個人情報保護法と広告の「ほんとうの話」 ―中小企業のためのコンプライアンス戦略―

朝いちばんの打ち合わせで、社長さんがこう言いました。
「うち、サイトに同意バナーって出す必要あるの？よく分かんないやつ」
横で黙ってうなずく営業さん。正直、内心は同じ気持ちかもしれません。

法律や規制が怖いのは、その言葉が遠いからです。第三者提供、越境移転、外部送信規律。こんな専門用語を聞くだけで、頭がフリーズしてしまうのは当然です。
しかし、法律が求めることの本質は、ずっと前から当たり前にやってきたことなのです。それは、約束して、守るという、極めてシンプルなルールです。

ここでは、その本質を一つずつ、やさしい日常語にほどいて説明します。

個人情報保護法：広告担当者の三つの約束

個人情報保護法は、複雑な条文の羅列に見えますが、広告実務に関わる担当者が押さえるべき本質は、たった三つの約束に集約されます。これを企画の最初から入れ込んでおけば、法令対応の8割は終わりです。

第一の約束：集める前に、何に使うかを正直に言う

（個人情報保護法 第17条 利用目的の特定、第21条 利用目的の通知又は公表）

私たちがお客様から名前やメールアドレスをフォームでいただくとき、または名刺交換をするとき、必ずやらなければならないことがあります。それは、何に使うか、どのくらい持っておくかを、入口で短く伝えることです。専門用語では利用目的の特定・明示と言いますが、難しく考える必要はありません。

たとえば、資料請求フォームの直下に添える一文を考えてみましょう。
「資料をお届けし、関連するご案内に使います。」「一定期間ののち安全に削除します。」
これで十分、法律的に背筋が通ります。大切なのは、抽象的すぎず、具体的な用途が伝わること。もし、その情報を他社と共有する可能性があるなら、それも加えます。

この正直に言うというプロセスは、単なる義務ではありません。お客様への信頼の設計です。お客様はこの会社は、私の情報をこの目的以外には使わないという安心感を持って初めて、情報を提供してくれます。広告のスタートラインは、お客様とのこの透明な約束から始まるのです。

第二の約束:必要な人にしか渡さない

（個人情報保護法 第27条 第三者提供の制限、第28条 外国にある第三者への提供の制限）

業務を進める中で、お客様の個人情報を社外の協力会社に預ける行為が日常的に発生します。商品の発送を倉庫会社にお願いする、メール配信を外部のサービスで送るといった場面です。
広告業務で言えば、効果測定を外部のプラットフォームに委託する、広告配信を代理店に依頼するといった場面もこれに該当します。
これらはすべて、専門用語で第三者提供と呼ばれる社外に預ける行為です。

ここは難しく考えず、やるべきことはシンプルです。どこに、何のために渡すのかをあらかじめ書いておくことです。お客様から情報を受け取る前に、その利用目的の中に発送やメール配信のため、業務委託先に提供する旨を明記しておきます。

さらに、海外のメール配信サービスやクラウドサービス、広告プラットフォームにデータを預ける場合は、海外にも行きますと先に知らせて、OKをもらう必要があります。これが難しそうに聞こえる「越境移転」です。海外にデータを送る際は、その国の個人情報保護の体制について、お客様が知ることができるように情報を提供することが、法律で求められています。

第三の約束:データが漏洩したら正直に、早く言う

（個人情報保護法 第26条 漏えい等の報告等）

最も怖いのは、データが漏洩したかもしれないという事態です。そんな時は、完璧な原因究明や上手な報告書作成を優先してはいけません。広告の現場と同じで、スピードと誠実さが命です。

もしデータが漏洩したかもしれないという疑いが生じたら、まずは「こういうことが起きました」「止血のために今こうしています」と、正直に、そして早く伝えることが重要です。
2022年4月の法改正により、一定の漏えい等が発生した場合は、個人情報保護委員会への報告と本人への通知が義務化されました。速報はおおむね3日から5日以内、確報は原則として30日以内に提出することが求められます。
連絡の順番は、一般的に事実の把握、影響範囲の確認、アクセス遮断などの止血措置、社内連絡、関係者への連絡、原因調査と再発防止となります。

