プライバシーポリシーの作り方 2026|GA4・アフィリ・ステマ対応
Editorial / 登記・会社設立

プライバシーポリシーの作り方 2026|GA4・アフィリ・ステマ対応

10 MIN READ

【ご注意】 本記事は2026年5月時点の法令・ガイドラインに基づく一般的な情報です。実際のプライバシーポリシーは、サイトで取り扱う個人情報の項目・利用ツール・事業形態によって書くべき内容が変わります。広告・個人情報保護のリスクが大きい事業を行う場合は、弁護士・行政書士など専門家に確認のうえ公表してください。

① プライバシーポリシーはなぜ必要か

プライバシーポリシーは、サイト運営者が「どんな個人情報を、何のために、どう扱うか」を利用者に説明する文書です。事業として運営するWebサイトであれば、売上規模にかかわらず整備する。

理由は3つある。第一に、改正個人情報保護法(2022年4月施行)は、取り扱う個人情報の件数を問わず、事業として個人情報を扱う者を「個人情報取扱事業者」と位置づけ、利用目的の特定・通知公表、安全管理措置を義務化している。問い合わせフォームでメールアドレスや氏名を受け取った時点で対象になる。

第二に、Googleアナリティクス(GA4)やGoogle広告のリマーケティングタグを設置した時点で、Googleの利用規約と改正電気通信事業法の外部送信規律により、利用者への説明義務が発生する。GA4は閲覧者の端末識別子・IPアドレスを取り扱うため、「個人情報には該当しない」と整理していても外部送信規律の対象になる。

第三に、アフィリエイトASP・Amazonアソシエイトなどの規約は、参加サイトにプライバシーポリシーの設置を求めている。承認後でもプラポリ未設置を理由に提携を停止される。

② プライバシーポリシー必須記載項目の全体像

基本となる項目は次の通り。サイト内容により増減する。

項目何を書くか
事業者情報事業者名(法人名/屋号)、代表者、問い合わせ窓口
個人情報の定義氏名・メール・住所・電話番号など、本人を識別できる情報
取得する情報の項目フォーム入力・購入時情報・Cookie・アクセスログ等
利用目的問い合わせ対応、商品発送、サービス改善、メルマガ配信など具体的に
第三者提供提供する場合の条件と例外(法令に基づく場合等)
委託配送業者・決済代行・メール配信ASPなどへの委託
安全管理措置アクセス制限、パスワード管理、SSL、バックアップなど
開示・訂正・利用停止請求本人からの請求の受付方法、手数料の有無
Cookie・解析ツールGA4・広告タグの利用、外部送信規律対応の記載
アフィリエイトプログラム利用ASP名、Cookieによる成果計測の説明
改定改定の通知方法と最終改定日

扱う情報の種類が増えるほど条文も増える。問い合わせフォームしかない個人ブログと、決済・会員登録があるECサイトでは記載ボリュームが大きく違う。

③ 改正個人情報保護法(2022年4月施行)への対応ポイント

2022年4月に全面施行された改正個人情報保護法で、個人事業主や小規模法人のサイトでも対応が必要な変更が複数入った。プラポリに反映すべき箇所を整理する。

(1) 漏えい等報告・本人通知の義務化 — 4類型

個人情報保護法施行規則第7条で定められた次のいずれかに該当する漏えい・滅失・毀損(おそれを含む)が発生した場合、個人情報保護委員会への報告と、本人への通知が義務となる。

  • (a) 要配慮個人情報の漏えい等(人種・病歴・犯罪歴等を含むデータ。1件でも該当)
  • (b) 財産的被害のおそれがある漏えい等(クレジットカード番号、決済用ID/パスワード等。1件でも該当)
  • (c) 不正の目的をもって行われた行為による漏えい等(外部からの不正アクセス、ランサムウェア、内部不正持出し等。1件でも該当)
  • (d) 1,000人を超える本人に係る漏えい等

個人事業主・小規模法人のサイトで現実的に最も警戒すべきは(c) の不正アクセス起因。WordPress管理画面への侵入や問い合わせフォームDBの抜き取りは、たとえ漏えい件数が1件でも(c)に該当し報告義務が生じる。「うちは件数が少ないから(d)に当たらない」という整理は誤り。プラポリには「漏えい等が発生した場合、個人情報保護委員会への報告および本人通知を行う」と記載する。

(2) 保有個人データ範囲の拡大(短期消去除外規定の撤廃)

改正前は「6か月以内に消去する短期保有データは保有個人データに該当しない」とされていたが、令和2年(2020年)改正により短期消去データの除外規定は撤廃された。2022年4月施行以降は保存期間の長短にかかわらず、すべての保有個人データが開示・訂正・利用停止等の請求対象になっている。「6か月以内に消去するため対象外」という記述はプラポリから外す。

