← コラム一覧へ戻る
Insight

利用規約とプライバシーポリシーは、事業が変わるたびに見直した方がよい

こんにちは!LegalAgent 代表弁護士の朝戸です。

スタートアップの法務で、意外と後回しになりやすいものの一つが、利用規約とプライバシーポリシーです。

会社設立直後やサービスリリース時に一度作成し、その後はサービスが大きく変わっているにもかかわらず、最初の文面がそのまま残っているケースは少なくありません。料金体系が変わる。法人向けプランが増える。ユーザーが投稿できるようになる。外部のAIサービスや解析ツールを利用する。海外のクラウドサービスにデータが保存される。営業資料では新しい機能を説明しているのに、利用規約とプライバシーポリシーだけが昔の事業を前提にしている、という状態です。

これは、単に「古い文書が残っている」という問題ではありません。利用規約は、サービス提供者とユーザーとの間で、何を提供し、何を禁止し、どこまで責任を負うのかを定めるものです。プライバシーポリシーは、個人情報をどのような目的で取得し、どの範囲で利用し、第三者提供や委託をどのように扱うのかをユーザーに示すものです。

つまり、どちらも事業の実態とずれてはいけない文書です。

事業が変わると、利用規約も変わる

利用規約は、サービスの「現在地」を反映している必要があります。

たとえば、最初は無料のβ版サービスとして提供していたものが、有料SaaSになった場合、料金、支払方法、更新、解約、返金、アカウント停止、サービス変更、障害対応などをどのように扱うのかが問題になります。法人向けに提供する場合には、管理者アカウント、利用者アカウント、利用企業内での権限、ログ管理、再委託、情報セキュリティ、監査対応なども関係してきます。

また、ユーザー投稿型のサービスであれば、ユーザーが投稿したコンテンツの権利帰属、利用許諾、禁止投稿、削除基準、通報対応を考える必要があります。生成AI機能を組み込む場合には、入力データと出力結果の取扱い、学習利用の有無、第三者の権利侵害リスク、利用者による確認義務、禁止用途なども問題になります。

このように、事業の内容が変われば、利用規約で定めるべき事項も変わります。利用規約を一度作って終わりにするのではなく、機能追加や料金変更のたびに、法務上どの条項に影響するのかを見る運用が必要だと考えています。

利用規約の変更は、自由に書き換えればよいわけではない

実務上、利用規約の変更で注意したいのは、「ウェブサイトに新しい規約を掲載したから、それで当然に全ユーザーへ適用される」とは言い切れないことです。

民法上、定型約款に該当する利用規約については、一定の要件のもとで変更が認められる余地があります。ただし、変更がユーザーの一般の利益に適合するか、契約目的に反せず合理的か、変更内容、必要性、相当性、周知方法などを見なければなりません。特に、料金、責任制限、解約条件、データ利用、利用停止条件など、ユーザーに不利益となり得る変更については、個別同意を取得すべきか、事前告知期間をどの程度置くべきか、既存ユーザーに適用するか新規ユーザーから適用するかを検討する必要があります。

この点は、利用規約のドラフトだけを見ても判断しにくいところです。どのようなサービスで、どのようなユーザーがいて、変更の背景にどのような事業上の必要性があるのかまで見て、変更プロセスを設計する必要があります。

スタートアップでは、営業、CS、プロダクト、経営陣がそれぞれの判断でサービス条件を変えてしまうことがあります。法務としては、変更内容そのものだけでなく、ユーザーへの通知文、管理画面上の同意取得、FAQ、営業資料、請求書、解約導線まで合わせて見た方がよいと考えています。

消費者向けサービスでは、消費者契約法と特定商取引法も見る

BtoCサービスでは、利用規約の自由度はさらに下がります。

消費者契約法は、不当な勧誘による取消しや、不当な契約条項の無効などを定めています。たとえば、事業者の損害賠償責任を広く免除する条項や、消費者に過大な負担を課す条項は、文言上は規約に書いてあっても、効力が問題となる可能性があります。

また、EC、オンライン講座、サブスクリプションサービス、アプリ課金などでは、特定商取引法上の表示や最終確認画面の設計も問題になります。料金、支払時期、提供時期、申込みの撤回・解除、契約期間、自動更新、解約方法などについて、ユーザーが注文直前に確認できる画面を作れているかは、規約本文とは別に検討すべきポイントです。

ここで大事なのは、利用規約だけを綺麗にしても足りないということです。

実際の申込画面、LP、広告、決済画面、メール、アプリ内表示、解約導線が規約と矛盾していると、法務上のリスクは残ります。法務レビューでは、文書だけでなく、ユーザーが実際に契約するまでの画面遷移を確認する必要があります。

プライバシーポリシーは、データの流れを反映する

プライバシーポリシーについても、テンプレートを埋めるだけでは足りません。

個人情報保護法では、個人情報の利用目的をできる限り特定することが求められます。また、本人から直接書面等で個人情報を取得する場合には、原則として利用目的をあらかじめ明示する必要があります。個人データを第三者に提供する場合、委託する場合、共同利用する場合、外国にある第三者へ提供する場合など、それぞれで検討すべき事項が変わります。

スタートアップの場合、事業が進むにつれてデータの流れがかなり変わります。最初は問い合わせフォームだけだったものが、CRM、MAツール、アクセス解析、広告配信、カスタマーサポート、決済代行、生成AI、外部委託先、海外SaaSへ広がっていきます。採用候補者、株主、取引先担当者、イベント参加者の情報を扱うこともあります。

