Webサイトの利用規約

利用規約のQ&A

このページの内容の改訂日:2017/11/29
このページの最終更新日:2019/1/12

利用規約とは

Q1.利用規約とは、なんですか?

利用規約は、そのWebサイトのルールです。そして、その利用規約に同意*1した人との間では、Webサイトの運営者とユーザーそれぞれを拘束する契約となります。保険契約でいえば約款にあたるものと考えるとイメージしやすいと思います。「免責事項」や「個人情報の取り扱いの説明」についても同様に考えられます。

*1
利用規約を活かすには、「同意」の手続きが必要です。「利用規約への同意」の取得方法の一般的なものとしては、ユーザー登録フォームで利用規約を表示し、「利用規約に同意します」というチェックボックスにチェックしないとユーザー登録できないようにする仕組みが挙げられます。

Q2.ユーザーには、利用規約にどうやって「同意」してもらえば良いのですか?

ユーザーに「同意します」のチェックボックスにチェックさせたからといって、大丈夫とは限りません。チェックボックスをクリックすることは、契約書に署名したり印鑑を押すことに比べ、気軽に行ってしまう行為であることは否めません。このため、後にトラブルになった際に、「利用規約は読んでなかった」「内容を理解していなかった」「同意したつもりはなかった」などと主張されてしまう可能性があります。

このため、利用規約への同意を取得する際には、ユーザーに利用規約をきちんと読んでもらい、これに同意した人だけがサービスを利用できるような仕組みにしておくことが重要です。

例えば、規約のリンクを貼ってあるだけよりも、規約全文をスクロールしなければチェックボックスに辿りつかないようにしてある方が、「読んでなかった」と主張されるリスクは減ります。

また、利用規約自体も、長大で難解なものよりも、要点をまとめたコンパクトなもので、平易な文章で記載されている方が「理解していなかった」と主張されるリスクは減少します。

この他、オプトアウト(同意しない人がクリックする)方式で同意を取得する場合よりも、オプトイン(同意する人がクリックする)方式で同意を取得した方が、「同意したつもりはなかった」と主張されるリスクは減少します。

Q3.一度定めた利用規約を変更することはできますか?また、利用規約を変更するには、どのような手続きをとる必要がありますか?

利用規約を変更することはできますが、本来、改めて変更後の利用規約について同意を取得しなければ、変更後の利用規約はユーザーとの間での契約内容にはなりません。

もっとも、変更のたびに同意を要求するのは現実的ではないため、経済産業省は、「電子商取引及び情報材取引等に関する準則」において、明示の同意がなくとも利用規約の変更が認められる場合について、一定の指針を示しています。

即ち、この指針では、

  1. 利用規約の変更について利用者に十分に告知した上で
  2. 変更の告知後も利用者が異議なくサイトの利用を継続していた場合
    には利用規約の変更につき「黙示の合意」があるものとして、明示の同意を取得しなくとも利用規約の変更が認められ得る余地があるとされています。
    そしてこの判断の要素となる可能性があるものとして、
    1. 変更が一般の利用者に合理的に予測可能な範囲内であるか否か
    2. 変更が一般の利用者に影響を及ぼす程度
    3. 法令の変更への対応、悪意の利用者による不正やトラブルへの対応、条項・文言の整理など、一般の利用者であれば当然同意するであろう内容であるか否か
    4. 変更がサービスの改良や新サービスの提供など利用者にもメリットのあるものであるか否か

を挙げています。

(「電子商取引及び情報財取引等に関する準則」http://www.meti.go.jp/press/2014/08/20140808003/20140808003-3.pdf経済産業省)
この指針によれば、たとえばユーザーへのインパクトが大きくない規定について変更をする場合であれば、あらかじめ利用規約に変更の可能性を示した上、ウェブサービスの最新情報を掲示する箇所などでこの旨を掲示すれば足る可能性が大きいと言えます。

Q4.利用規約は、誰のために作るのですか?

利用規約は、第一には、Webサイトの運営者のために作られます。Webサイトは、そのサービスの内容によっては、ユーザーや第三者との間でトラブルを生じることがあります。このようなトラブルが発生したときに、それを解決するルールとなるのが利用規約なのです。

そして、利用規約は、Webサイトの運営者が一方的に作成できるものなので(有効性に問題が生じうることについては後で説明します)、運営者に有利なルールを作ることができます。トラブルを回避したり、トラブルが発生した場合にもできるだけ低いコストで解決できるように、運営者は利用規約を作成するのです。

もっとも、利用規約は、Webサイトのユーザーにとってもメリットのあるものです。ユーザーは、利用規約を確認することで、そのWebサイトの利用によって自分がどのようなリスクを負う可能性があるのかを、事前に予想することができるからです。

利用規約と法律

Q5.利用規約は、どういう時にサイトに掲載しないといけませんか?また、掲載する義務はありますか?