ここで重要なのは、上手な作文は要らないということです。事実を隠そうとしたり、責任逃れをしようとしたりする姿勢が、最も企業の信用を失います。まずは実況中継のように正直に状況を伝え、再発防止に全力を尽くすという誠実さを示すことが、信用回復への唯一の道です。この台本を、何も起きていない平時に用意しておくことが、最悪の事態への最善の備えとなります。

Web広告の透明化と足あと管理

Webサイトやアプリを使った広告運用では、個人情報そのものよりも、来訪者の足あとであるCookieや広告IDといった個人関連情報の取り扱いが複雑になります。ここを理解せずに進めると、意図せず法律違反を犯してしまうリスクがあるため、丁寧に掘り下げていきましょう。

足あととどう付き合うか:Cookieや広告IDの正体

Webサイトやアプリは、来訪者の足あとを少しだけ覚えます。これがCookieや広告IDと呼ばれるものです。これらの足あとは、それ単体では山田太郎さんといった特定の誰かを直接特定することはできません。これは、個人情報ではない、個人関連情報として扱われます。

ここが、法律上の大きな分岐点となります。
自分の中だけで眺める場合、サイトの改善、アクセス解析のために足あとを収集し、その情報を外部に出さない運用であれば、外部送信の公表とプライバシーポリシーでの利用目的の明示で足ります。
外の会社に渡して照合してもらう場合、広告プラットフォームに足あとを渡して、プラットフォーム側が持っている情報と照合し、過去にこのサイトに来た人またはこのサイトに来た人に似たユーザーにターゲット広告を配信してもらう場合がこれにあたります。
この場合、足あとがプラットフォーム側で誰かと結びつけられる可能性があるため、個人情報と同様の厳格な扱いが必要になります。

サイトの裏で動く外部送信という記録の仕組みの透明化

会社やお店のホームページには、目に見えないところでいくつかの記録用の仕組みが動いています。見えないところで動いているからこそ、その仕組みを透明化することが、法律で強く求められています。
これを専門的には「タグ」や「SDK」と呼びます。タグはホームページの中に埋め込まれた小さなプログラムであり、SDKはスマートフォンアプリの中に組み込まれた便利ツールのようなものです。これらは、アクセス解析、広告の効果測定、リターゲティング広告といった、現代のWebマーケティングに不可欠な機能を動かすために使われます。

こうした仕組みは、あなたのサイトやアプリを訪れた人の端末から、閲覧したページのURLや利用時間、端末の識別情報といった足あとを、GoogleやMetaといった外部の会社に送ることがあります。これが、いま話題の外部送信と呼ばれるものです。

この外部送信について、事前にユーザーに公表することが義務づけられました。これは電気通信事業法の改正によるもので、2023年6月16日から施行されています。電気通信事業法第27条の12では、一定の電気通信役務を提供する事業者が、利用者の端末に記録された情報を外部に送信する際に、その内容や送信先を通知または公表することが求められています。

外部送信規律の対応:何を、どこへ、何のために公表するか

外部送信規律の対応は、やるべきことを三つに分けて整理すれば難しくありません。サイトの下に外部送信についてというページを作り、この三つを一覧にしておくのが一番シンプルで確実です。

まず、何を送るかを明確にします。ページのURLなのか、利用時間なのか、端末の識別情報なのかといった、送信される情報の具体的な中身です。
次に、どこへ送るかを明確にします。Google LLC、ヤフー株式会社、Meta Platforms, Inc.など、送信先の会社の正式名称を表記します。
そして最後に、何のために送るかを明確にします。アクセス解析のためなのか、広告配信のためなのか、機能提供のためなのかといった、利用目的です。

この三つを、前もってサイトで公表します。これは、利用目的を特定・明示することと同様、お客様との信頼の地図を作る行為です。お客様に自分の足あとは、この会社に、この目的のために使われているんだなと、見えないものを見える言葉で伝えることが、いま求められている広告の信頼設計なのです。

同意バナーの役割:確認のきっかけといつでも変更可能の安心感

サイトを開くと出てくるCookieを使っていますという表示。これが同意バナーです。
これは単なるあいさつではなく、データを外に送る前に確認してねという、お客様に同意を求めるきっかけを提供する役割を担っています。