(3) 本人の請求権の拡張

本人からの利用停止・消去・第三者提供停止請求が、本人の権利または正当な利益が害されるおそれがある場合にも認められた。プラポリには、これらの請求を受け付ける窓口(メールアドレス等)を明示する。

(4) 外国にある第三者への提供 — 3つのルート

海外のクラウド・SaaS・広告サービスへ個人データを移転する場合の根拠は、個人情報保護法第28条第1項および第2項、施行規則第17条に基づき大きく3ルートある。プラポリの書き分けが必要。

ルートA:本人同意による越境移転(法第28条第1項)。提供先が外国にある第三者である場合、本人同意の取得に次の3点を本人に情報提供する義務がある(施行規則第17条第2項)。

  • 当該外国の名称
  • 適切かつ合理的な方法により得られた当該外国の個人情報の保護に関する制度に関する情報
  • 当該第三者が講ずる個人情報の保護のための措置に関する情報

単に「アメリカのGoogle LLCに提供」とだけ書いて済む話ではない。当該国の保護制度の概要(包括的法律の有無、独立監督機関の有無等。個人情報保護委員会の公表資料を参照可)まで含めて記載する。

ルートB:基準適合体制を整備した第三者への提供(法第28条第1項括弧書)。提供先が個人情報の取扱いについて個人情報保護委員会規則で定める基準(OECD等と同水準の体制)に適合する体制を整備している場合、本人同意は不要だが、本人の求めに応じて当該体制に関する情報を提供できる状態にしておく必要がある(法第28条第3項)。なお、「基準適合体制を整備した事業者」の公的なリストは存在せず、個人情報保護委員会への届出も不要。提供元事業者が自社で個別に確認・判断する必要がある。クラウド事業者・グローバル事業者を利用する場合に、提供先がこのルートを採るときは、プラポリにその旨と求めに応じた情報提供窓口を記載する。

ルートC:十分性認定国への提供(法第28条第1項括弧書)。個人情報保護委員会規則の告示で指定された国(現在はEU加盟国および英国)にある第三者への提供は、そもそも法第28条の「外国にある第三者」に該当しないものとして扱われ、本人同意・情報提供は不要(国内第三者提供と同様、法第27条の規律に従う)。

④ 改正電気通信事業法(2023年6月施行)外部送信規律

2023年6月に施行された改正電気通信事業法第27条の12により、「利用者の端末から外部の第三者に情報を送信させる仕組み」を持つサービスには、送信される情報について「通知」「公表」「同意取得」「オプトアウト措置の提供」のいずれかが義務づけられた。これがいわゆる「外部送信規律」。

個人事業主・小規模法人のサイトでも、次のいずれかを設置していれば対象になる。

  • Googleアナリティクス(GA4)
  • Google広告のリマーケティング・コンバージョンタグ
  • Meta Pixel(Facebook/Instagram広告)
  • X(旧Twitter)Pixel
  • LINE Tag
  • Microsoft Clarity・Hotjar等のヒートマップ計測
  • YouTube埋め込み(標準の youtube.com モード。後述のとおり youtube-nocookie.com モードは取扱いが異なる)

記載すべき項目

通知・公表で対応する場合、利用者が容易にアクセスできる場所に次の3点を掲示する。

  1. 送信先の事業者名(例:Google LLC、Meta Platforms, Inc.)
  2. 送信される情報の項目(例:閲覧URL、リファラ、IPアドレス、Cookie ID、端末情報)
  3. 送信先での利用目的(例:アクセス解析、広告配信の最適化、コンバージョン計測)

プライバシーポリシー本文に書いてもよく、長くなる場合は「Cookie・外部送信ポリシー」として別ページに切り出してもよい。タグを追加・削除したら都度更新する。

「Cookieバナー」と外部送信規律の関係

外部送信規律はCookie同意そのものを義務化したものではない。タグごとに「通知/公表/同意取得/オプトアウト措置の提供」のいずれかを選べる枠組みになっている。

  • GA4・自社サイト分析タグ等:通知または公表で足りる運用が一般的。事前同意ポップアップは必須ではない。
  • 本人関与型・広告ターゲティング系タグ(Meta Pixel、Google広告のリマーケティング、X Pixel、LINE Tag等):送信される情報の性質や利用目的によっては、総務省ガイドラインが推奨する手段として同意取得が要件と整理されるケースがある。広告配信タグを多用する場合はCookieバナーで同意を取る設計が安全。
  • EEA/英国からの訪問者を想定する場合:GDPR/PECRに基づく事前同意が別途必要。Cookieバナーは事実上必須。

