
はじめに
SaaS形式でソフトウェアをユーザーに提供したり、フリマアプリでユーザー同士をマッチングさせたりといったように、事業者がオンライン上で国内外の多数のユーザーにサービスを提供する際に、いちいち紙の契約書を送って、署名、捺印してもらうなんて現実的じゃないですよね。
そこで、「利用規約」や「プライバシーポリシー」を使うわけですが、どのようにユーザーから同意を取ればいいのか、よくわからないという事業者も実は多いのではないでしょうか?
そこで今回は、なぜ同意を取らなければいけないのかを簡単におさらいしながら、利用規約やプライバシーポリシーの具体的な同意の取り方を弁護士がわかりやすく解説していきます。
目次
1 利用規約とは
(1)利用規約とは
「利用規約」とは、サービスを運営する事業者とサービスを利用したいユーザーとの約束事(ルール)について書かれた文書です。利用条件、利用契約など別の名称となっていることもあります。
この利用規約には、
- サービス内容
- 利用料
- サービス利用にあたっての禁止事項
- トラブル発生時の解決方法
など、事業者・ユーザーそれぞれが守らなければいけないルールが定められています。
このルールがあることで、事業者はサービスが破綻してしまうような利用方法でユーザーがサービスを利用することを防いだり、万が一トラブルやクレームが発生したとしてもスムーズに解決したりといったことが可能となります。
このように事業者とユーザー間のルールについて定めたものが利用規約となるわけですが、なぜ、事業者はユーザーから利用規約への同意を得る必要があるのでしょうか。
(2)利用規約への同意はなぜ必要?
ユーザーから同意を得るということは、「利用規約に従ってサービスを利用する」ことを納得してもらうことを意味しています。
たとえば、同意を得なかった場合を想像してください。
ユーザーから
- 利用規約があるなんて知らなかった
- そんなルールがあるなんて知らなかった
- そんなルールがあるならサービスを利用しなかったのに
なんてことを言われても、事業者は何の反論もできなくなってしまいます。
なぜなら、ユーザーが「利用規約に従ってサービスを利用する」ことに納得してサービスの利用を開始したことを事業者は証明できないからです。
そればかりか、ユーザーが利用規約に納得していない以上、事業者は利用規約に定められたルールをユーザーに適用することすらできないおそれさえあります。
そのため、サービスを利用したいというユーザー全員への利用規約への同意という手続は必須であり、絶対におろそかにしてはいけないのです。
では、利用規約の同意はどのように行えばいいのでしょうか。具体的な同意の取り方を確認する前に、同意を取る際の注意点について確認していきましょう。
2 同意を取る際の注意点
経済産業省が作成した「電子商取引及び情報取引等に関する準則(平成30年7月)」によれば、利用規約のルールをユーザーに適用するためには
- ユーザーが利用規約の内容を事前に容易に確認できるように適切にホームページなどに掲載して開示していること
- ユーザーが開示されている利用規約のルールに従ってサービスを利用することに同意していると認定できること
を必要としています。
ここでいう「開示」とは、ユーザーが希望する場合には容易に情報が得られるようにすることを意味しています。
そのため、同意を取る際には、同意をどのように取るか?だけではなく、利用規約をどのように開示するか?についても注意しなければいけないことになります。
なお、2020年4月1日に施行される改正民法において、利用規約(定型約款)に関するルールが新設されます。利用規約のルールをユーザーに適用するための条件は多少異なっていますが、少なくとも、現状のガイドラインのルールに従って適切に同意を取れば、改正後も問題ないものと考えられます。
※定型約款について詳しく知りたい方は、「民法改正で利用規約・約款の何が変わる?定型約款3つのルールを解説」をご覧ください。
3 利用規約の同意の取り方
(1)基本的な考え方
利用規約の同意の取り方に関して、必ずこの方法でなければいけないという方法が決まっているわけではありません。