同意バナーの文面は短くて構いません。大切なのは、透明性と選択肢を示すことです。たとえば、「このサイトでは、閲覧の記録を使って内容の改善や広告の表示を行います。設定はいつでも変更できます」という一行を考えてみましょう。この一行で、何を使っているかと何に使うのかが伝わります。
さらに、設定はいつでも変更できますと添えるだけで、読み手の安心感が全然違います。

同意は一度きりの儀式ではなく、お客様がいつでも自分の意思でコントロールできるという選択肢を示すことが、現代の個人情報保護の基本姿勢なのです。

SNS:温床と名札のコンプライアンス

個人情報保護法だけでなく、広告のクリエイティブ表現と運用に関わる景品表示法の知識も、広告担当者には不可欠です。特にSNSマーケティングは、個人情報の集まりやすい温床であり、表現の透明性を求められる名札の場所でもあります。

SNSキャンペーンは温床だと思う:個人情報管理の徹底

フォロー＆リポストで○○が当たるといったSNSキャンペーンは、参加者の名前、アカウント、DM、そして当選者の配送先など、個人情報が一気に集まる温床です。

ここでやるべきことは、第1章の三つの約束に尽きます。
まず、入口で利用目的を宣言することです。キャンペーン要項にご応募いただいたアカウント名、DMの内容は抽選および当選連絡にのみ利用します、当選者様の配送先情報は景品発送後に安全に削除しますと具体的に明記します。
次に、目的の範囲でしか使わないことです。キャンペーンで集めたメールアドレスを、そのままメルマガ登録に流用することは、当初の目的外利用となり、原則として法律違反です。
最後に、終わったら片づけることです。キャンペーン終了後、配送が完了したら、収集した配送先情報は速やかに削除します。

また、ユーザーが投稿した写真に人が写っていれば、肖像権の話も出てきます。使い道は言葉でしっかりと区切ります。当選発表にお名前のみ掲載、投稿写真は公式SNSで紹介しますが、お顔はぼかしますなど、利用範囲を言葉で囲う。それが、キャンペーンにおける信頼の設計です。

ステマ規制の本質:名札をつけるという約束

2023年10月1日から、いわゆるステマ規制が施行されました。これは景品表示法という、広告の嘘や偽りを規制する法律に基づくものです。ステマ規制の本質も、極めてシンプルです。名札をつけるという約束に他なりません。

もし、企業がインフルエンサーなどに対し、対価を支払い、その投稿内容に関与があるなら、その投稿には見える場所に広告またはPRと書く必要があります。
重要なのは、どこに書くか、です。英語表記だけ、ハッシュタグの奥底、小さな透かし文字、動画の冒頭一瞬だけ、といった表記方法はすべてNGです。短い動画なら各フレームに名札をつける必要があります。

この名札のルールを、最初からクリエイティブのデザインや依頼書のテンプレに組み込むことが重要です。作ってから法務では疲弊します。依頼書のテンプレに、PR表記は本文冒頭、ストーリーズは各フレームと書いておけば、運用者やインフルエンサーも迷いません。これは美術ではなく、約束なのです。

実務で迷いやすいグレーゾーンの判断法

広告運用において、法的なグレーゾーンに直面することは珍しくありません。そんなとき、立ち止まって専門用語を調べるよりも、日常の約束という観点で判断する思考法が有効です。
ここでは、実務でよく聞かれる疑問を取り上げ、どう考えればよいかを整理します。

グレーに見える場面を日常語で白黒につける

実務では、セーフなのかアウトなのか判断に迷うことが多々あります。その際、日常の約束という観点で白黒をつける思考法が有効です。

Q メールアドレスをハッシュ化して広告プラットフォームに上げるのはセーフか？

A ハッシュ化されていても、広告プラットフォーム側で照合され「あの人かもしれない」と分かる状態になるなら、個人情報を渡すのと同じ扱いになります。
やるべきこと：渡す前提の説明と相手からのOK、渡した事実のメモ。海外の会社なら「海外にも行きます」を先に言ってOKをもらう。やることは変わりません。

