※ タイトルのプラポリとはプライバシーポリシーのことを指します。また、サービスの性質によっても異なる可能性があるので、必ずしも鵜呑みにしないでください。

始めに

最近、GDPRを意識してプライバシーポリシーの承認を厳格化して、承認しない場合はサービス利用できない仕様にしようとしています。

それに伴い、何を考慮すべきで何を実装すればいいかを整理したので、自分用にまとめておきます。また、それに伴ってログイン(サインイン)の指す範囲が人によってずれていたのでそれも併せて整理します。

ログインとは

まずは、IT用語辞典のログイン/ログオンのページを引用します。

ログイン（login）とは、システムに自分の身元を示す登録情報を入力し、接続や利用開始を申請すること。本人であると確認されれば操作画面が表示され、利用を開始することができる。

認識がずれたのが、「プライバシーポリシーはログイン前に承認すべきだ」等の発言があり、ログインおよびログイン前やログイン後を指す範囲が人によって微妙に違っていたのです。そのため、次のように社内では定義しなおしました。

• ログイン
  • ユーザを特定するための処理。認証。
• ログイン前
  • ユーザが特定できていない状態。このタイミングでプライバシーポリシーを取得できる場合、第三者が勝手に承認してしまう可能性がある
• ログイン後
  • ユーザが特定できた状態。≒ サービス利用できる状態。

また、ログインだけだとプライバシーポリシーの未承認によるサービス利用停止ができないため、次のステータスを追加することを合意しました。

• プライバシーポリシー未同意
  • サービスが利用できない状態。ユーザを特定できたログイン後のみ同意ができる。
• プライバシーポリシー同意
  • 言葉の通り。ただし、プライバシーポリシーが更新されたら未同意状態になる

プライバシーポリシーを同意するタイミング

サービスの性質によって異なります。

• toBで一般ユーザ
  • ログイン後に承認する
• toC または　toBで管理者ユーザ
  • ログイン前に承認する

toBのサービスの場合、管理者が各ユーザに対してすぐに利用できるように事前にユーザ登録しているパターンもあるので、各ユーザがプライバシーポリシーを承認しないままサービス登録されるケースがあります。その場合は、各ユーザの承認を取得するタイミングがないのでログイン後に承認をもらう必要があります。

toCのサービスの場合、第三者が事前にユーザ登録するパターンがないと思うので、ユーザ登録時にプライバシーポリシーを同意する画面があると思います。また、カンファレンスの勉強会等の参加応募の場合、事前に名前やメール、所属会社等を入力することがあるので、それも応募前にプライバシーポリシーの承認をする必要があります。

その他

プライバシーポリシーの更新

更新後のアプリの挙動

※ 解釈間違っているかもしれないので、ここは気を付けてください。

プライバシーポリシーが更新されたからと言って必ずしも同意を得る必要はないはずです。更新後にアプリが行うべきアクションについても2種類あります。

• 通知・周知
  • 誤字脱字等の単純な変更のみを想定。
• 強制同意
  • 合意しないといけない変更。

事前告知について

法律上、2026年4月から施行される等で厳格に期限が決まっているとします。1-3か月ほど前にプライバシーポリシーを更新する必要がある場合もあります。

その場合、2026年1月時点でプライバシーポリシーを更新して通知・周知しておいて、2026年4月時点で強制同意を取らせるようなスケジューリング機能も必要です。更新したタイミングで強制同意をするほうが、管理すべきプライバシーポリシーのバージョンが減るので楽ではあるのですが、少しでもユーザに使っていただけるように通知・周知と強制同意のタイミングをずらすことも考慮が必要でしょう。

同意の初期状態について

絶対にデフォルトを同意状態にしてはいけません。みなし同意と判断される場合、法律上敗訴となる可能性があります。デフォルトを同意状態にしているシステムは見たことないですが、うっかり実装してしまうと大変です。

また、デフォルトでは同意することはできず、プライバシーポリシーを全部読ませた後に同意させるパターンもあります。訴訟リスクがある金融関係は特にプライバシーポリシーを全部読ませる仕組みが必要そうです。

基本的なサービスではチェックボックス形式にして横にプライバシーポリシーに対してのリンクを踏ませるだけでもいいかもしれませんが、少しでも訴訟リスクがあるようなサービスを運営している場合は全部スクロールしてからの同意が必要となりますので注意しましょう。顧問弁護士にスクロールが必要かどうかを確認すると安心です。

1. 個人情報保護法の要件
   1. 日本の個人情報保護法でも、個人データの第三者提供には事前の本人同意が必要です
2. GDPRの明示的同意要件
   1. GDPRではデータ処理に関して明示的な同意取得が必要です。これは日本の法律よりも厳格で、デフォルトで同意状態にする「みなし同意」はGDPRに違反します
3. みなし同意のリスク
   1. 事業者側としては、不適切な同意取得方法（デフォルト同意など）を採用した場合、利用規約を適用できないリスクがあります

終わりに

ユーザから見たプライバシーポリシーって簡単な実装ではあると思うのですが、法的リスクを回避するための仕組みと考えると、考慮することが多くて大変ですね。この辺をちゃんと整理できるPdMがいれば非常に楽になると思います。

参考情報

• https://e-words.jp/w/%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3.html
• https://www.auriq.co.jp/blog/kojinjohohogo-tekiyouhani/
• https://assured.jp/column/knowledge-gdpr
• https://topcourt-law.com/terms_of_service/how-to-get-consent