「プライバシーポリシーは作ったけど、これで本当に大丈夫なのかな…」
こんな不安、感じたことはありませんか?
ホームページに問い合わせフォームを設置していると、お客様の名前・メールアドレス・電話番号など、個人情報を受け取っていることになります。
「個人情報保護法が改正されたって聞いたけど、うちに関係ある?」
「プライバシーポリシーのひな形をそのまま使っているけど、足りていないのでは?」
そんな悩みを持っている方も多いのではないでしょうか。
そんな方へ、福岡でホームページ制作をしている Ndesign が、
60件以上の制作経験(セキュリティ対応・法令対応を含む)をもとに、今すぐ確認できる個人情報保護法対応チェックリストをお伝えします。
読み終わる頃には、自分のホームページが個人情報保護法に対応できているか把握できて、「まず何をすればいいか」がわかるようになりますよ。
2022年の改正で「全員対象」になった個人情報保護法
「個人情報保護法って、大きな企業だけの話じゃないの?」と思っている方も多いかもしれません。
実は、2022年4月1日に施行された改正法(令和2年改正)によって、個人事業主を含む全事業者が対象になりました。
改正前と改正後で何が変わったのか
以前は「5,000件を超える個人情報を取り扱う事業者のみ」が対象でした。
つまり、小さな個人事業主やスタート間もない会社は対象外だったのです。
ところが2017年の改正でその要件が撤廃され、2022年の改正でさらに義務が強化されました。
現在は1件でも個人情報を取り扱えば対象です。
ホームページに問い合わせフォームを設置していれば、お客様の名前とメールアドレスを受け取った時点で「個人情報取扱事業者(個人情報を取り扱うすべての会社・個人事業主のこと)」になります。
つまり、ひとり起業家でも法人でも関係なく、フォームを持つすべてのホームページが対象なのです。
| 項目 | 2022年改正前 | 2022年改正後(現在) |
|---|---|---|
| 対象事業者 | 5,000件超の個人情報を取り扱う事業者 | 1件以上の個人情報を取り扱う全事業者 |
| 漏えい報告義務 | なし(任意) | 個人情報保護委員会への報告+本人通知が義務 |
| 開示請求への対応 | 限定的 | 電磁的(データ)での開示にも対応義務 |
| 罰則(法人) | 最大30万円以下の罰金 | 最大1億円以下の罰金(大幅引き上げ) |
2024年4月にはウェブスキミング対策も追加された
2024年4月1日には、個人情報保護法の施行規則が改正され、ウェブスキミング(Webスキミング)対策が明確化されました。
ウェブスキミングとは、ホームページに悪意のあるプログラムを埋め込み、フォームに入力した個人情報を盗み取る攻撃手法のことです。
ECサイト(ネット通販サイト)だけでなく、一般的な問い合わせフォームも対象になりえます。
この改正により、ホームページのセキュリティ対策(WordPressのプラグイン更新、不正アクセス対策など)が個人情報保護法の安全管理措置の観点からも一層重要になっています。
チェックリスト①:プライバシーポリシーの内容確認
「プライバシーポリシーのページはある」という方も、中身をきちんと確認したことはありますか?
作って終わりにしてしまうと、内容が不十分で法的な問題が生じることがあります。
必ず記載が必要な5つの項目
個人情報保護法第32条では、以下の5項目を「本人がすぐに知ることができる状態」にしておく義務があります。
難しい言葉ですが、簡単に言うと「ホームページのプライバシーポリシーページに掲載しておく」ことで対応できます。
- 事業者の名称・住所:あなたの屋号または会社名と所在地(個人事業主の場合は活動拠点の都道府県・市区町村まで)
- 利用目的:集めた個人情報を何のために使うのかを具体的に(「お問い合わせへの回答のため」など)
- 開示請求の方法:お客様が「自分の情報を見せてほしい」「削除してほしい」と言ってきたときの連絡先と対応方法
- 安全管理措置:個人情報を守るためにどんな対策をしているかの概要(「SSLで暗号化しています」「担当者以外がアクセスできないよう管理しています」など)
- 苦情の申出先:個人情報に関するお問い合わせ・苦情を受け付ける連絡先
よくある「不十分なプライバシーポリシー」の例
制作を依頼される際にホームページを拝見すると、以下のようなケースをよく見かけます。
心当たりがある方は、早めに確認・修正することをおすすめします。
- 事業者名だけあって住所がない:個人事業主の場合、少なくとも都道府県・市区町村の記載が必要です
- 利用目的が「サービス向上のため」だけ:具体的に「お問い合わせへの返信」「メールマガジンの配信」など用途別に明記しましょう
- 「第三者への提供はしません」の一言だけ:提供する場合は目的・相手・同意の取り方が、しない場合はその旨を明確に
- 問い合わせ先がメールのみ:苦情受付の窓口としては、メールアドレスまたはフォームへのリンクが最低限必要です
- 3年以上更新していない:法改正のたびに内容を確認・更新することが大切です
プライバシーポリシーのひな形をそのまま使っている場合は要注意
ネットで配布されているひな形は2020年以前のものも多く、2022年改正・2024年改正の内容が反映されていないことがあります。