同意取得の方法にしても、利用規約の開示の方法にしても複数のパターンがあります。
そのため、基本的には、どのパターンを組み合わせて同意を取るか、事業者ごとに考える必要があるのです。
まずは、複数ある同意取得と利用規約の開示のパターンを確認していきましょう。
(2)同意取得の3パターン
同意取得には、以下の3パターンがあります。
- チェックボックスを用意するパターン
- 他のボタンに同意の機能を兼ねさせるパターン
- みなし同意を利用するパターン
①チェックボックスを用意するパターン
このパターンは、利用規約に同意することに関して専用のチェックボックスを用意するパターンです。ユーザーはチェックボックスにチェックをいれることで、利用規約に納得してサービスを利用する意思を示すのです。
このように専用のチェックボックスを用意することで、ユーザーが利用規約に同意していることが明確になります。
このパターンの具体例は以下のとおりです。
②他のボタンに同意の機能を兼ねさせるパターン
このパターンは、「申込ボタン」などのボタンに「利用規約に同意して申し込む」といった文言を表示させることで、一つのボタンに「申し込み」の機能と「利用規約への同意」の機能を兼ねさせるパターンです。専用のチェックボックスにチェックをいれさせるパターンに比べ、ユーザーの手間は減る一方で、利用規約そのものの存在や内容を理解せずとも申込を進めることができるため、ユーザーが利用規約に同意していることに関しては、明確さは多少落ちることになります。
このパターンの具体例は以下です。
③みなし同意を利用するパターン
「みなし同意」とは、条件を満たしたユーザーは利用規約に同意したものと判定することをいいます。たとえば、「サービスの利用を開始すること」を条件とした場合には、ユーザーが実際に利用規約への同意をしたかどうかにかかわらず、ユーザーがサービスの利用を開始した時点で、利用規約に同意したうえでサービスの利用をはじめたと事業者が判定することになります。
実際に、「みなし同意」を活用するためには、利用規約に「~条件~を満たした場合に、利用規約に同意したものとみなす。」との文言をいれる必要があります。
一方で、このパターンでは、規約同意に関するチェックボックスや同意ボタンは利用されないことが多いといえます。
なぜなら、利用規約の文言のみで利用規約の同意をカバーし、ユーザーに一切手間をかけさせないことが目的だからです。
このパターンの具体例は以下です。
もっとも、みなし同意を選択することはリスクがあるため、避けるべきと考えられます。
どういったリスクがあり、なぜ避けるべきかは後述します。
(3)利用規約の開示の3パターン
利用規約の開示には、以下の3パターンがあります。
- 利用規約の全文を表示させるパターン
- 利用規約のリンクのみを表示させるパターン
- 利用規約を表示しないパターン
①利用規約の全文を表示させるパターン
このパターンは、利用規約の開示の方法として、利用規約の全文を表示させるパターンです。
なお、表示のさせ方として、1画面に全文が収まっている必要はありません。スクロールバーなどを利用して、全文が確認できるようになっていればこのパターンに当てはまります。
このパターンの具体例は以下です。
②利用規約のリンクのみを表示させるパターン
このパターンは、利用規約の全文を確認したいユーザーはハイパーリンクをクリックすることで、遷移先のページで全文を確認することができ、利用規約の内容の確認が不要なユーザーは、ハイパーリンクをクリックすることなく、手続を進めることができます。
そのため、このパターンは、利用規約を確認するようなサービスの利用に慎重なユーザーにも、利用規約の確認なんてどうでもいいから早くサービスの利用を開始したいユーザーにも配慮したものとなっています。
このパターンの具体例は以下です。
③利用規約を表示しないパターン
このパターンは、利用規約のハイパーリンクさえつけず、一切利用規約を表示しないパターンです。このパターンは、みなし同意で利用されます。
