はじめに

スマートフォンの普及にともない、アプリの利用者が増加しています。アプリを作成し配信している事業者としても、アプリの利用者の情報を収集してアプリをより良くアップデートしていきたいと考えることは自然なことだといえます。

もっとも、情報の取扱いについては、慎重にならなければいけません。

なぜなら、情報=価値であることが一般的となり、利用者は、アプリがどのような情報を取得するのか? 取得した情報を会社はどのように利用するのか? について関心をもつようになったからです。

そのため、アプリを作成し配信する事業者としては、情報の取扱いに関するプライバシーポリシーを適切に作成することによって利用者が安心してアプリを利用できる環境を整える必要があります。

もっとも、プライバシーポリシーに何を書けばよいのかわからない事業者もいらっしゃるのではないでしょうか。

そこで今回は、アプリのプライバシーポリシーに定めるべき事項について雛形をもとに弁護士が詳しく解説していきます。

1 プライバシーポリシーとは

1
プライバシーポリシー」とは、事業者がプライバシーに関する情報をどのように取り扱うかについて定めた文書のことをいいます。

スマートフォンは通話や、メッセージの交換だけでなく、今自分がどこにいるかがわかる地図アプリを利用できたり、世界中の見ず知らずの人と遊ぶことができるゲームができたりと進化し続けてきました。

もっとも、その一方で利用者の行動履歴や通信履歴を含むさまざまな情報を常に取得・蓄積するというスマートフォンの特性を利用すれば、利用者のプライバシーに関する情報をアプリを通して簡単に取得することが可能になります。

悪質な場合、サービス提供と無関係な情報を取得しているアプリさえ存在しています。

このような状況では、利用者は安心してアプリを利用することはできません。

そのため、スマートフォンの利用者がアプリを安心して利用できるようにするため、アプリを作成し配信する事業者はアプリに関するプライバシーポリシーを適切に作成し、自分たちのアプリが取扱う情報について利用者に示することが必要となるのです。

アプリのプライバシーポリシーに定めるべき具体的な事項を見ていく前に、プライバシーポリシーの構成について説明します。

2 プライバシーポリシーの構成

2
プライバシーポリシーはひとつである必要はありません。つまり、アプリごとに分けて作成することもできるわけです。

総務省は、事業者が提供するすべてのアプリに共通するプライバシーポリシーとは別に、アプリごとにプライバシーポリシーを作成することを推奨しています。

この共通のプライバシーポリシーと個別のプライバシーの関係は以下の図の通りとなります。
2-2

共通のプライバシーポリシー」とは、事業者が提供する全てのサービスやアプリに共通する事項を定めたプライバシーポリシーのことをいいます。

一方、「個別のプライバシーポリシー」とは、事業者が提供する各サービスやアプリの特性にあわせてカスタマイズしたプライバシーポリシーのことをいいます。

このようにプライバシーポリシーを分けるのは、

  • 取得する情報は提供するサービス・アプリごとに異なることが多い
  • 利用者が自分のどのような情報がどのように利用されるのか分かりやすくなる

といったことが理由になっています。

アプリを作成し配信している事業者は、共通のプライバシーポリシーには、すべてのアプリで共通して取得する情報を包括的に記載しましょう。

アプリごとの個別のプライバシーポリシーには、そのアプリで実際に取得する情報と利用目的、その対応関係をわかりやすく簡潔に記載します。アプリをダウンロードするときに利用者が見て理解できるように、具体的に記載することが求められます。

なお、わざわざプライバシーポリシーを分けて作るなんて面倒だという場合は、アプリごとの個別のプライバシーポリシーのみを作成するという方法も考えられます。

もっとも、この場合は、全てのアプリに共通する事項で修正が必要になった場合に、個別のプライバシーポリシー全てを修正しなければいけなくなります。かなりの手間がかかるだけでなく、抜け漏れがでてしまうおそれもあります。