ダウンロードした年月を確認し、最新の改正に対応した内容かどうかチェックしてみてください。
チェックリスト②:問い合わせフォームの設定確認
ホームページの問い合わせフォームは、個人情報を直接収集する「最前線」です。
ここでの設定が不十分だと、情報収集の時点で法律に引っかかる可能性があります。
同意チェックボックスは必須なのか
「フォームに同意チェックボックスを付けなきゃいけないの?」という質問をよくいただきます。
結論から言うと、チェックボックスそのものは法律上の必須ではありません。
ただし、個人情報を収集する際には「利用目的を本人に知ってもらう」ことが必要です。
フォーム上でプライバシーポリシーへのリンクと「送信すると利用規約・プライバシーポリシーに同意したものとみなします」という文言を表示する方法でも対応できます。
私の経験上、チェックボックスを設置するほうが、お客様への説明責任を果たしやすく、トラブル防止にもなります。
実装コストもほとんどかからないため、設置することをおすすめしています。
フォームに明示すべき内容
フォームの送信ボタン付近に、以下の情報を表示しましょう。
- プライバシーポリシーへのリンク(「プライバシーポリシーはこちら」など)
- 利用目的の簡潔な表示(「いただいた情報はお問い合わせへの返信のみに使用します」など)
- 同意の意思表示:チェックボックスまたは「送信ボタンを押すことで同意とみなします」の文言
- 必須・任意の項目区別(名前・メールは必須、電話番号は任意、など)
チェックリスト③:安全管理措置の確認
個人情報保護法では、集めた個人情報を漏らさない・盗まれないよう「安全管理措置(個人情報を守るために行う対策のこと)」を講じることが義務付けられています。
難しく聞こえますが、ホームページ運営者として最低限確認してほしい3つのポイントをお伝えします。
SSL(通信の暗号化)は対応できているか
ホームページのURLを確認してみてください。
「https://」で始まっていれば、SSL(通信を暗号化してデータを守る仕組み)が導入されています。
「http://」のままであれば、フォームに入力した情報が暗号化されずに送信されているため、早急に対応が必要です。
Xserverなど主要なサーバーではSSLの無料設定が可能です。
私が担当した案件では、SSL設定に加えてセキュリティヘッダーの最適化も行い、セキュリティ評価でGrade Aを達成しました。
SSLだけで十分ではなく、ヘッダーの設定まで整えることで安全性がさらに高まります。
不正アクセス対策はできているか
WordPressを使っている場合、プラグインやテーマを長期間更新していないと、脆弱性(セキュリティの弱点)が生じることがあります。
2024年4月の施行規則改正で強調された「ウェブスキミング対策」は、まさにこの部分に関係しています。
- WordPressのバージョンが最新になっているか
- プラグインを定期的に更新しているか
- 管理画面のパスワードが推測されにくいものになっているか
- 不要なプラグインを削除しているか
- セキュリティプラグイン(Wordfenceなど)を導入しているか
個人情報の保管・廃棄ルールはあるか
フォームから届いたお問い合わせのメールや、Excel・スプレッドシートで管理している顧客リストについても確認しましょう。
- お問い合わせ情報は担当者のみがアクセスできる環境で管理されているか
- 不要になった個人情報(解約済みの顧客情報など)を定期的に削除しているか
- クラウドサービス(Google Drive、Dropboxなど)で共有している場合、アクセス権限を適切に設定しているか
- スタッフに個人情報の取り扱いについて説明・周知しているか
「うちは一人でやっているから大丈夫」と思いがちですが、PCの紛失・盗難でも個人情報が漏えいするリスクがあります。
スクリーンロックの設定、外出時のPC持ち出しルールを決めておくだけでも立派な安全管理措置になります。
チェックリスト④:漏えい発生時の対応準備
「うちはセキュリティをしっかりしているから大丈夫」という状況でも、万が一の備えをしておくことは大切です。
2022年改正で漏えい等の報告義務が追加されましたが、実は多くの経営者がこの義務を知らないままです。
漏えい等の報告義務とは
一定の条件を満たす個人情報の漏えい・紛失・不正アクセスが発生した場合、2つの義務があります。
- 個人情報保護委員会への報告:速報(概ね3〜5日以内が目安。法令上は「速やかに」が原則)と確報(原則30日以内、不正の目的によるおそれがある場合は60日以内)の2段階で報告が必要
- 本人への通知:漏えいした個人情報の本人(お客様)に知らせる義務がある
「報告が必要な漏えい」の例としては、以下のようなケースが当てはまります。
- ハッキングにより顧客情報が外部に流出した
- 誤って別の方に個人情報が記載されたメールを送信してしまった
- 顧客情報が入ったPCを紛失した(暗号化されていない場合)
- 100名以上の個人情報が流出した
軽微なケース(誤送信先がすでに情報を削除した確認が取れた場合など)は対象外になることもありますが、判断に迷ったら個人情報保護委員会のガイドラインか専門家に確認することをおすすめします。
対応フローを事前に決めておく
漏えいが発生したときに慌てないよう、事前に対応フローをメモしておきましょう。
