Webサイトやアプリのフォームを整備する際、「プライバシーポリシーに同意しないと送信できない形にすべきか」「同意チェックボックスは法的に必須なのか」と悩まれる事業者は少なくありません。
背景には、個人情報保護法の“同意が必要な場面”と、プライバシーポリシーの“周知・公表”の役割が混同されやすいことがあります。
本記事では、実務で判断できる粒度で、同意が必要になる典型ケースと、フォーム(チェックボックス)の設計・文言の考え方を整理してみます。
「同意」が必要なのは“ポリシー”ではなく“特定の行為”
プライバシーポリシーは、利用者に対して取扱いの透明性を確保するための文書で、基本は「公表して周知する」ためのものです。
一方、個人情報保護法では、一定の行為(第三者提供など)について本人の同意が求められます。ここで重要なのは、求められているのは「プライバシーポリシーに同意すること」ではなく、当該行為に対する同意を、本人が分かる形で、かつ事業者側もそれを証明できる形で取得することだという点です。
そこで結論を先に述べると、次の整理が実務的です。
- 原則:プライバシーポリシーの掲示そのものに「同意」が必須とは限らない。
- 例外:第三者提供等、法令上“同意が必要な行為”があるなら、行為を特定して同意を取る(ポリシー同意の一括化は避ける)。
同意が必要になりやすい代表3ケース
「自社に同意が必要か」を見極めるには、まず 何を取得し、どこへ渡し、何に使っているかという「データの流れ」を把握するのが近道であり確実な手順です。
そのうえで、同意が問題になりやすい典型は次の3つです。
| 代表的なケース | 典型例 | ポイント |
|---|---|---|
| 第三者提供 | 提携先へ顧客情報を共有、顧客リスト連携など | 原則同意。まず「第三者提供に当たるか」「委託・共同利用等の整理か」を切り分ける |
| 要配慮個人情報の取得 | 健康情報・病歴に触れる質問項目など | 原則同意。取得項目と利用目的の説明を具体化する |
| 目的外利用 | 問い合わせ対応の情報を後日マーケへ転用 等 | 当初の利用目的を超えるなら同意が必要になり得る |
ケース1:第三者提供(法27条1項)
個人データを第三者に提供する場合、個人情報保護法では原則としてあらかじめ本人の同意が必要と整理されています。
ただ、弊所でプライバシーポリシー作成のお手伝いをしていて感じるのは、「外部サービスを使っている」=「第三者提供」と考えている方がとても多いことです。
実際には、同じ“外部”でも、委託や共同利用など整理が変わる可能性があり、ここを誤ると、同意設計もプライバシーポリシーとの整合性も崩れてしまうおそれがあります。
(※ 第三者提供に該当しない場合については、こちらの記事をご覧ください)
したがって、第三者提供に該当する可能性がある場合は、まず次の順で整えることが重要です。
- 提供先(誰に)・提供項目(何を)・目的(何のために)を棚卸しする
- 整理の結果「第三者提供」に当たるなら、同意対象を具体化して提示する
- 同意を得た事実を説明できるよう、同意ログ(いつ・どの画面で・何に同意したか)を残す
ここまでできて初めて「同意を取った」と言える状態になります。
なお、第三者提供に該当する場合であっても、同意が不要なケースもあります。
詳細はこちらをご覧ください。
ケース2:要配慮個人情報を取得する場合(法20条2項)
要配慮個人情報は、病歴等のセンシティブな情報を含む類型として法令上定義されています。
(詳細は「要配慮個人情報とは?」をご覧ください)
要配慮個人情報を取得する場合にも、原則として本人の同意が必要です。
ただし、以下のような場合は要配慮個人情報の取得に際して本人の同意は不要です。
| No. | 類型 | 典型例 | 「同意が困難」の要件 | 該当条文 |
|---|---|---|---|---|
| 1 | 法令に基づく場合 | 従業員の健康診断を実施した会社が、その健康診断実施機関から結果を取得 | 不要 | 法22条2項1号 |
| 2 | 生命・身体・財産の保護 | 急病人の持病等の情報を医師に伝える | 必要 | 法22条2項2号 |
| 3 | 公衆衛生・児童の育成 | 児童虐待の情報共有 | 必要 | 法22条2項3号 |
| 4 | 国の機関等への協力 | 警察の任意の求めに応じて提供 | 必要 | 法22条2項4号 |
| 5 | 学術研究目的での利用 | 研究成果の発表・教授 | 不要 | 法22条2項5号 |
| 6 | 共同学術研究 | 研究機関間でのデータ共有 | 不要 | 法22条2項6号 |
| 7 | 本人、国の機関等により公開済み | 難病患者が自身の病状をブログで公開 | 不要 | 法22条2項7号 |
| 8 | 目視・撮影による取得 | 身体が不自由な方の来店時対応記録 | 不要 | 法22条2項8号 政令9条1号 |
| 9 | 委託・事業承継・共同利用による取得 | 委託による取扱い | 不要 | 法22条2項8号 政令9条2号 |
なお、No.2〜4には「本人の同意を得ることが困難であるとき」という追加要件がある点には注意が必要です。本人からの同意が容易に得られる状況であれば、これらの例外は使えませんので、原則通り本人からの同意が求められます。
同意の取得については、チェックボックスなどを用いた「明示の同意」を得ることが望ましいですが、例えば利用者本人から自身の病状などの要配慮個人情報を適正に直接取得する場合は、本人が要配慮個人情報を提供したことをもって本人の同意があったと考えることも可能であるとされています。
ケース3:目的外利用(法18条1項)
同意が問題化するもう一つの典型は、組織内での情報共有や部署間連携の過程で、個人情報取得時に提示していた当初の目的を超えて利用してしまうケースです。