このみなし同意については、同意の取り方でもリスクがあることを説明したかと思います。
次の項目では、みなし同意を選択すると具体的にどのようなリスクがあり、なぜ避けたほうがいいのかを説明します。
(4)みなし同意を選択することのリスク
これまでをまとめると、みなし同意とは、
- 利用規約に「~条件~を満たした場合に、利用規約に同意したものとみなす。」との文言があり
- ユーザーに利用規約を表示しない
といった同意の取り方だといえます。
たしかに、みなし同意は、ユーザーにとってめんどうな利用規約の確認作業を全てスキップできるため、ユーザーの登録時の途中離脱を防ぐというメリットがあるかもしれません。
もっとも、事業者としては、ユーザーに利用規約を適用できないリスクを負う可能性があります。
なぜなら、みなし同意は、不適切な同意の取得にあたる可能性が極めて高いからです。
では、不適切な同意の取得とは、どういった方法での同意の取得なのでしょうか。
経済産業省が作成した「電子商取引及び情報取引等に関する準則(平成30年7月)」によれば、不適切な同意取得の方法として、
- サービスの利用に際し利用規約への同意クリックが要求されていない
- サイト内の目立たない場所に利用規約が掲載されている
場合が挙げられてます。
この不適切な同意取得の例を図にすると、以下のとおりとなります。
この例からも分かるとおり、利用規約にみなし同意の文言を入れるだけで、ユーザーに利用規約が適用されることの説明がなく、利用規約に対する同意クリックを一切設けないことは不適切な同意取得になると考えられます。
また、サイト内の目立たない場所に利用規約を設けるだけでは不適切な同意取得とされているとおり、利用規約の表示を一切しないことは、不適切な同意取得になるものと考えられます。
そのため、利用規約をユーザーに適用できないというリスクを負わないためにも、みなし同意は避けたほうがよいと考えられます。
それでは、みなし同意は避けるとして、事業者はどのパターンを組み合わせて利用規約の同意を取得すればいいのでしょうか。
(5)どの組み合わせを選ぶべきか
みなし同意(規約表示一切なし)を避けた場合、同意取得のパターンも、利用規約の開示のパターンも2パターンずつ残ることになります。
そのため、これらを組み合わせた以下の4パターンから事業者は、同意の取得の方法を考えることになります。
- チェックボックスを用意する × 利用規約の全文を表示させる
- チェックボックスを用意する × 利用規約のリンクのみを表示させる
- 他のボタンに同意の機能を兼ねさせる × 利用規約の全文を表示させる
- 他のボタンに同意の機能を兼ねさせる × 利用規約のリンクのみを表示させる
どの組み合わせを選ぶべきかについては、ユーザーの利用規約への同意に関して、事業者がどの程度慎重になるか次第となります。
上記4パターンにおいては、慎重さという観点でいうと「④<③≦②<①」という不等号が成り立ちます。①が最も事業者が慎重に同意を取得していることになります。
事業者が利用規約の同意を取得する際にどの程度慎重になるべきかは
- サービスの内容
- 取得する情報の内容
- 利用規約で守って欲しい内容
- ユーザーの手間(登録途中での離脱率)
といった事項などから、事業者ごとに判断することになります。
具体的な事例で、どの程度慎重になるべきかを考えてみましょう。
①オンライン決済サービスをユーザーに提供する場合
たとえば、次のようにサービスをユーザーに提供する場合があるかと思います。
- サービス内容:オンライン決済サービス
- 取得する情報:クレジットカード情報・各種個人情報など
- 利用規約で守って欲しい内容:データ改ざん・地位の譲渡禁止など
この場合、お金にまつわるサービスであり、かつ、クレジットカード情報など慎重な取扱いが必要な情報を取得することになります。そして、利用規約内には、サービスの特性上、ユーザーに守ってもらわなければいけない事項が多数あります。この利用規約が守られなければ、場合によってはサービスが崩壊してしまうリスクさえあります。
