プライバシーポリシーの同意チェックボックス、問い合わせフォームに必須?
問い合わせフォームの最後、「送信」ボタンの前によくあるプライバシーポリシーや利用規約への同意を求めるチェックボックス。
実際のところ、ユーザーからの同意取得は必須なのでしょうか?
ユーザーとウェブサイト運営者の間で、同意チェックボックスがどのような役割を果たしているのか、また、どのように同意を取得すればいいか解説します。さらに、利用規約とプライバシーポリシーの同意チェックボックスは分けるべきなのかを理由とともに解説します。
最後に、Pivot-Formで問い合わせフォームを作成する際の、同意チェックボックスの設置方法について紹介します。
プライバシーポリシーへの同意取得は必須ではない
結論をいうと、プライバシーポリシーへの同意取得は法律上、絶対に必須というわけではありません。しかし、同意が必要な場合もありますので注意が必要です。
ここでは、どのような場合に同意が必要なのか解説していきます。
そもそもプライバシーポリシーを定める目的は?
「プライバシーポリシー」とは、企業や組織が個人情報などのプライバシーに関する情報の取り扱いについて方針を示す文書のことをいいます。
プライバシーポリシーを作成して公開することは、法律上の義務ではありません。しかし、以下2つの目的から作成・公開されています。
1.個人情報保護法のルールを守るため
2.個人情報の取り扱い方針を示し、ユーザーの理解を得るため
1.個人情報保護法のルールを守るため
「個人情報保護法」とは、個人情報(検索可能なデータベースに格納された個人データ)を扱うすべての組織に対してルールを定めた法律です。個人情報保護法では、個人情報を取得する際には、本人にその利用目的を伝えるか公表しなければならない、というルールがあります。
この個人情報保護法のルールを守るため、多くの事業者は利用目的をプライバシーポリシーに記載して公表しています。前述したとおりプライバシーポリシーの作成は必須ではないので、利用目的を本人に直接伝える、という方法でもルールを守れます。
2.個人情報の取り扱い方針を示し、ユーザーの理解を得るため
もう一つの目的として、ユーザーの理解を得るため、というのが挙げられます。保有する個人情報に対して、どのように開示・訂正・利用停止等を運用するのか公表し透明性を確保することが大切です。
近年、個人情報に関するユーザーの意識が高まっています。たとえ法的に問題がなかったとしても、個人情報の取り扱いについて説明が不十分だと、ユーザーの不安を増長させてしまい信用を得られない可能性があります。
実際に説明が不十分のまま個人情報を利用してしまい、事件につながったケースもあります。このような事態を防ぐためには、プライバシーポリシーへ個人情報の取り扱い方針をきちんと明示し、ユーザーの理解を得ることが大切です。
以上の2つの目的から、プライバシーポリシーを定めてウェブサイトに公開しています。
同意取得が必要なケースは3つ
それでは、プライバシーポリシーへの同意取得は、どのような時に必須なのか。個人情報保護法では、本人からの同意取得を事業者に義務づけているケースは以下の3つです。
1.本来の目的以外で利用する場合
2.要配慮個人情報を取得する場合
3.個人情報を第三者に提供する場合
1.本来の目的以外で利用する場合
ユーザーから収集した情報を、収集時に説明した目的以外で使用する場合は同意取得が必須です。
たとえば、ウェブサービスを提供する目的のみで利用すると説明していた個人情報を使って、自社の新サービスを案内するメールを送付するケースが該当します。この場合、新サービスの案内を送付する前に、既存ユーザーの同意を得なければなりません。
2.要配慮個人情報を取得する場合
「要配慮個人情報」とは、本人に対する不当な差別・偏見その他の不利益が生じないように、取り扱いについてとくに配慮が必要な個人情報を意味します。
具体的な例としては、以下のような情報が該当します。
- 人種
- 信条
- 社会的身分
- 病歴
- 犯罪の経歴
- 犯罪により害を被った事実
- 身体障害・知的障害・精神障害等があること
- 健康診断等の結果
3.個人情報を第三者に提供する場合
取得した個人データを第三者に提供する場合は、本人からの同意取得が必要です。
たとえば、グループ会社間で顧客情報を共有する場合や、マーケティング目的で同業他社と個人データを交換するような場合はこれに該当します。事前に本人から、個人情報を第三者に提供することに同意を得なければなりません。
また、Google広告のカスタマーマッチや拡張コンバージョンなど、自社で保有する顧客データを広告媒体に送る行為は第三者提供とみなされる可能性が高いです。広告媒体に送るとき、データがハッシュ化されているから大丈夫とは限らず、ハッシュ化前のデータと突合して照合しうる可能性がある場合には、個人データとみなされ第三者提供に該当します。
Google広告のカスタマーマッチや拡張コンバージョンなどを利用する場合は、事前にプライバシーポリシーを見直し、顧客の同意を得ておくようにしましょう。
プライバシーポリシー同意、どうやって取得する?