そのため、共通のものと個別のものの2段構成にすることで、利用者のほか、プライバシーポリシーの管理という面でも事業者にとってもメリットがあるのです。

※共通のプライバシーポリシーについて詳しく知りたい方は「【ひな形付】プライバシーポリシーに定めるべき9項目を弁護士が解説」をご覧ください。

3 アプリ向けプライバシーポリシーの「雛形」のダウンロード

3
アプリ向けプライバシーポリシーの雛形は、以下からご自由にダウンロードしてください。

アプリ向けプライバシーポリシーの雛形はこちら

この雛形は、あくまでアプリ向けプライバシーポリシーの雛形です。共通のプライバシーポリシーやアプリ以外の個別のプライバシーポリシーを作成する場合は使用できませんのでご注意ください。

また、アプリの内容としても、以下のアプリを想定しています。

  • 特定の位置にアプリを入れたスマートフォンを持って行くことで、近隣店舗の広告やクーポンが手に入るアプリ

次の項目では、雛形をもとにそれぞれの事項について具体的に見ていきます。

法律の悩みを迅速に解決します。
スタートアップ、IT、先端技術の法律相談なら私たちにお任せください!
豊富な契約書雛形もご用意していますので、IT企業に関わらずお気軽にお問い合わせください。

お問い合わせはこちらから

4 アプリ向けプライバシーポリシーのポイント

4
アプリごとのプライバシーポリシーに定めるべき事項は次のとおりです。

  1. タイトル
  2. 情報を取得するアプリ提供者
  3. 取得するユーザー情報と目的
  4. 取得方法
  5. 通知・公表または同意取得の方法・利用者関与の方法
  6. 外部送信・第三者提供・情報収集モジュール
  7. お問い合わせ
  8. 改定
  9. 共通のプライバシーポリシーとの関係
  10. 改定日・制定日

(1)タイトル

    【アプリ名】プライバシーポリシー

タイトルには、必ずアプリ名を入れましょう。アプリ名を入れないと、共通のプライバシーポリシーとの区別ができません。後の項目「(9)共通のプライバシーポリシーとの関係」でアプリ用と共通のプライバシーポリシーの関係を記載しますが、特定のアプリのみに適用されるプライバシーポリシーであることがタイトルを見ただけでわかるようにすることが重要です。

「プライバシーポリシー」という語をタイトルに入れることが義務付けられているわけではないため、「【アプリ名】個人情報保護指針」のように記載する例もあります。

もっとも、プライバシーポリシーによって取扱方法を定める情報の中には、個人を特定せずに取得する情報も含まれ、これらの情報は個人情報にあたらない場合もあります。個人情報よりも広い概念であるパーソナルデータ(個人に関する情報)の取扱方法を定めたものであることを示すため、プライバシーポリシーというタイトルにするほうがよいといえます。

(2)情報を取得するアプリ提供者

    1.情報を取得するアプリ提供者

    ▲●株式会社

事業者であるアプリ提供者の名称を記載します。

アプリの開発や運営に複数の事業者が関わっている場合があります。その場合は、利用者情報の取得と利用について責任を負う事業者の名称を記載します。

(3)取得するユーザー情報と目的

    2.取得するユーザー情報と目的

    本アプリケーションで取得するユーザー情報と目的は以下のとおりです。
    4

①アプリが取得する情報と利用目的

アプリが取得する情報を記載します。端末に関する情報、位置情報、広告に関する情報など、項目ごとに分けて記載するとわかりやすいです。

利用者が理解できるように具体的に記載する必要があります。包括的に「端末情報」とするのではなく、IDFAやAAIDなどの端末識別子の種類を特定します。

位置情報についても同じく、GPS情報、Wi-Fiアクセスポイントの位置情報などの種類を明示します。

また、取得する情報に対応するように利用目的を記載します。

「1.取得する情報」、「2.利用目的」といった形で、取得する情報と利用目的を別の項目として記載する例も多くありますが、取得する情報によって利用目的が異なることもあります。

そのためこの雛形では同じ項目内で記載する形式をとっています。

取得する情報と利用目的の対応関係がわかる表を入れるなど、利用者が全体をひと目で把握できるような工夫をするとよいでしょう。利用目的の詳細な内容については、ここに記載するのではなく共通のプライバシーポリシーにまとめて記載するのが一般的です。

