はじめに
こんにちは。突然ですがエンジニアの皆さん、利用規約を書いたことはありますか?
どんなサイトにもアプリにも存在するけれど、掲載する時は自分以外の誰かが作った文章をhtmlにするだけ…そんなパターンが多いのではないでしょうか。
私もそうだったのですが、先日関わったwebサイトで、利用規約やプライバシーポリシーを作成する機会がありました。いざ自分で作るとなると、何が必須で何が不要なのか、まるで分からないものでした。
全てのサービスで汎用的に使える利用規約は存在せず、サイトやアプリの性質によるという身も蓋もない結論になってしまうのですが、せめて取っ掛かりとなる知識を身につけておけば、文章を作成する取っ掛かりになるのではないでしょうか。
今回の記事では利用規約やプライバシーポリシーといったドキュメントの概要と、最低限の知識を紹介しようと思います。
3大よくあるドキュメント
利用規約
サービスをユーザーが利用するに際して守る規約を定めたもので、サービスの内容によって定めるべき規約は様々になってしまいます。例えばユーザー間で取引を行うフリマ形式のサービスであれば、品物の未達や支払いのトラブルに関しての規約は必須です。
他社の類似サービスの規約を参考にするのも良いのですが、その場合も自サービスとの差異を把握して、それに沿った規約を作成するべきです。いわゆる丸パクりだと、自サービスのユニークさがトラブル時には仇となってしまい、利用規約がクレームに対する盾として機能しない可能性があります。
また、ごく当然のことですが、サービス利用開始前に必ずユーザーが目にする場所に掲載し、きちんと同意を得る必要があります。
なお、「免責事項」として、責任を負わないことを明言していることもよくあります。これも「盾」として有効なのですが、あまりに一方的な、例えば「このサービスを利用する上で被った被害に一切関知しません」といったような免責事項は「消費者保護法」によって無効とされてしまいます(リンク先PDF)。露骨に運営側に有利な免責事項は、ユーザーが増えてくれば真っ先に指摘されてしまうと思われるので、そもそも非推奨です。
プライバシーポリシー
個人情報およびプライバシー情報の取り扱い方を定めた文書がプライバシーポリシーです。
今年、EU版個人情報保護法であるGDPRが施行されたことを覚えていらっしゃる方も多いと思います。このブログを読んでいるエンジニアの中にも、業務としてGDPR対応を行った方がいるかもしれません。
ユーザーがサービスを利用するに際しての規約の一種なので、利用規約に含めることも可能ではありますが、ほとんどのサービスでは利用規約とプライバシーポリシーを別々の文書として掲載していて、それだけ大切な文書であることの現れだと思います。
そもそも個人情報とは?となると、個人情報保護法では
- 身体の一部の特徴をデータ化した文字、番号、記号その他の符号
- サービスの利用者や個人に発行される書類等に割り当てられた文字、番号、記号その他の符号のうち、政令で定めるもの(旅券番号、免許証番号等)
と定義されています。メールアドレスや携帯電話番号、マイナンバーなどですね。
一方、これに該当しない情報、例えば端末固有ID、サイトのアクセス履歴、位置情報ログといった情報は「プライバシー」にあたります。個人情報保護法上での個人情報ではなくても、組み合わせることで個人の特定に繋がる可能性のある情報もプライバシーポリシーの対象に含めることが推奨されています。
文章内では「どのような情報を保持し」「どのように使うか」が明記されている必要があり、例えば何らかの目的で第三者にユーザーの個人情報やプライバシー情報を渡す場合は、はっきりとその旨を明示し、分かりやすい場所(webサイトであればトップページから1回の画面遷移で見られる)に設置したほうがよいでしょう。
特定商取引法に基づく表記
この法律は何となく見覚え・聞き覚えがあるかもしれません。有料サービスではほとんど必ずこの文書が掲載されたページがあります。このページは特定商取引法が「通信販売に関する広告を行う際に表示すべき項目」を1ページにまとめたものです。特定のページを設ける義務は無いのですが、単体のページにまとまっていた方がUI/UXとしてより良いとして、様々なサービスでこの形態を取っているようです。
実装と絡めて考える
上述したドキュメントは、大抵の場合は静的なページとして作成されることがほとんどだと思います。
ただ、これらの文章は頻繁ではないにせよ、必要に応じて改訂されるものです。
そこで、規約のテキストはバージョン管理を行い、過去の内容をいつでも確認できるようにするのがおすすめです。
さらに、Aというユーザーが規約に同意したタイムスタンプを記録する機能も実装しておくことで、そのユーザーが同意した規約の内容を容易に照合できます。
バージョン管理といえば真っ先に思い浮かぶのはgitですね。
最低限リポジトリで保持さえしていれば、遡るのが若干手間ではありますが、コミットログから過去の規約をいつでも確認することが可能です。
もう一手間加える余裕があれば、データベースに過去バージョンの規約のテキストと公開開始/終了日時をレコードとして保持すると、遡るのはもっと簡単になるでしょう。
ダメ利用規約の典型
ここまでは「どういった規約がベターか」という視点で考えてきましたが、以下は「とりあえずこういうのは避けよう」というものです。
実効性
「他ユーザーや運営に迷惑をかけない」「第三者の権利を侵害しない」など、一般論レベルの書き方は禁止行為に該当しないことがあります。また、禁止事項を破った際のペナルティを明記していない場合、アクセス禁止やデータ削除といった措置が新しいクレームの種になる可能性があります。
違法性
「利用規約」の項で前述しましたが、「損害に対して一切の責任を負わない」というような一方的な免責は、法令に適合しておらずアウトです。また、個人情報の収集においても、収集することはサービス内で明記していても、その情報を運営以外の第三者に渡すことをユーザーに通知していないなど、不適切な利用をしてしまうケースもあると思います。
同意取得
同意を得る際、よく見かけるのが以下の2パターンです。
- 「同意する」ボタンあるいはチェックボックスを押すことで同意を得て、サービス提供を開始する
- 「利用開始する」ボタンを押すことで規約に同意したと見なす(規約ページへのリンクを併記する)
前者がオプトイン、後者をオプトアウトと呼んだりしますが、後者はトラブルの際に「同意なんてした記憶はない」と主張されてしまいかねません。また、収集した個人情報を第三者に提供する際は本人の同意が必須ですので、プライバシーポリシーでこの旨が明記されていても、オプトアウト方式はリスクが増すため、おすすめしません。
さいごに
いかがでしたでしょうか。普段あちこちで目にしつつ、でも普段ほとんど気にしていない利用規約ですが、いざ自分で作成しようと思うと、色々な情報にあたる必要があることに気づきました。専門家でないエンジニアだけで作った文書は、当然法的に穴が生じてしまうと思います。一般のコンテンツと同じくこまめに更新して穴を塞ぎ、お金や時間が許すのであれば、他業種の方々がシステム構築時にエンジニアに頼るように、法律の専門家を頼りたいところです。
ですが専門家を頼るにしても、一切無知では相談のしようがありません。頼るところは頼りつつ、自分でもさわりの知識程度は身につけておきたいと思います。