まず、Webサイトで個人情報を取り扱う場合には、個人情報保護法による規制を受けます。個人情報を収集する際には、利用目的をできる限り特定し、ユーザーの同意をえる必要がありますし、収集した個人情報は、その利用目的に必要な範囲を超えて利用することはできません。一般的には、これらを「プライバシーポリシー」というようにまとめて表示しています。

次に、eコマースなど、インターネット上で商取引をする場合には、特定商品取引法による規制を受けますので、事業者の名称、住所、電話番号など、法が定める事項を表示する義務があります。一般的には、これらを、「特定商取引法に基づく表示」というようにまとめて表示しています。

一般的なWebサイトで掲載の必要があるのは、概ねこの2点で、これら以外の、いわゆる「利用規約」で定められている事項については、前述のとおり、基本的にはWebサイト運営者のためのものですので、掲載すべき法的義務はありません。

Q6.利用規約に書いておけばトラブル防止に役立つことには、どのようなことがありますか?

利用規約に書いておけば役立つことは多くありますが、その中でも最たるものは、禁止規定と、禁止規定に反した場合の措置についての定めです。Webサイトが発展していけば、一定の割合で、これを悪用しようとするユーザーが表れてきます。このようなユーザーに対しては、時には断固たる措置をとらなければ、Webサイトの存続が危ぶまれることになります。

しかし、Webサイトの悪用に対して、利用規約で対策を講じていなければ、運営者は、ケースバイケースで判断しなければなりませんが、これは非常に難しく、コストも小さくありません。そして、判断を誤れば、ユーザーから訴えを提起されたり、悪ければ敗訴してしまうこともあるかもしれません。

他方で、利用規約において、どのような行為を禁止行為とし、禁止行為をしたユーザーに対してどのような罰則があるかを具体的に定めておけば、個々のトラブルはその利用規約にあてはめれば処理できますので、判断に苦しむことは大幅に少なくなりますし、敗訴リスクも大幅に低下します。

以上から考えると、少なくとも利用規約には、自社のWebサービスで生じえる悪用行為について十分な検討をしたうえで、禁止行為を可能な限り詳細かつ具体的に記載しておくことが望ましいといえます。

また、当然ですが、免責条項も極めて重要です。

その他、あまり注目されませんが、専属的合意管轄の定め*2は、実務的には非常に重要です。この定めだけで紛争が終結することもあります。

*2
専属的合意管轄の定めが無かったり、不備があると、遠方の裁判所で訴訟を起こされた場合、交通費や弁護士費用が高額になり、実務上、非常に負担がかかる可能性があります。

このように、利用規約に定めておけば、トラブル回避に役立つことは沢山ありますので、積極的に活用することが望ましいといえます。

Q7.利用規約に書いておいたからといって、法律上は意味のないことには、どのようなことがありますか?

そもそも、利用規約を作成していても、ユーザーがそれに同意していなければ、ユーザーとの間で効力を生じません。利用規約への同意の取得手続きについても、きちんと検証する必要があります。

また、同意を取得したからといって、利用規約に書かれていることがすべてユーザーとの間で効力を有するわけではありません。例えば、利用規約は、あくまでWeb運営者とユーザーとの間の約束ですので、それと関わりのない第三者の義務などを定めても、その第三者を拘束することはできませんし、公序良俗に反するような定めは無効となります(民法90条)。

そして、公序良俗に反するとまではいえないものでも、個人との取引においては、消費者契約法に注意する必要があります。例えば、消費者契約法8条1項1号は、消費者契約において「事業者の債務不履行により消費者に生じた損害を賠償する責任の全部を免除する条項」を無効としています。よって、消費者契約にあたるサービスを提供するWebサイトで、利用規約に、「本サービスによって生じた損害に関して、事業者は一切の責任を負いません」などと定めたとしても、これは無効になってしまうのです。

Q8.免責事項は利用規約の一部ですか?