YouTube埋め込みの扱い

YouTube埋め込みは設置モードで取扱いが分かれる。

  • 標準モード(https://www.youtube.com/embed/...):再生前から Cookie・端末識別子が Google に送信されるため、外部送信規律の通知・公表対象。プラポリに Google LLC への送信を明記する。
  • プライバシー強化モード(https://www.youtube-nocookie.com/embed/...):ユーザーが動画を再生するまで Cookie を設定しないとされている。再生時には依然として Google への送信が発生するため、利用していること自体は記載しておくのが安全。

⑤ アフィリエイトとステマ規制(2023年10月施行)

いわゆる「ステマ規制」の正式な根拠は、不当景品類及び不当表示防止法第5条第3号に基づく内閣総理大臣告示「一般消費者が事業者の表示であることを判別することが困難である表示」(令和5年内閣府告示第19号2023年10月1日施行)。事業者の表示であることを一般消費者が判別困難な広告は景品表示法違反となり、アフィリエイトはこの規制の中心的対象。

個別記事への「広告」「PR」表記

アフィリエイトリンクを掲載する記事には、冒頭または該当リンク付近に「広告」「PR」「プロモーション」等の明確な表記を入れる。「※当ページにはアフィリエイト広告が含まれます」のような注記でもよい。

実装面の補足は特定商取引法表記ガイドでも触れている。表記は「目立つ場所」「平易な言葉」「文字が小さすぎない」の3点を満たす。

プライバシーポリシーへの記載例

プライバシーポリシーには、利用しているASPと、Cookieによる成果計測が行われる旨を明記する。例:

  • 当サイトは、もしもアフィリエイト、A8.net、バリューコマース、楽天アフィリエイト、Amazon.co.jpアソシエイト・プログラム等の第三者配信のアフィリエイトサービスを利用している。
  • これらのサービスはCookieを用いて、当サイトでのクリック・成果発生を計測する。Cookieには氏名・電話番号等の本人を直接識別する情報は含まれないが、Cookie IDと連携した行動ログが各社のサーバーに送信される。
  • ブラウザ設定でCookieを無効にすることで、当該計測を停止できる。詳細は各ASP事業者のプライバシーポリシーを参照のこと。

利用ASPは入れ替わるので、契約中のASPだけを正確に列挙し、解約したら削除する。

⑥ 個人事業主の「住所公開」問題

特定商取引法表記には事業者の所在地を表示する必要がある。個人事業主の現実的な悩みは「自宅住所を全世界に公開したくない」という点。

プラポリと特商法表記の違い

特定商取引法に基づく表記(通信販売)では、原則として事業者の住所・電話番号を表示する。一方、プライバシーポリシーには「住所を書け」という個人情報保護法上の直接の要請はなく、本人からの開示・利用停止等の請求を受け付ける窓口(メールアドレス等)が明示されていれば法令上は足りる。

「請求があれば遅滞なく開示」運用の法的根拠

特商法表記については、特定商取引法第11条ただし書および特定商取引法施行規則第10条により、消費者から「住所・電話番号・氏名(法人にあっては代表者名)」の開示請求があった場合に遅滞なく書面または電磁的記録で開示する体制を整えていれば、Web上の表示は省略できる。実務的には、バーチャルオフィスを契約するか、特商法表記ページに「住所・電話番号はご請求があれば遅滞なく開示する」と明記し、開示請求窓口を整備する方法が広く採られている。

バーチャルオフィスの選び方はバーチャルオフィス比較ガイドを、開業からの全体的なステップは会社設立ロードマップを参照してください。

⑦ 当サイトの「プライバシーポリシー生成ツール」を使う手順

ここまでの内容を全部手書きするのは現実的でない。Toolbox Portalの「プライバシーポリシー生成ツール」は、サイトタイプと利用ツールにチェックするだけで、改正個人情報保護法・改正電気通信事業法・ステマ規制に対応した文面を自動生成する。

  1. ツールページを開く
  2. サイトタイプ(個人ブログ/コーポレートサイト/ECサイト/会員制サービス等)を選択
  3. 利用ツールにチェック(GA4/Google広告/Meta Pixel/X Pixel/LINE Tag/Microsoft Clarity等)
  4. アフィリエイトASPを選択(もしも/A8/バリコマ/楽天/Amazon等)
  5. 事業者情報(事業者名・問い合わせ窓口メールアドレス)を入力
  6. 生成された文面をコピーして自サイトに貼り付け

生成文面はベース。実際の取得項目・利用目的に合わせて表現を調整する。

特定商取引法表記が必要な場合は特商法表記ジェネレーターもあわせて使うと、必要な表記をひとつのフォームから揃えられます。法人化直後にやるべき手続き全般は法人化後チェックリストを参照してください。