本人から同意を得るには、以下の方法が考えられます。
・口頭での同意
・書面への署名
・ウェブサイトの同意欄へのチェック
口頭での同意は、万が一トラブルになった場合、同意したという証明ができないためおすすめできません。プライバシーポリシーへの同意書を作成し、署名してもらう方法が適しています。
ウェブサイトであれば、同意チェックボックスを用意してチェックしてもらうのが一般的です。
同意チェックボックスの設置方法
よくある設置方法3つ
同意チェックボックスには、以下3つの設置方法をよく見かけます。
1.独立した同意ボタンを設置する
2.みなし同意による方法
3.利用規約とプライバシーポリシーを併せた同意ボタンを設置する
1.独立した同意ボタンを設置する
フォーム送信ボタンの直前でプライバシーポリシーを表示し、同意チェックボックスにチェックを入れてもらう方法です。その際、チェックを入れないとフォームを送信できないようにします。
2.みなし同意による方法
みなし同意とは、利用規約の中で「利用規約へ同意をすることで、プライバシーポリシーへも同意したものとみなす」といった文章を記載する方法です。この場合、利用規約内にプライバシーポリシーへのリンクを表示し、同意チェックボックスは利用規約に対してのみ設置します。
みなし同意は、ユーザーの手間を省略できる一方で、プライバシーポリシーに本当に同意したかどうかがわかりにくくなっています。
3.利用規約とプライバシーポリシーを併せた同意ボタンを設置する
利用規約とプライバシーポリシーの両方を表示し、1つの同意チェックボックスで同意を得る方法です。ユーザーは1か所にチェックを入れるだけなので、独立した同意ボタンよりユーザーの負担が少し減りますが、下記に示すように非推奨です。
利用規約とプライバシーポリシーを併せた同意ボタンは非推奨
1つのチェックボックスで、プライバシーポリシーと利用規約の両方の同意を取得する問い合わせフォームがよくありますが、分けたほうがベストです。
利用規約は、サービスの利用者と提供者の間のルールをまとめたものであり、プライバシーポリシーのように事業者が遵守するためのものではありません。利用規約にはたとえば、利用条件や禁止事項、トラブル発生時の対処方法、料金などを記載します。
利用規約とプライバシーポリシーを分ける理由
プライバシーポリシーと利用規約を分けたほうがいい理由は2つあります。
1.利用規約を変更しにくくなる
2.海外の法律ではNG
1.利用規約を変更しにくくなる
2020年4月1日より施行された民法改正により、新たに定型約款の取り扱いが設けられました。定型約款とは、サービス提供者が不特定多数の利用者に対して一律に適用する契約条件のことで、多くのウェブサイトの利用規約がこれに該当します。
定型約款では、ユーザーから事前に同意を得ることで、個々の条項に合意があったとみなされます。また、相手が不利にならないなどの条件に該当すれば、本人から個別に合意を得なくても内容を変更できるため、事業者にとって非常に便利な制度です。
しかし、プライバシーポリシーに関する同意は、要件が定型約款とは異なります。同じチェックボックスで同意を得ると、規約変更時にユーザーからの個別同意が必要になる可能性が高くなり、定型約款のメリットが得られなくなります。
2.海外の法律ではNG
GDPR(EU一般データ保護規則)というEU域内で個人情報保護を規定する法律では、日本よりも同意取得に関して厳格なルールが定められています。GDPRでは、プライバシーポリシーは利用規約などの他の文書とは明確に区分し、理解しやすくアクセスしやすいように提示しなければなりません。
そのため、利用規約とプライバシーポリシーの同意を一緒に取得する方法では、GDPRの要件を満たすことができません。とくに海外展開するサービスでは、利用規約とプライバシーポリシーは同意チェックボックスを絶対に分けましょう。
参考:プライバシーポリシー同意取得の調査資料
以下のリンクには、総務省と野村総合研究所が実施した、さまざまな企業による同意取得の方法についての調査結果がまとめられています。他の企業が行っている工夫なども詳しく記載されていて参考になります。
プライバシーポリシー等のベストプラクティス及び通知同意取得方法 に関するユーザー調査結果
Pivot-Formでプライバシーポリシーの同意を取る方法
Pivot-Formでは、「個人情報保護方針」はモーダルウィンドウで表示される仕組みになっています。
一般的なテキストリンクによる表示では、他ページに移動することにより元のページにもどれなくなってしまうという懸念があり、またiframeではスマートフォンでの操作性が良くないという課題があります。その点モーダルウインドウでは、他ページに移動することなく内容を確認することができるため、不用意な離脱を防ぎ、スマートフォンでの操作性も良いというメリットがあります。
「個人情報保護方針」の表示設定 | Pivot-Form(ピボットフォーム)
また標準機能として、以下を選択できるようになっています。
・プライバシーポリシー(個人情報保護方針)をモーダルウィンドウで表示するか否か
・プライバシーポリシー(個人情報保護方針)に同意するチェックボックスを表示するか否か
個人情報を扱わないフォームでは、プライバシーポリシーの同意取得をする必要はありません。
個人情報を取得するけれどユーザーの利便性を優先したい場合、チェックボックスを表示せず、送信ボタンを「プライバシーポリシーに同意して進む」といったテキストに変更して同意を得ることも可能です。
詳しくは以下サイトで紹介しています。
そのほか、プライバシーポリシーを全文スクロールしないと同意チェックボックスが押せないようにする、など、取得する個人情報によって運用は異なると思いますので、サイトやサービスに合わせてプライバシーポリシー同意取得のカスタマイズも可能です。ぜひPivot-Formにお気軽にお問い合わせください。