ホームページのプライバシーポリシーは、法律っぽい文章を置いて終わりのページではありません。
自社がどんな個人情報を取り、何に使い、どこで管理し、利用者からの請求にどう応じるかを説明するページです。
問い合わせフォーム、採用応募、予約、資料請求、広告タグ、アクセス解析。
このあたりが1つでもあるなら、まずはプライバシーポリシーの作り方を「文章作成」ではなく「Webサイトの棚卸し」として捉え直すのが現実的です。
個人情報保護法では、個人情報を取り扱う事業者は利用目的の特定や公表、安全管理などの対応が求められます。
対象は大企業だけではなく、個人情報を扱う会社や店舗、病院、団体にも及ぶ点を外せません。
出典: 政府広報オンライン「個人情報保護法を分かりやすく解説」
この記事では、中小企業がホームページで使えるプライバシーポリシーの作り方を、改正個人情報保護法へのWeb対応、Cookie同意バナー、外部送信、公開後の見直しまで含めて整理します。
テンプレートを貼る前に、何を確認すべきかが分かる状態を目標にしてください。
プライバシーポリシーの作り方は「何を取っているか」の棚卸しから始まります
プライバシーポリシーの作り方で最初にやることは、文章を書くことではありません。
ホームページ上で取得している情報と、その後の保存先を洗い出すことです。
たとえば、問い合わせフォームに「氏名」「メールアドレス」「電話番号」があるなら、問い合わせ対応という利用目的が必要です。
採用応募で履歴書や職歴を受け取るなら、通常の問い合わせよりも利用目的、保存期間、閲覧権限、削除手続を丁寧に決める必要があります。
要点テンプレートを使う前の順番
- フォーム項目を一覧にする
- 利用目的をフォームごとに書き分ける
- 保存先と閲覧できる人を確認する
- 外部サービスや広告タグの有無を確認する
- 公開位置をフッターとフォーム直下で確認する
ここを飛ばしてしまうと、きれいな文章なのに実態と合わないプライバシーポリシーになります。
「使っていない項目を書いている」「使っている外部ツールを書いていない」状態は、見た目より危険です。
公開後の管理も同じで、担当者が1人しかいない会社ほど属人化しがちです。
サイト運営の役割分担に不安がある場合は、Web担当者がいない会社のサイト運営ルールもあわせて確認しておくと、更新漏れの予防策になります。
ホームページで確認すべき個人情報の取得経路
ホームページの個人情報は、フォームだけで取得されるとは限りません。
フォーム、外部ツール、広告タグ、アクセス解析をまとめて見ることで、プライバシーポリシーの抜けが見えます。
| 確認場所 | 取得しやすい情報 | 見るポイント |
|---|---|---|
| 問い合わせフォーム | 氏名、メール、電話 | 回答目的と保存先 |
| 資料請求 | 会社名、部署、役職 | 営業利用の有無 |
| 採用応募 | 履歴書、職歴 | 保管期間と削除方法 |
| 予約・EC | 住所、決済関連情報 | 外部決済と委託先 |
| 広告タグ | 識別子、閲覧情報 | 送信先と利用目的 |
特に見落としやすいのが、フォーム送信後の流れです。
Googleフォーム、HubSpot、kintone、Shopify、メール配信ツール、チャットツールなどへ連携している場合、ホームページ上の文言だけでなく、保存先や委託の扱いも確認対象になります。
また、ドメイン、サーバ、メール、CMSの管理権限が社内で整理されていないと、事故時に誰が止めるのか分からなくなります。
個人情報保護の話は文章だけに見えますが、実際にはドメイン管理や権限管理ともつながる論点です。
プライバシーポリシーに入れる基本項目
プライバシーポリシーに入れる項目は、自社の実態に合わせて整理します。
中核になるのは、事業者情報、利用目的、請求手続、安全管理措置、問い合わせ窓口です。
出典: 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
| 項目 | 書く内容 | よくある抜け |
|---|---|---|
| 事業者情報 | 会社名、住所、代表者名 | 代表者名がない |
| 利用目的 | 問い合わせ回答、資料送付、採用選考など | 抽象的すぎる |
| 請求手続 | 開示、訂正、利用停止等の窓口 | 連絡先だけで手続がない |
| 安全管理措置 | アクセス制限、保管、委託先管理 | SSLだけで終わる |
| 苦情窓口 | メール、フォーム、担当部署 | 窓口が古い |
利用目的は「サービス向上のため」だけで終わらせないほうが親切です。
問い合わせへの回答、資料送付、見積もり連絡、採用選考、契約管理、広告配信、アクセス解析のように、利用者が読んで想像できる粒度に落とします。
安全管理措置も、専門用語を並べるより「誰が見られるのか」「どこに保存するのか」「退職者の権限を止めるのか」まで決めるほうが実務に効きます。
SSL化だけを安全管理措置のすべてとして書くのは避けてください。