そのため、このような場合には、「①チェックボックスを用意する × 利用規約の全文を表示させる」を選択し慎重に同意を取得すべきだと考えられます。
具体的には、利用規約の全文を掲載のうえ、全文をスクロールし確認しなければチェックボックスにチェックがいれられないようにするという方法があります。
ユーザーにとっては、スクロールやチェックボックスへのチェックなど、手間がかかってしまうため、登録時の途中離脱率が上がってしまうかもしれませんが、このサービスでは、後々、「利用規約なんて知らない!」と主張されるほうが事業者にとってはリスクとなるため、慎重に同意を取得すべき例だと考えられます。
②メルマガ配信サービス
たとえば、次のようにサービスをユーザーに提供する場合があるかと思います。
- サービス内容:メルマガ配信
- 取得する情報:メールアドレス
- 利用規約で守って欲しい内容:外部への転送の禁止など
この場合、先ほどのオンライン決済と異なり、取得する情報もメールアドレスだけで、利用規約もユーザーに守ってもらわなければサービスが崩壊してしまうほどの内容とまでは言い切れません。
また、登録時の途中離脱が増えて、メルマガ配信先が減ることのほうが、事業者にとって不利益となる場合さえあります。
そのため、この場合には、「④他のボタンに同意の機能を兼ねさせる × 利用規約のリンクのみを表示させる」という同意取得の方法を選択することが考えられます。
具体的には、メルマガ配信の「申込み」ボタンに利用規約への同意の機能を兼ねさせるために、「利用規約に同意して申込む」と表示させるとともに、ユーザーが利用規約を確認できるよう、見やすい位置に利用規約のリンクをつける方法が考えられます。
このように事業者は、自身の提供するサービスとの関係で、どの程度慎重に利用規約の同意を取得すべきかを検討しなければいけません。この際、上で示した事項以外にも、たとえば、利用規約の長さなど、個別の事情も考慮にいれると、全文表示させるべきかの判断を行いやすくなります。
これまで、利用規約の同意の取り方について確認してきましたが、プライバシーポリシーの同意の取り方には、何か違いがあるのでしょうか。
実は、利用規約とプライバシーポリシーは、違った目的で作られた文書です。そのため、利用規約と異なり、サービスを利用してもらうにあたって、ユーザーからプライバシーポリシーで同意を取らなくていい場合もあるのです。
まずは、プライバシーポリシーとは何か?から確認していきましょう。
4 プライバシーポリシーとは
(1)プライバシーポリシーとは
「プライバシーポリシー」とは、事業者が個人情報も含めたプライバシーに関する情報の取扱方針を定めた文書のことをいいます。
プライバシーポリシーは、主に個人情報保護法の決まりを守るために作成され、ホームページ上に掲載されます。
「個人情報保護法」とは、データベース化され検索できるようになっている個人情報(個人データ)を取り扱う個人情報取扱事業者に対してルールを定めた法律です。
この法律では、たとえば、個人情報を取得する場合には、本人に利用目的を通知または公表しなければいけない、といった具合でルールが定められています。このルールを守るために、多くの事業者はプライバシーポリシーに利用目的を定めて掲載(公表)しています。
では、このプライバシーポリシーを使って同意を取らなければいけない場合とは、どのような場合でしょうか。
※プライバシーポリシーの作成時の注意点について知りたい方は、「プライバシーポリシーとは?作成時の6つのチェックポイントを解説!」をご覧ください。
(2)プライバシーポリシーでの同意の取得が必要な場合とは
個人情報保護法上、事業者に本人から同意を取得することが義務として課せられている場合には、プライバシーポリシーでの同意の取得を検討しなければいけません。
具体的に、事業者に本人からの同意の取得の義務が課されているのは、事業者が
- 目的外利用をする場合
- 要配慮個人情報を取得する場合
- 個人データを第三者に提供する場合
- 外国へ個人データを提供する場合
の4つの場合です。
①目的外利用をする場合