難しいものではありません。
- 漏えいの事実を確認する(いつ・何件・どんな情報が・なぜ)
- 被害拡大を防ぐ(パスワード変更、フォームの一時停止など)
- 個人情報保護委員会(ppc.go.jp)の報告フォームから速報を送る
- 影響を受けた本人(お客様)に連絡する
- 原因を特定して再発防止策を立てる
- 確報(詳細報告)を30日以内に送る
「自分のところで漏えいなんて起きないから大丈夫」と思うかもしれません。
でも、ホームページへの不正アクセスは今や日常的に起きていて、狙われているのは大企業だけではありません。
小さなホームページほど、セキュリティ対策が手薄なことが多いため、攻撃者の格好のターゲットになりやすいのです。
まとめ:今すぐ確認できる全項目チェックリスト
ここまでの内容を、一度に確認できるチェックリストにまとめました。
ひとつずつ確認しながら、自分のホームページの状況を把握してみてください。
【プライバシーポリシー】確認項目
- プライバシーポリシーのページが存在し、トップページからリンクがある
- 事業者名(屋号・会社名)と所在地(都道府県・市区町村)が記載されている
- 個人情報の利用目的が具体的に書かれている(「お問い合わせへの返信のため」など)
- 開示・訂正・削除の請求に応じる連絡先が記載されている
- 安全管理措置の概要が記載されている
- 苦情の申出先(連絡先)が記載されている
- 2022年以降の改正に対応した内容になっている
【問い合わせフォーム】確認項目
- フォームの送信ボタン付近にプライバシーポリシーへのリンクがある
- 同意チェックボックスまたは同意表示の文言がある
- 必須・任意の項目が明示されている
- Googleフォームなど外部サービスを使っている場合、その旨をプライバシーポリシーに記載している
【安全管理措置】確認項目
- ホームページのURLが「https://」になっている(SSL対応済み)
- WordPressのバージョン・プラグインを定期更新している
- 管理画面のパスワードが強固なものになっている
- 顧客情報を適切なアクセス権限で管理している
- 不要になった個人情報を定期的に削除している
【漏えい対応準備】確認項目
- 漏えい発生時の報告先(個人情報保護委員会)を把握している
- 緊急時の対応フロー(誰が・何を・いつ)をメモしてある
- 被害拡大防止のための初動対応(パスワード変更手順など)を決めている
全部チェックできた方、お疲れ様でした。
「×がついてしまった」という方も、焦らなくて大丈夫です。
まず「プライバシーポリシーの見直し」「フォームへの同意表示」「SSLの確認」の3つから始めましょう。
この3つが整えば、個人情報保護法の基本的な義務をほぼカバーできます。
よくある質問(FAQ)
- 個人情報保護法は小さな会社にも関係がありますか?
-
はい、関係があります。2022年4月1日に施行された改正法(令和2年改正)で、個人事業主を含む全事業者が対象になりました。
ホームページに問い合わせフォームを設置していれば、お客様の名前・メールアドレスを受け取った時点で個人情報取扱事業者として法律の対象になります。 - プライバシーポリシーはどこに掲載すればいいですか?
-
トップページのフッター部分にリンクを設置するのが一般的です。
また、問い合わせフォームのページにも直接リンクを置くことをおすすめします。
お客様がすぐにアクセスできる場所に置くことが大切で、目安としてトップページから2クリック以内で到達できる位置が理想的です。 - 問い合わせフォームに同意チェックボックスは必須ですか?
-
法律上の必須要件ではありませんが、強くおすすめします。
チェックボックスがない場合は、送信ボタン付近に「送信をもってプライバシーポリシーに同意したものとみなします」という文言を表示する方法でも対応できます。
チェックボックスを設置しておくとトラブル時の証明がしやすくなります。 - 個人情報が漏れてしまったら、何をすればいいですか?
-
まず被害拡大を防ぐ初動対応(パスワード変更・フォームの一時停止など)を行い、漏えいの事実を確認します。
一定の要件を満たす場合は、個人情報保護委員会への速報(概ね3〜5日以内が目安)と確報(原則30日以内)、影響を受けた本人への通知が義務です。
判断に迷ったら個人情報保護委員会の相談窓口か専門家に相談することをおすすめします。 - プライバシーポリシーのひな形をそのまま使っても大丈夫ですか?
-
古いひな形を使い続けることにはリスクがあります。
特に2022年以前のひな形には、漏えい報告義務や開示請求への対応など新しい義務が含まれていないものが多いためです。
2022年4月改正・2024年4月改正の内容に対応したものか確認することをおすすめします。
一緒に進める人、いますか?
Ndesign では、ホームページ制作のご依頼時に個人情報保護法の対応チェックも一緒に行っています。
「プライバシーポリシーの内容を見直したい」「フォームの同意設定を整えたい」
そんなご相談も、もちろん対応しています。
「法律のことはよくわからない」という方こそ、一人で抱え込まずに相談してください。
難しい法律の話を、わかりやすい言葉でご説明しながら一緒に対応を進めていきます。
まずは現状のホームページを見てほしい、という方も歓迎です。