改正個人情報保護法のWeb対応で抜けやすい5つの確認
改正個人情報保護法へのWeb対応で難しいのは、ページを1回作ることよりも、フォーム追加やタグ追加に合わせて更新し続けることです。
PPCの法令・ガイドライン等ページでも、法令、ガイドライン、Q&A、改正情報が継続的に整理されています。
確認Webサイトで見直す5つの確認
- 利用目的がフォーム別に具体化されているか
- 保有個人データに関する事項が確認できるか
- 安全管理措置が通信、保存、権限、委託まで含んでいるか
- 漏えい等対応の社内連絡先が決まっているか
- Cookie・外部送信の説明が現在のタグ構成と一致しているか
漏えい等の報告対象事態には、要配慮個人情報、財産的被害のおそれ、不正目的行為、本人の数が1,000人を超える場合などが含まれます。
ただし、該当性は情報の種類や状況で変わるため、「この場合は必ず報告不要」と短絡しないほうが安全です。
たとえば、メールアドレスだけの漏えいと、クレジットカード番号を含む漏えいでは、想定される被害が違います。
決済、医療相談、採用応募、本人確認書類を扱うページは、通常の問い合わせフォームより慎重に設計してください。
メールまわりのなりすましやフィッシングも、個人情報の入口として無視できません。
サーバやメールの防御を見直す場合は、なりすましメール対策の記事も確認しておくと、Webサイト外のリスクまでつながって見えます。
Cookie同意バナーは全サイト必須ではなく、外部送信の中身で判断します
Cookie同意バナーは、日本国内のすべてのホームページで一律必須とは確認できません。
ただし、広告タグ、アクセス解析、SNSピクセル、ヒートマップ、チャットツールなどを使う場合は、利用者の端末から第三者へ情報が送られるかを確認します。
出典: 総務省「外部送信規律」
| 状況 | 確認すること | 対応の考え方 |
|---|---|---|
| アクセス解析のみ | 送信先、目的、識別子 | 説明文を整理 |
| 広告タグあり | 広告配信、計測、送信先 | 同意やオプトアウトを確認 |
| 海外向けあり | 対象地域、海外法制 | 追加確認が必要 |
| 自社商品販売 | 決済、配送、委託先 | 個人情報と委託を整理 |
大事なのは、バナーの有無を先に決めないこと。
先にタグ一覧、送信先、利用目的、第三者提供や委託の有無を整理し、その結果としてバナー、通知、公表、同意、オプトアウトを選ぶという順番が自然です。
広告代理店や制作会社が後からタグを追加している場合、プライバシーポリシーだけが古いまま残ることがあります。
「いつの間にかタグが増えていた」状態を防ぐため、GTMやCMSのタグ管理画面を定期的に確認しましょう。
中小企業が自分で進めるプライバシーポリシーの作り方
中小企業が自分でプライバシーポリシーを作るなら、最初から完璧な文章を目指すより、棚卸し表を作ってから条文化するほうが進めやすいです。
この順番なら、専門家へ確認を依頼するときにも説明が短くなります。
手順自分で進める5ステップ
- ステップ1: フォーム、予約、採用、EC、タグを一覧化する
- ステップ2: 取得項目ごとに利用目的を書く
- ステップ3: 保存先、閲覧者、外部サービスを確認する
- ステップ4: 基本項目、Cookie、委託、請求手続を文章化する
- ステップ5: フッターとフォーム直下から1クリックで開けるようにする
フォーム直下には、「送信前にプライバシーポリシーをご確認ください」のようにリンクを置きます。
フッターにも常設し、問い合わせ前後のどちらでも利用者が確認できる状態にしてください。
WordPressを使っている場合は固定ページで作ることが多いですが、Shopify、Wix、STUDIO、自作HTMLでも考え方は同じです。
CMSの種類ではなく、入力導線から確認できることを基準にしてください。
保守や更新を後回しにすると、せっかく作ったプライバシーポリシーもすぐ古くなりがちです。
WordPressサイトで更新・点検の仕組みを整えたい場合は、WordPress保守をAIで自動化する考え方も参考になります。
公開後に見直すタイミングと運用ルール
プライバシーポリシーは、公開した日が完成ではありません。
Webサイトの機能、広告、外部サービス、フォーム項目が変わったときに見直すページです。
| 見直すタイミング | 起きる変化 | 確認先 |
|---|---|---|
| フォーム追加 | 取得項目が増える | 利用目的 |
| 広告開始 | タグ送信が増える | Cookie、外部送信 |
| CRM導入 | 保存先が変わる | 委託、国外保存 |
| 採用強化 | 履歴書を受け取る | 保管、削除 |
| EC開始 | 住所、決済が入る | 決済代行、配送 |
更新担当を決めずに運用すると、制作会社、広告代理店、社内担当の間で「誰かがやっているはず」になりがちです。
タグ追加とフォーム追加は、プライバシーポリシー更新の合図として社内ルールに入れておくと、抜け漏れが減ります。