②取得する情報と利用目的の記載方法に関する考え方

取得する情報と利用目的の記載方法には、以下のとおり、さまざまなタイプがあります。

  1. 取得する情報の項目と利用目的を別々に記載するタイプ
  2. 取得する情報の項目ごとに利用目的を記載するタイプ
  3. それらを組み合わせたタイプ

雛形では、③のタイプを選んでいますが、どのタイプを選ぶべきかは、場合によって異なります。①は取得する情報と利用目的の対応関係を記載しないため、事業者にとって最も作成・管理がしやすいです。②は対応関係を1つ1つ記載するため、利用者にとっては自身の情報がどのように利用されるのかその対応関係は、最もわかりやすいです。

一方で、①は別項目になっているせいで、利用者にとって対応関係がわかりづらいという問題があります。また、②は作成・管理する事業者の負担が大きいことに加え、1つの情報に利用目的が複数あったり、情報ごとの利用目的が重複していると、記載が長く煩雑になってしまいます。そのため、②利用者にとって読みづらくなり、かえってわかりづらくなる可能性があるなどの問題があります。

③は、ある程度包括的な記載をしつつも、利用者が高い関心を持つ内容については利用目的を明確に記載する方法です。①に比べると利用者にとってわかりやすく、②に比べると事業者の負担が少ないため、どのタイプを使うべきか迷った場合は③を選ぶとよいでしょう。

(4)取得方法

    3.取得方法

    当社は、情報収集モジュールを内蔵した本アプリケーションにより、ユーザー情報を自動取得します。

アプリが情報を取得する方法として、利用者によって能動的に提供される方法とアプリが自動取得する方法の2つがあります。そこで、どちらの方法によって情報を取得するのかを記載します。

利用者が情報を提供する場合は、情報を取得されたことを利用者が認識できますが、自動取得による場合にこれを認識することは困難です。

そのため、情報の取得方法についても必ず記載するようにしましょう。

(5)通知・公表または同意取得の方法・利用者関与の方法

    4.通知・公表または同意取得の方法・利用者関与の方法

    (1)通知・公表

    当社は、本ポリシーおよび▲●株式会社プライバシーポリシーに関する通知・公表は本アプリケーションまたは当社のホームページに掲載する方法で行います。

    (2)同意取得の方法

    同意の取得は、本アプリケーションの初回起動時に取得する方法で行います。

    (3)利用者関与の方法

    ユーザー情報の取得は、本アプリケーションをアンインストールすることで中止することができます。

プライバシーポリシー自体やその内容の変更情報を掲載する場所を記載します。アプリやホームページを掲載場所として指定するのが一般的です。

同意取得の方法」とは、事業者が利用者から同意を取得することが個人情報保護法によって義務付けられている場合に、その同意をどのように取得するかということです。

同意取得の義務が課されているのは、次の4つの場合です。

  1. 目的外利用をする場合
  2. 要配慮個人情報を取得する場合
  3. 個人データを第三者に提供する場合
  4. 外国へ個人データを提供する場合

※具体的な同意の取得方法について詳しく知りたい方は、「利用規約・プライバシーポリシーの適切な同意の取り方を弁護士が解説」をご覧ください。

利用者関与の方法」とは、利用者情報の取得や利用を中止する方法のことです。利用者側で情報の送信を停止したり、情報の削除をしたりする方法がある場合は、その方法を記載します。そのような方法がなく、中止するためにはアプリをアンインストールするしかない場合は、その旨を記載します。

この項目については、事業者が提供するすべてのアプリで共通の場合が多いと考えられます。その場合は共通のプライバシーポリシーに記載し、アプリごとのプライバシーポリシーには記載しなくてもよいでしょう。