一部です。もっとも、「Q5」で説明した理由で免責事項が無効となっても、それによって利用規約全体が無効となるわけではありません。

Q9.訪問者(ユーザー)が情報を見るだけのサイトにおける利用規約は、どのような役割を果たしますか?

「登録ユーザーだけに提供するサービス」が無い場合、登録手続きがなければ、同意を取得することもできないので、利用規約等を作成しても、ユーザーを拘束することはできず、あくまで運営者側の「宣言」的な意義を有するにとどまります。

Q10.利用規約が原因で訴訟になった事例にはどのようなものがありますか?

海外の事例ですが、2012年12月21日に、アメリカで、Instagramに対して集団訴訟が提起されました。これは、利用規約の変更により、Instagramがユーザーの投稿写真を勝手に販売したり、広告素材として使ったりしようとしているように見えたからです。

国内でも、大手Webサイトの利用規約は、しばしば変更されていて、通常、ユーザーはそれを受け入れています。しかし、その変更内容があまりにも一方的なものであった場合には、Instagramのように、ユーザーの反発を受け、最終的には裁判にまでエスカレートしてしまいますので、注意が必要です。

利用規約の作り方

Q9.利用規約の作成時には、どのようなことに注意したら良いですか?

最も重要なことは、そのWebサイトで、どのようなトラブルが起こりうるかを想定し、それに対する対応策を事前に利用規約に定めておくことです。

通常、Webサイトのビジネスモデルは、少ないリソースで多数のユーザーを相手とすることで利益が生まれるように構築されています。しかし、ユーザーからクレームを受け、またそれが訴訟へとエスカレートしていけば、その対応にかかるコストは、どんどん増大してしまいます。 これに対して、事前に、そのトラブルが起きた場合の処理について利用規約で定めていれば、ユーザーとしても争う余地がなくなり、紛争を未然に防ぐことができます。また、仮に紛争となっても、有利に手続きを進めていけるのです。

このように、利用規約をつくるうえでは、自社Webサイトの特徴を把握して、それに沿った内容を作成していくように気をつける必要があります。

利用規約の作成依頼

Q11.他社の利用規約をコピーして使うことはできますか?

利用規約の各条項については、どうしても同じような書きぶりになってしまうことから、原則的に著作権法による保護の対象とはならないものと考えられてきました。他社の利用規約の無断使用が著作権侵害になるかが争われた裁判の判決でも、利用規約の条項ひとつひとつは著作権法による保護の対象とはならないと判断しています。

もっとも、この判決では、同じ事項を複数の条項で繰り返し定めているといった利用規約の「構成」については、個性が表れているとして、著作権法による保護の対象となると判断しました。このため、他社の利用規約を完全にコピーして使用した場合には、著作権侵害となる可能性があります。

この他、法律上問題がなくとも、無断で他社の利用規約を真似たことがわかってウェブサイトが炎上する可能性があります。また、何より、自社サービスに合った利用規約でないために、不都合が生じ、又は思わぬ不利益を被る可能性もあります。

このように、他社の利用規約の一部をコピーして使うことはできますが、自社サービスに合った利用規約を新たに作成する方がより望ましいといえます。

Q13.利用規約の作成をWeb制作会社に依頼することは可能ですか?

利用規約は法的な文書ではありますが、必ずしも法律専門家でなければ作成してはいけないものではありませんので、Web制作会社に依頼することは可能です。

ただし、Webサイトには、これに関わる法律が多数あり、それらの規制を踏まえた利用規約を作成する必要があります。また、Webサイトのユーザーが増えるほど、ユーザーとトラブルが生じる可能性も高くなりますので、トラブルをできるだけ低いコストで解決できるように利用規約そのものを工夫しておく必要があります。これらの作業には、やはり相当程度の法的知識や、紛争解決の経験が必要となりますので、法律専門家が関わって作成することが望ましいといえます。

Q14.利用規約の作成を法律の専門家に依頼するにはどうしたら良いですか?

一般的には、法律専門家へのアクセスとしては、(1)ウェブで検索する、(2)弁護士会や行政機関が主催する法律相談会へ出席する、(3)法テラスへ相談するなどの方法があります。

しかし、利用規約の作成には、一般的な法律知識だけでなく、インターネット特有の問題に対する理解・知識が必要となることがあります。そのような意味では、利用規約の作成経験豊富な法律専門家へ依頼することが望ましいといえます。

個人情報の保護

Q15.小規模な事業者も個人情報保護法に注意する必要がありますか?