個人情報保護委員会のFAQでも、同一事業者内の提供自体は第三者提供に当たらない一方、当初の利用目的の達成に必要な範囲を超える利用(目的外利用)になる場合は同意が必要になり得る、という整理が示されています。
典型例としては、次のような場合です。
- 問い合わせ対応のために集めた情報を、後日マーケティングにも使う
- 採用応募の情報を別用途へ転用する
最初に掲げた目的の範囲と、実際の利用が一致しているかは、定期的に点検することが重要です。
この場合、自社だけで点検するのではなく、第三者の専門家と共に進めることも有効です。
フォームの「同意チェックボックス」はどう設計すべきか
ここまでの整理から分かるとおり、チェックボックスは“付ければ安心”というものではありません。
同意が必要な事項と、周知(確認)で足りる事項をしっかり認識した上で分離することにより、個人情報を提供する者に対して「確認」なのか「同意」なのかを適切に案内することが重要です。
1)周知(確認)が中心の場合
たとえば問い合わせフォームで、同意が必要な行為(第三者提供等)を行っていないのであれば、次のように「確認」表現が適しています。
□ プライバシーポリシーを確認しました (プライバシーポリシーへのリンク)2)同意が必要な事項がある場合
第三者提供など同意が必要な要素がある場合は、チェック欄は分けて、利用者が理解できる単位にすることが望ましいです。
□ 顧客情報を◯◯の目的で△△へ提供することに同意します(提供項目:…/提供先:…)
□ プライバシーポリシーを確認しました(プライバシーポリシーへのリンク)「同意」と書く以上、可能な限り同意対象が明確であることが望ましいです。対象行為・目的・相手方が読み取れる状態にすることが、後日の説明責任にも直結します。
「本人の同意を得た」といえる具体的な手段とは?
法令では、同意取得の方法については特段の規定はありません。
ただ、同意を取得したとして認められる代表的な手段として、ガイドラインでは以下のようなものが例示されていますので、実務において参考になります。
- 同意する旨が記載された書面の受領
- 同意を確認するチェックボックスにチェックを入れる
- ウェブサイト上の「同意する」ボタンをクリックする
なお、「プライバシーポリシーに同意します」というチェックボックスにあらかじめチェックが入っている状態は注意が必要です。
これは法令上ただちに否定されるものではありませんが、無意識のうちに不利な方向に導かれるという、いわゆる”ダークパターン”に該当することも考えられ、トラブルの種にもなりやすいため避けることが望ましいです。
同意の「証拠」も重要
同意取得は、画面上にチェックボックスを設けるだけで安心というものではありません。
トラブルが発生した時に「確かにこの内容に同意があった」と説明できるよう、同意日時、文言(当時の画面)、ポリシーの版(更新日等)、経路などが追える形で保管する運用が望ましいです。
同意を得ていても安全にならないケース
実務で特に多いのは、次のような状態です。
まず、広告・計測・外部ツールの追加でデータの流れが変わったにも関わらず、同意設計とポリシー改定が追随していないケースです。
プライバシーポリシーは作って終わり、と考えているような場合によくある、“意図せず違反リスクを高める”典型だといえます。
また、同意に関するログが残っておらず、結果として”同意を得たこと”を立証できず説明責任が果たせないケースです。
このあたりは、テンプレートを貼っただけでは解決しません。
自社のデータの流れに合わせて、文言と導線を整合させる必要があります。
同意設計や見直しが必要になりやすいケース
次の5つの項目のうち、一つでも当てはまる場合、同意取得・プライバシーポリシー・フォーム表示を一体で見直す必要性が高いです。
- 顧客情報を提携先や別会社と共有・提供することがある
- 健康情報などセンシティブな内容をフォームで取得している(または自由記述で入り得る)
- 取得時の目的とは別に、後日マーケティング等へ転用する可能性がある
- 顧客リストを広告配信のために外部へ連携している(例:Google広告のカスタマーマッチなど)
- 外部ツールやタグを追加・変更する機会が多い
まずは「棚卸し」から
「同意が必要か」は、結局のところ データの流れで決まります。
そのため、実務の優先順位としては次の順が安全だといえます。
データの棚卸し(取得情報・目的・外部送信・提供先)
↓
第三者提供や目的外利用の有無を整理
↓
その結果に合わせて、プライバシーポリシーの記載とフォーム導線(同意の分離)を整備
同意取得に関するよくある質問
Q.「同意しないと送信できない」という形にしてもよいですか?
A. 同意が必要な事項があるなら、同意対象を具体化した上で送信条件とする設計はあり得ます。一方、周知で足りる事項まで一括で「同意必須」にすると、利用者の理解を損ねやすく、同意の質も下がりやすいです。
Q. 同意チェックボックスがないと違法ですか?
A. チェックボックスの有無だけで一律に違法とはいえません。問題は、同意が必要な行為があるのに、同意取得が成立していない(または同意対象が曖昧)状態です。
Q. プライバシーポリシーに書いておけば第三者提供の同意は不要ですか?
A. 第三者提供に該当する場合は原則同意が必要です。同意取得にあたっては、可能な限り、どのような第三者に提供されるのかを本人が把握できる、または予測できるような情報を提供することが望ましいです。
同意必要性の有無をしっかり判断
プライバシーポリシーは本来、透明性を確保するための文書であり、同意は常に必要というものではありません。
ただし、第三者提供、要配慮個人情報の取得、目的外利用など、同意が必要になり得る行為がある場合は、行為を特定して同意を取得し、文言・導線・ログまで整合させることが不可欠です。
特にプライバシーポリシーを作成してから時間が経っているような場合は、実態との齟齬が生じている可能性がありますので、すぐに見直してみてください。