本人に通知・公表した利用目的の範囲を超えて個人情報を利用する場合には、範囲を超えた利用=目的外利用に関して本人から同意を得ることが必要となっています。
②要配慮個人情報を取得する場合
「要配慮個人情報」とは、不当な差別や偏見その他の不利益が生じないようにその取扱いに注意しなければいけない個人情報のことをいいます。
たとえば、人種・信条・社会的身分・病歴・犯罪歴などの情報は、要配慮個人情報となっています。通常、個人情報の取得にあたっては、利用目的の通知・公表だけで足りますが、要配慮個人情報については、よりセンシティブなデータを扱うことになるため、取得にあたって本人からの同意が必要となっています。
③個人データを第三者に提供する場合
「個人情報の第三者提供」とは、事業者自身が持っている個人データを、外部の別の事業者などに提供することをいいます。この場合にも原則、本人からの同意が必要となります。
※個人情報の第三者提供の本人同意に関する原則・例外について詳しく知りたい方は、「個人情報の第三者提供とは?事業者が知るべき4つのポイントを解説!」をご覧ください。
④外国へ個人データを提供する場合
「外国へ個人データを提供する場合」とは、事業者自身が持っている個人データを、外国の事業者などに提供することをいいます。このように外国の第三者へ個人データを提供する場合にも、本人からの同意が必要です。なお、「個人情報の第三者提供」に関して、本人から同意を得ていても、それとは別に、外国の第三者への個人データの提供に関して本人から同意を得る必要があることに注意してください。
これら4つのいずれかに当たることを事業者がやろうとする場合に、本人から同意を得なければいけません。では、具体的に、どのように同意を得ればいいのでしょうか。
5 プライバシーポリシーでの同意の取り方
(1)本人からの同意の取得
個人情報保護員会作成の「個人情報の保護に関する法律についてのガイドライン(通則編)」によれば、「本人からの同意の取得」とは、本人の承諾の意思を個人情報取扱事業者が認識することをいいます。
その具体的な方法としては、
- 本人から同意する旨の書面を受け取ること
- 本人から同意する旨のメールを受け取ること
- 本人から同意する旨のチェックボックスへチェックを入れてもらうこと
- 本人から同意する旨の同意クリックをもらうこと
などがあります。
これらを見てわかるとおり、事業者が一方的にメールで「あなたのデータを第三者提供しますよ」と送付したり、ホームページ上にプライバシーポリシーなどを掲示するだけではNGです。
必ず、本人に能動的に動いてもらわなければいけません。
また、必ず、プライバシーポリシーを使って同意を取得しなければいけないというわけではなく、たとえば、「利用規約」上に個人情報の取扱いに関する条項を設けて、本人から同意を得ることも可能です。
そのため、本人からの同意取得方法としては、
- 書面の返送
- メールの送信
- 利用規約での同意取得
- プライバシーポリシーでの同意取得
など様々な方法が考えられます。
では、どの方法を選択するかについては、どのような流れで考えていけばいいのでしょうか。
(2)本人からの同意取得方法の検討フロー
本人からの同意取得の方法を検討するにあたっては、以下のフローで検討することが考えられます。
- 個人情報保護法上の、本人からの同意が必要な4つの場合にあたるか否か
- プライバシーポリシーとは別の手段(利用規約や書面・メールでの意思確認)で本人から同意を取得すべきでないか
- プライバシーポリシーを使って同意の取得をするか否か
↓
↓
フローを図にまとめると以下のとおりとなります。
なぜ、プライバシーポリシーの検討を一番最後に行うかというと、以下の理由になります。
近時、多くの事業者が複数のサービスを運営しており、プライバシーポリシーには様々なサービスの個人情報の取扱いが定められていることが増えています。
このように、プライバシーポリシーに複数のサービスが記載されている場合、「きっとプライバシーポリシーに書いてあるから大丈夫」だと事業者が安易に考え、本来取得しなければいけない同意の取得が漏れてしまう例が後をたちません。