平成29年5月30日の法改正前は、過去6か月間いずれの日をとっても5000人分以下の個人情報しか扱っていない事業者は、例外的に「個人情報取扱事業者」にあたらないとされていました。

しかし、平成29年5月30日の法改正によってこのような例外が撤廃され、あらゆる規模の事業者が「個人情報取扱事業者」にあたることになりました。これにより、これまで個人情報保護法上の義務を負わなかった小規模な事業者も、「個人情報取扱事業者」としての義務を負うことになります。

このため、個人情報を扱う事業者は、小規模な事業者も含め、あらためて、自社のサービスや個人情報保護への取り組みが、個人情報保護法に合致しているか見直す必要があるといえます。

Q16.個人情報保護法の「個人情報」とは何ですか?

個人情報保護法上の「個人情報」とは、生存する個人に関する情報のうち、
①それ単体で個人を識別できるもの、②他の情報と組み合わせることで個人を識別できるもの及び③個人識別符号が含まれるものをいいます。

①にあたるものとしては、個人の氏名等、②にあたるものとしては、生年月日、住所、電話番号、会社における職位等があります。

③は改正個人情報保護法(平成29年5月30日施行)で新たに設けられた「個人識別符号」に関するものです。DNAのデータ、容貌、マイナンバー、運転免許証の番号等がここに含まれます。

詳しくは、個人情報保護法の施行令及び施行規則にてご確認ください。

Q17.GDPRとは何ですか?

EUにおいては、個人データの処理と移転に関するルールを定めた規則として、2017年4月にEU一般データ保護規則(General Data Protection Regulation:GDPR)が制定され、2018年5月から適用が開始されることとなりました。

GDPRは、EU域内の自然人の個人データを扱う企業等を直接規制する規則です。つまり、EU域内の企業に限らず、日本国内の企業であってもEU域内の個人データを扱う企業等であれば規制の対象となる可能性があります。特に、EU域内へ商品やサービスを提供している企業やEU域内の企業から個人データの処理を受託している企業は注意が必要です。

GDPRへの違反行為には高額の制裁金が課されるリスクがありますので、対象となる企業は、適用開始までに適切な措置をとっておく必要があります。

Q18.GDPRによって保護される「個人データ」とは何ですか?

GDPRでは、「個人データ」とは「識別された又は識別され得る自然人に関するあらゆる情報」と定義されています。

この「識別され得る自然人」の例としては、「氏名、識別番号、位置データ、オンライン識別子のような識別子、又は当該自然人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な一つ若しくは複数の要素を参照することによって、直接的に又は間接的に、識別され得るものをいう。」とされています。

*Article 4(1)‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

Q19.IPアドレスやクッキーは「個人データ」にあたりますか?

Q18のとおり、GDPRのArticle 4(1)では、自然人を識別しうるものとしてIPアドレスやクッキーなどの「オンライン識別子」(online identifier)が明記されています。このため、この規定からは、IPアドレスやクッキーが、直ちに「個人データ」に該当するようにも思われます。

しかし、IPアドレスやクッキーだけでは、通常、自然人を識別することができません。GDPRの他の規定を見ても(Recital(30))、IPアドレスやクッキーといったオンライン識別子は、「他の情報と組み合わされるときは自然人を識別するために用いられる余地を残している」とされるに留まっています。

このように、IPアドレスやクッキーは、通常、それのみで自然人を識別しうるものではなく「個人データ」にあたりませんが、他の情報と組み合わされて自然人を識別し得るときは「個人データ」にあたるといえます。

*Recital(30) Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.

Q20.IPアドレスやクッキーはどのようなときに「個人データ」に含まれますか?

Q19のとおり、IPアドレスやクッキーは、他の情報と組み合わされて自然人を識別し得るときは「個人データ」にあたります。

この自然人を識別し得るか否かの判断には、「合理的な可能性のある全ての手段を考慮に入れなければならない」とされています。この「合理的な可能性」の有無の判断には、その時点で利用可能な技術と技術の発展を考慮に入れたうえで、識別のために必要な費用・時間など全ての客観的要素を考慮にいれなければならないとされています(Recital(26))。

どこまでを「合理的な可能性のある手段」と考えるかの判断は、個々の具体的事情によって異なります。判断に迷われた場合は、専門家に相談し、適切な対応をすることが望ましいといえます。

*Recital(26) To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments.

コンテンツ庵