(6)外部送信・第三者提供・情報収集モジュール

    5.外部送信・第三者提供・情報収集モジュール

    (1)外部送信

    取得したユーザー情報については、当社が管理を委託するホスティング会社のサーバーに送信されます。

    (2)第三者提供

    当社は、取得したユーザー情報について、以下の場合第三者に提供することがあります。

    ・統計的なデータなどユーザーを識別することができない状態で提供する場合

    ・法令に基づき開示・提供を求められた場合

    (3)情報収集モジュール

    当社は、本アプリケーションに以下の情報収集モジュールを組み込みます。

    ・XXXSDK:URL

利用者情報が事業者以外の第三者に提供される場合について記載します。取得した情報を第三者提供する場合には、個人情報保護法にもとづき、第三者提供を利用目的として記載し、提供される情報の項目や提供方法を明示する必要があります。

利用者情報が直接第三者のサーバーに送信(外部送信)される方法のひとつとして、第三者による「情報収集モジュール」というプログラムをアプリに組み込んで行われる方法があります。

情報収集モジュール」とは、アクセス解析やアプリ上での広告表示、その成果の確認をするために組み込むものです。情報収集モジュールによって収集された情報は事業者のサーバーを経由せずに直接第三者のサーバーに送信されるため、事業者はその情報の内容を正確に把握することができません。その情報は情報収集モジュール提供者である第三者がコントロールすることになるため、情報収集モジュール提供者に関する一定の事項を明示する必要があります。

一定の事項とは、情報収集モジュールの名称、情報の提供先(情報収集モジュール提供者)の名称、提供する情報の項目です。情報収集モジュール提供者がモジュールの詳細を記載したページを公開している場合には、これらの事項を記載する代わりにそのページのリンクを掲載することもできます。

(7)お問い合わせ

    6.お問い合わせ

    当社のプライバシーポリシーに関する、ご意見、ご質問、苦情の申出その他ユーザー情報の取扱いに関するお問い合わせは、以下の窓口にご連絡ください。

    「問い合わせ窓口」はこちら

利用者がプライバシーポリシーについて不明な点がある場合にどこに問い合わせをすればよいかを記載します。

お問い合わせ先の記載方法としては、電話番号やメールアドレスを記載する方法のほか、お問い合わせフォームを設置してそのリンクを掲載する方法もあります。

(8)改定

    7.改定

    当社は、当社の裁量に基づいて、本ポリシーを変更します。但し、取得するユーザー情報、利用目的、第三者提供に変更が発生した場合、本アプリケーションまたは当社のホームページで通知するとともに、本ポリシー変更後、本アプリケーションの初回起動時に改めてユーザーから同意を取得します。

プライバシーポリシーの改定、その場合の通知方法、同意の取得方法について記載します。

利用者から同意を取得したプライバシーポリシーを改定するのであれば、本来は改定したプライバシーポリシーを適用する前に同意を取得し直す必要があります。しかし、誤字など本質的な変更にあたらない場合にまで同意を取得し直すのは事業者と利用者の双方にとって負担になります。

そこで、取得する情報、利用目的、第三者提供に関する事項などの重要な改定があった場合にかぎって、アプリやホームページ上で通知したり、同意を取得し直したりするという運用をするのが一般的です。

内容の大きな変更や利用者にとって不利な改定がある場合には、各利用者に個別に通知するなどして改定手続を慎重に行うことが重要です。

(9)共通のプライバシーポリシーとの関係

    8.▲●株式会社プライバシーポリシー

    本ポリシーに定めのない事項については、▲●株式会社プライバシーポリシーが適用されます。

    ▲●株式会社プライバシーポリシーはこちら

アプリごとのプライバシーポリシーと共通のプライバシーポリシーとの関係を明らかにします。

たとえば、個人情報の開示や訂正、利用の停止についてはアプリごとに異なる取扱いをすることは少ないためアプリごとのプライバシーポリシーには定めず、共通のプライバシーポリシーに定めることになります。このように、ここに定めのない事項でも共通のプライバシーポリシーに定めがあればその規定が適用されることを利用者に知らせるために、関係を明確にしておく必要があります。

具体的には、このプライバシーポリシーは特定のアプリにのみ適用されるものであり、全アプリ共通のプライバシーポリシーが別に存在すること、定めのない事項については共通のプライバシーポリシーが適用されることを記載します。また、共通のプライバシーポリシーへのリンクを掲載します。

