子供でも理解できるような日常的な表現で書かれていること、無料であることです。
データを何のために利用するのか説明しましょう。データを収集したらそれを何のために利用するのか説明しましょう。例えばマーケティングのために利用するのか、第3者に転売するのかなどです。
クッキーの利用を説明しましょう。サイトの利用者が何に興味があるのか、ネットでどのような活動をしているのかなど、ネット上の活動をもとにした広告のためにクッキーを利用している場合、ウェブサイトの利用者に知らせる必要があります。
第3者組織とデータを共有することに関して透明性を持ちましょう。収集したデータを何の目的で誰と共有するのか明示しましょう。調査員、ソーシャルネットワーク、カスタマーサービス販売者などと個人情報を共有するのは法律の範囲内ですが、サイトの利用者に共有していると知らせないことは法律違反となります。
個人の権利を説明しましょう。サイトの訪問者にどのようなプライバシーに関する権利があるのか説明する必要があります。権利には以下のようなものが含まれます。

データの削除、修正を依頼できる。
会社がどのようなデータを保管しているのかアクセスできる。
データを外部者に移転するよう申請できる。
データを利用するためには会社に許可を与える必要がある。