⑧ 掲載場所と運用

完成したプライバシーポリシーは、利用者がサイト内のどのページからでも容易にたどり着ける場所に掲示する。標準的な運用は次の通り。

  • フッターにリンクを常設(プライバシーポリシー/特定商取引法表記/お問い合わせ)
  • 問い合わせフォームの送信ボタン付近にも明示的にリンクを置く
  • 会員登録・購入フォームでは、送信前に同意を取得する設計にする

改定の通知

法改正・利用ツールの追加・連絡先変更でプライバシーポリシーは継続的に更新する。改定時の運用は次の通り。

  • 本文末尾に「最終改定日」を明記する
  • 軽微でない変更時は、サイト上のお知らせ(バナー、新着情報、メルマガ等)で告知する
  • 過去版を履歴として残す(差し替えだけにしない)

重大な変更(個人情報の利用目的の追加・変更等)では、原則として本人から改めて同意を取り直す。会員制サービスでは、改定時のメール通知+次回ログイン時の再同意フローを設計しておく。

よくある質問(FAQ)

Q. 個人ブログや小さなWebサイトでもプライバシーポリシーは必要ですか?

事業として運営するサイトなら規模を問わず必要。改正個人情報保護法では取扱件数によらず個人情報取扱事業者に該当する。問い合わせフォーム設置、GA4導入、アフィリエイト参加のいずれかを行った時点で、利用目的の明示や外部送信に関する説明義務が生じる。

Q. 2022年4月施行の改正個人情報保護法で何が変わりましたか?

主な改正は4点。第一に、要配慮個人情報・財産的被害のおそれ・不正の目的による行為・1,000人超のいずれかに該当する漏えい等で、個人情報保護委員会への報告と本人通知が義務化された。第二に、令和2年改正で短期消去データの除外規定が撤廃され、すべての保有個人データが開示等請求の対象となった。第三に、本人による利用停止・消去請求権が拡張された。第四に、外国にある第三者への提供時に、提供先の国名・当該国の保護制度・提供先の措置を本人に情報提供する義務が課された。

Q. 改正電気通信事業法の外部送信規律とは何ですか?

2023年6月施行の改正電気通信事業法第27条の12により、Webサイト・アプリ運営者が利用者の端末情報を外部の第三者に送信する仕組み(GA4、Meta Pixel、X Pixel、LINE Tag等)を組み込んでいる場合、送信先・送信される情報の項目・送信先での利用目的を「通知/公表/同意取得/オプトアウト措置の提供」のいずれかで利用者に知らせる。プラポリ本文か専用ページにタグごとに記載する。

Q. アフィリエイトリンクを貼るサイトでは何を書けばよいですか?

プラポリに「アフィリエイトプログラムの利用」条項を設け、もしもアフィリエイト・A8.net・バリューコマース・楽天アフィリエイト・Amazonアソシエイト等の利用中ASP名を明示し、Cookieによる成果計測が行われる旨を記載する。あわせて、2023年10月1日施行のステマ規制(景品表示法第5条第3号に基づく令和5年内閣府告示第19号)対応として、各アフィリエイトリンク掲載箇所には「広告」「PR」等の表記を行う。

Q. 個人事業主ですが、自宅住所をプラポリに書きたくありません。どうすれば?

プラポリ自体は個人情報保護法上、住所表示が直接義務化されているわけではなく、開示・利用停止等の請求窓口(メールアドレス等)が明示されていれば足りる。問題になるのは特定商取引法表記。通信販売を行う場合は、バーチャルオフィスを契約するか、特商法第11条ただし書・施行規則第10条に基づき「請求があれば遅滞なく開示する」運用を採るのが現実的。

Q. Toolbox Portalのプライバシーポリシー生成ツールはどのように使えますか?

サイトタイプ(個人ブログ/コーポレートサイト/EC等)と利用ツール(GA4、各種広告タグ、アフィリエイトASP、お問い合わせフォーム等)にチェックを入れると、改正個人情報保護法・改正電気通信事業法・ステマ規制対応の文面を自動生成する。生成テキストはそのままサイトに掲載できる。

Q. Cookieバナー(同意ポップアップ)は必須ですか?

日本国内向けサイトの外部送信規律は、タグごとに「通知/公表/同意取得/オプトアウト措置の提供」のいずれかで対応する枠組みで、Cookie同意を一律に義務化していない。GA4等のアクセス解析タグは通知・公表で足りる運用が一般的。一方、Meta Pixel・Google広告リマーケティング・LINE Tag等の本人関与型・広告ターゲティング系タグでは同意取得が要件と整理されるケースがあり、Cookieバナー設置が安全。EEA/英国からの訪問者を想定する場合はGDPR/PECRに基づき事前同意が別途必要。