そのため、この検討フローのように、なぜ本人からの同意が必要なのか、プライバシーポリシー以外に適切な同意の取得方法はないだろうか、ということを考えたうえで、事業者がプライバシーポリシーでの同意の取得を検討することで、同意の取得が漏れるといったトラブルは減ると考えられます。
(3)プライバシーポリシーでの同意の取得方法
最後に、プライバシーポリシーでの具体的な同意の取得方法を確認していきましょう。
オンライン上で、プライバシーポリシーに同意してもらう場合、基本的に利用規約の同意の取得と同様に以下の4パターンから、事業者ごとに、同意の取得方法を検討することになります。
- チェックボックスを用意する × プライバシーポリシーの全文を表示させる
- チェックボックスを用意する × プライバシーポリシーのリンクのみを表示させる
- 他のボタンに同意の機能を兼ねさせる × プライバシーポリシーの全文を表示させる
- 他のボタンに同意の機能を兼ねさせる × プライバシーポリシーのリンクのみを表示させる
具体的にどのパターンを選択すべきかについては、
- 本人の同意が必要な理由
- 本人が同意するか否か判断する材料が本人に開示されているか
- ユーザーの手間(登録途中での離脱率)
といった観点から検討することになります。
なお、利用規約とプライバシーポリシーの同意を同時に得たい場合には、
- 利用規約の同意に関する専用のチェックボックスを用意する
- プライバシーポリシーの同意に関する専用のチェックボックスを用意する
- 両方のチェックボックスにチェックが入らない限りは、サービスの利用申込ボタンを押せなくする
- 利用規約とプライバシーポリシーの両方を掲載するとあまりに長すぎるため、どちらもリンクのみを表示させる
という方法もあります。参考にしてみてください。
6 小括
オンライン上での利用規約とプライバシーポリシーの同意の取り方は、どちらも、必ずこの方法でなければいけないとルールが決まっているわけではありません。
そのため、事業者それぞれが、適切な方法を自身で判断しなければいけません。
また、利用規約は、サービス利用者全員から同意を得る必要がありますが、プライバシーポリシーは、必ず同意を得なければいけないものではありません。
この違いを踏まえて、事業者としてトラブルを回避するためにも、漏れなく、必要な人から同意を取るようにしましょう。
7 まとめ
これまでの解説をまとめると、以下のとおりです。
- 「利用規約」とは、サービスを運営する事業者とサービスを利用したいユーザーとの約束事(ルール)について書かれた文書のことである
- 利用規約の同意を取る際には、①同意取得の方法、②利用規約をどのように開示するかに注意しなければならない
- 同意取得には、①チェックボックスを用意するパターン、②他のボタンに同意の機能を兼ねさせるパターン、③みなし同意を利用するパターンの3つがある
- 利用規約の開示には、①利用規約の全文を表示させるパターン、②利用規約のリンクのみを表示させるパターン、③利用規約を表示しないパターンの3つがある
- みなし同意と利用規約を表示しないパターンは、不適切な同意の取得にあたる可能性が極めて高く、ユーザーに利用規約を適用できないリスクを負う可能性があり、避けたほうがよい
- 利用規約の同意取得は、みなし同意と利用規約を表示しないパターン以外を組み合わせた4つのパターンから検討することになる
- 「プライバシーポリシー」とは、事業者が個人情報も含めたプライバシーに関する情報の取扱方針を定めた文書のことをいう
- 個人情報保護法上、事業者に本人から同意を取得することが義務として課せられている場合には、プライバシーポリシーでの同意の取得を検討しなければいけない
- 事業者に本人から同意を取得することが義務として課せられているのは、①目的外利用をする場合、②要配慮個人情報を取得する場合、③個人データを第三者に提供する場合、④外国へ個人データを提供する場合の4つである
- プライバシーポリシーの同意取得は、みなし同意と利用規約を表示しないパターン以外を組み合わせた4つのパターンから検討することになる