ホームページの保守費用や管理範囲を見直すタイミングなら、プライバシーポリシーも同時に確認できます。
保守契約の中身を整理したい場合は、HP保守費用の内訳と見直しポイントも参考にしてください。
制作会社と専門家に分けて頼む範囲
プライバシーポリシーの作成は、Web制作会社だけで完結する部分と、法律の専門家に確認したほうがよい部分に分かれます。
制作会社はWeb上の実態整理と実装、専門家は法的な適否や個別条項の確認という分担が現実的です。
| 依頼先 | 頼みやすい範囲 | 頼み方 |
|---|---|---|
| 制作会社 | フォーム、タグ、導線確認 | 一覧化と設置 |
| 広告代理店 | 広告タグ、送信先確認 | タグ一覧提出 |
| 社内担当 | 利用目的、保存先 | 業務実態を整理 |
| 弁護士等 | 条項、法的判断 | 個別事情を相談 |
ノーサイドで支援できるのは、主にWebサイト側の棚卸し、導線設計、固定ページ実装、フォーム直下リンク、タグ確認の整理です。
一方で、業種固有の法的判断や契約条項の最終確認は、弁護士などの専門家へ確認する前提で分けて進めます。
メモ相談前に用意すると話が早いもの
- フォーム一覧と各フォームの入力項目
- 送信後の保存先と閲覧できる担当者
- 広告タグ・解析タグの一覧
- 外部サービスの名称と用途
- 現在のプライバシーポリシーURLと最終更新日
もし、フォームやタグの棚卸しから止まっているなら、まずはWeb側だけでも整理可能です。
法務判断とWeb実装を混ぜずに分けるほど、修正範囲と見積もりも分かりやすくなります。
プライバシーポリシー作成でよくある質問
Qホームページにプライバシーポリシーは必ず必要ですか?
Aホームページで問い合わせ、資料請求、採用応募、予約、購入などの個人情報を取得する場合は、利用目的や請求手続を利用者が確認できる状態にする必要があります。実務上はフッターとフォーム直下にプライバシーポリシーへのリンクを置くのが現実的です。
Qプライバシーポリシーのテンプレートをそのまま使っても大丈夫ですか?
Aプライバシーポリシーのテンプレートは下書きには使えますが、そのまま貼るのは危険です。取得している情報、利用目的、外部サービス、問い合わせ窓口、安全管理措置が自社の実態と一致しているかを確認してください。
QCookie同意バナーは中小企業サイトでも必須ですか?
ACookie同意バナーは日本国内の全サイトで一律必須とは確認できません。広告タグ、アクセス解析、外部送信、海外ユーザー、個人関連情報の扱いによって判断が変わるため、まず使っているタグと送信先を棚卸しします。
Qプライバシーポリシーには何を書けばよいですか?
Aプライバシーポリシーには、会社名、住所、代表者名、利用目的、開示等請求の手続、安全管理措置、苦情・問い合わせ窓口、第三者提供や委託の有無などを入れます。フォーム別に利用目的を分けると、読者にも社内にも伝わりやすくなります。
Q改正個人情報保護法のWeb対応では何を見直すべきですか?
A改正個人情報保護法のWeb対応では、利用目的の公表、保有個人データに関する事項、安全管理措置、漏えい時対応、Cookie・外部送信、外部サービス利用を見直します。フォーム追加や広告タグ追加のたびに、プライバシーポリシーも更新する運用が必要です。
Qフォームの下にプライバシーポリシーリンクを置くだけで足りますか?
Aフォーム直下のリンクは重要ですが、それだけでは不十分です。全ページのフッター、採用ページ、資料請求ページ、ECカートなど、個人情報を入力する導線から利用者が確認できるようにします。
Q医療機関や採用サイトでは追加で注意することがありますか?
A医療機関や採用サイトでは、健康情報、履歴書、職歴、相談内容など、本人への不利益が大きくなりやすい情報を扱う場合があります。通常の問い合わせフォームより、利用目的、保存期間、閲覧権限、削除手続を丁寧に設計します。
Qプライバシーポリシーは誰に作成を頼むべきですか?
AWeb上の設置やフォーム・タグの棚卸しは制作会社が支援できますが、法的な適否や個別の条項判断は弁護士など専門家の確認が必要です。制作会社だけ、またはテンプレートだけで完結させない分担が現実的です。
まとめ:プライバシーポリシーはWebサイト運営の信頼基盤です
プライバシーポリシーの作り方とは、自社が取得する情報、利用目的、保存先、公開導線、更新運用を一致させるプロセスです。
文章だけ整えても、フォーム、広告タグ、外部サービス、社内権限が実態とズレていれば、利用者にも社内にも役立ちません。
まずは取得経路の棚卸しを行い、次に利用目的と公開導線を整え、最後に更新ルールを決める。この順番で進めると、テンプレート任せのページから実務で使えるページへ変わります。
法的な最終判断は専門家に確認しつつ、Webサイト側の整理は今日から始められます。
フォーム追加、広告開始、採用強化、EC開始の前後では、プライバシーポリシーも必ず見直す。この運用まで含めて、ホームページの信頼を守る土台になります。