そのため、プライバシーポリシーを見直すときは、最初に文面を見るのではなく、データマップを見る方がよいと考えています。

どの画面で、誰の、どの情報を取得しているのか。取得した情報を、社内の誰が見ているのか。どのSaaSに送っているのか。海外のクラウドに保存されているのか。広告配信やプロファイリングに使っているのか。委託先に渡しているだけなのか、第三者提供に該当し得るのか。ここを見ないまま文面だけ直すと、結局、実態と合わないポリシーになります。

AI機能を入れると、入力データと学習利用の説明が重要になる

最近は、既存サービスに生成AI機能を組み込むケースが増えています。

ここで問題になるのは、ユーザーが入力した文章、ファイル、社内資料、顧客情報などが、どこに送信され、どのように保存され、モデルの学習に使われるのかという点です。自社でAIモデルを運用しているのか、外部APIを利用しているのか、外部事業者の規約上どのように扱われるのかによって、利用規約とプライバシーポリシーの書き方は変わります。

特に、ユーザーが業務上の機密情報や個人情報を入力する可能性があるサービスでは、入力禁止情報、利用者側の確認義務、自社側の安全管理措置、ログ保存期間、外部委託先、問い合わせ窓口を明確にした方がよいと考えています。

AI機能は、プロダクト上は一つの便利な機能として見えます。しかし法務上は、個人情報、著作権、秘密保持、利用規約、責任制限、セキュリティ、広告表示などが横断的に関係します。機能追加のタイミングで、関連する文書をまとめて見直す運用が必要になります。

規約とポリシーは、営業資料とも一致している必要がある

もう一つ見落とされやすいのが、営業資料との関係です。

利用規約では「当社は一定の場合にサービスを変更できる」と書いている一方で、営業資料では「この機能は永続的に利用できます」と説明している。プライバシーポリシーでは「広告配信に利用する」と書いていないのに、営業現場では広告連携を前提に提案している。利用規約では「サポートはベストエフォート」としているのに、個別提案書では「24時間以内に対応」と記載している。

こうしたずれは、契約交渉やトラブル発生時に問題になります。

法務は、利用規約とプライバシーポリシーだけを見るのではなく、提案書、申込書、料金表、ヘルプページ、FAQ、管理画面、メールテンプレートも確認した方がよいと考えています。特にシリーズA前後で営業組織が拡大するタイミングでは、営業資料が増え、個別対応も増えます。その段階で、規約と営業資料の整合性を取ることはかなり重要です。

見直しの実務チェックポイント

利用規約とプライバシーポリシーを見直す際には、少なくとも次の点を確認した方がよいと考えています。

  • サービス内容、料金、契約期間、解約方法が現在の運用と一致しているか
  • 法人利用、管理者、利用者、再委託、サポート範囲を想定できているか
  • ユーザー投稿、ファイルアップロード、生成AI機能の有無を反映しているか
  • 禁止行為、アカウント停止、データ削除、サービス変更の条件が実務で使える内容か
  • 消費者向けサービスで、消費者契約法上問題になりやすい免責・損害賠償条項になっていないか
  • 通信販売やサブスクリプションで、特定商取引法上の表示・最終確認画面と矛盾していないか
  • 個人情報の利用目的が、現在の取得・利用実態に合っているか
  • 外部委託、共同利用、第三者提供、外国にある第三者への提供を見落としていないか
  • 漏えい等発生時の報告・本人通知・社内対応フローが準備されているか
  • 営業資料、FAQ、LP、申込画面、解約画面と矛盾していないか

このチェックは、法務だけで完結しません。プロダクト、営業、CS、マーケティング、情報システム、経営が持っている情報を集めて、文書に反映する必要があります。

法務アウトソーシングで見るべきなのは、文書ではなく変更管理である

LegalAgentの法務アウトソーシングでは、利用規約とプライバシーポリシーを「作って納品する文書」としてだけ見るのではなく、事業変更に合わせて更新されるべき運用文書として見ています。

新機能を出す前に、規約とポリシーに影響するかを確認する。料金改定の前に、既存ユーザーへの適用方法と告知文を確認する。AI機能を入れる前に、入力データ、外部API、学習利用、ログ管理を確認する。広告施策を変える前に、同意、表示、データ利用の関係を見る。

こうした判断を、社内法務部員に近い形で外部弁護士が継続的に支えることに意味があると考えています。スポットで規約を直すだけでは、次の事業変更でまたずれます。事業が動くたびに法務が並走し、文書、画面、営業資料、運用を合わせて更新していくことが、スタートアップにとって現実的な法務体制だと思います。

最後に

利用規約とプライバシーポリシーは、会社の事業の写し鏡です。サービスが変わっているのに文書が変わっていない場合、どこかで実態と法務のずれが生じている可能性があります。

LegalAgentでは、生成AIと企業法務に精通した弁護士の協働により、利用規約、プライバシーポリシー、SaaS契約、広告表示、個人情報対応などを、事業の変化に合わせて継続的に見直しています。単なる文書作成ではなく、外部弁護士が内部法務に近い形で意思決定を支える体制づくりについて、ご相談いただければと考えています。

参照した公的資料

LegalAgentの関連サービス

この記事のテーマに関連するLegalAgentのサービスは、以下のページで詳しくご確認いただけます。

他の記事を見る お問い合わせ