(10)改定日・制定日

    9.制定日・改定日

    制定:●年●月●日

    改定:●年●月●日

    改定:●年●月●日

プライバシーポリシーの制定日と改定日を記載します。改定日については、最後の改定日のみを記載するのではなく、これまでの改定日をすべて記載して、改定の履歴がわかるようにしておきます。アプリごとのプライバシーポリシーの制定日は、共通のプライバシーポリシーの制定日と同日か、それより後の日付にする必要があります。

また、改定の内容がわかるようにするため、改定前のプライバシーポリシーへのリンクを掲載するのが望ましいです。なぜなら、過去のプライバシーポリシーを掲載しておくことによって、改定履歴の透明性を高めることができるからです。

アプリのプライバシーポリシーに定めるべき事項について説明しましたが、これらすべてを記載したプライバシーポリシーは、スマートフォンの小さな画面で見るには長すぎます。次の項目では、特に重要な事項のみを記載したプライバシーポリシーの概要版について説明します。

5 プライバシーポリシーの概要版の作成

5
これまで見てきたプライバシーポリシーとは別に、アプリ上に表示するのに適した長さの概要版を作成することが望ましいです。概要版には、次の3つの事項を記載することが考えられます。

  1. 情報を取得するアプリ提供者
  2. 取得するユーザー情報と目的
  3. 外部送信・情報収集モジュール

具体的には、以下の画面のようになるでしょう。以下の図は、雛形をもとに作成した概要版です。一画面に収まる長さで、ひと目で全体を確認できます。

上の図では記載内容が判別できるようタブレット型の端末で横画面となっていますが、スマホの1画面に収まるよう情報を絞って表示させるということを意識して頂ければと思います。

このように、概要版には特に重要な事項のみ記載した関係で、通知・公表または同意取得の方法・利用者関与の方法やお問い合わせ、改定などについては概要版を見てもわかりません。そのため、詳細についてはホームページなどで公開している全体版で確認できるように、必ずリンクを掲載するようにしましょう。

6 小括

6
今回は、アプリごとのプライバシーポリシーに定めるべき事項について解説しました。

利用者が安心してアプリを利用できるようにするためにプライバシーポリシーを作成することが重要です。共通のプライバシーポリシーとアプリごとのプライバシーポリシーをそれぞれ作成するという2段構成をとることによって、事業者にとっての管理のしやすさと利用者にとってのわかりやすさの両方を実現することができます。

さらに、特に重要な事項を簡潔にまとめた概要版を作成することによって、利用者がより安心して利用できるようになるでしょう。

7 まとめ

これまでの解説をまとめると、以下のとおりです。

  • 「プライバシーポリシー」とは、個人情報を含むプライバシーに関する情報を事業者がどのように取り扱うかを定めた文書のことをいう
  • プライバシーポリシーはアプリごとに分けて作成することもでき、取得する情報を具体的に記載できるため分けて作成することが望ましい
  • アプリ上に表示するための概要版を作成することによって、利用者がプライバシーポリシーの概要をひと目で確認できる
    ※【ひな形の注意事項】

  • 本記事にてダウンロード可能な各種ひな形の著作権その他の一切の権利については、弁護士伊澤文平に専属的に帰属しております。したがいまして、ひな形の利用許諾は、これら権利の移転を意味するものではありません。
  • 各種ひな形をご利用いただけるのは、法人様又は法律家以外の個人の方のみに限り、弁護士・司法書士・行政書士などのいわゆる士業の方のご利用は一切禁止しておりますので予めご了承ください。
  • 本ひな形は、自己又は自社内でのビジネスのためにのみ(以下、「本件利用目的」)ご利用いただけます。したがいまして、本件利用目的以外での利用並びに販売、転載、転送及びネット上にアップロード・投稿する行為その他一切の行為を禁止します。
  • 各種ひな形の内容に関して、弁護士伊澤文平はいかなる保証も行わず、ひな形の利用等に関して一切の責任を負いませんので、予めご承知おきください。