Q Cookieは名前じゃないから、同意は不要か？

A 相手で誰かと分かる状態になるなら、原則としてOKが必要です。さらに、タグやSDKで外へ送るなら、何を、どこへ、何のためをサイトで公表しなければなりません。
やるべきこと：OKとお知らせは別の話です。両方を、別々に、丁寧に、透明化することが求められます。

Q PR表記はプロフィールの下の方に小さく書けば十分か？

A 見えなければ意味がありません。これは約束です。
やるべきこと：本文の頭に明記します。短尺動画は各フレームに表記します。ここは美術ではなく、誠実さの証なのです。

紙とWebのシームレスな連携戦略

紙の広告とWebのデジタルな世界は、個人情報保護の観点からも連携を密に取る必要があります。紙で集めた情報をどうデジタルで使うか、その連携の透明性こそが、現代の広告戦略です。

クリエイティブと約束を同じキャンバスに載せる:コンプライアンスの設計図

作ってから法務にチェックを依頼するという運用は、コストと時間の浪費を生みます。逆に、企画の最初のワイヤーフレームで法務の要件も一緒に設計すると、スムーズな運用が実現します。

ヘッダー付近には同意バナーのスペース、フッターには外部送信についてのリンク、フォームのすぐ脇には利用目的のひとことを盛り込みます。また、インフルエンサーの依頼書にはPR表記の位置、第三者にデータを渡したらその都度1行メモを記録する台帳の作成も組み込みます。
これをテンプレにしておけば、制作物が上がるたびにどこにコンプライアンス表記があるかを確認する必要がなくなり、毎回勝手に誠実な広告になります。
法律は、クリエイティブを縛るものではなく、信用の設計図として活用すべきなのです。

成功事例に学ぶ信用の設計図

法律の遵守は、広告の成果を下げるものではありません。むしろ、誠実さが競争優位性となる時代です。法律を信用の設計図として活用することで、どのような可能性が生まれるのか。仮想のシナリオを通じて考えてみます。

シナリオ1:町のパン屋さんが描く信頼のLINE登録

仮に、ある町のパン屋さんが新作パンの情報をLINEで知らせるための登録を始めたとします。
カウンターの小さな立て札に、極めて具体的な三つの約束を書いたと想定してみましょう。「お名前とLINEは新作のご案内に使います。やめるときは停止と送ってください。登録から1年でいったん消します。」この一文で、利用目的の特定と保有期間の明示という法律的要件を満たすことができます。

さらに、Webサイトの片隅にこのサイトで使っているものというページを作り、アクセス解析と広告タグの名前、送る情報、使い道を表記します。たったこれだけで、そのパン屋は見えるお店となり、競合他社よりも安心できるという理由で、LINEの登録率と来店頻度が向上する可能性があります。
法律は、サービスの透明性を高めるツールとして機能するのです。

シナリオ2:内装会社が実践する名刺と外部委託の透明化

ある内装会社が、展示会でスキャンした名刺を外部のメール配信サービスに預けてメールを配信し始めたと仮定します。これは社外に渡す第三者提供にあたります。

名刺の裏に小さく、次の文章を印刷することで対応します。「スキャンして当社のご案内に使います。配信サービスでメールをお送りします。」
さらに、展示会のLPには「外部送信について」を記載して、使っているタグの一覧を表記します。
また、インフルエンサーに施工現場を紹介してもらう際は、投稿の頭にPRを必ず入れ、映り込む職人の顔にはぼかし処理を徹底します。

名札と配慮、この三つを徹底することで、誠実さがクライアントに伝わり、高額な内装工事の商談が前に進みやすくなるかもしれません。法律の遵守は、企業イメージを向上させるブランディング戦略となり得るのです。

法律の知識を成果へ変える

法律は、信用の設計図になるものです。名前は硬いですが、やることは、正直に言う、必要な人にだけ渡す、漏洩したらすぐ言うという、私たちの日々の仕事で大切にすべき誠実さそのものです。

そのまま使える誠実なことば集の応用

法律用語を日常語にほどいた短い言葉を、運用に組み込むことが重要です。

フォーム直下で使用する表現

ご入力の情報は、資料送付とご連絡のために使います。発送や配信を手伝う会社で取り扱うことがあります。一定期間ののち安全に削除します。

同意バナーで使用する表現

このサイトでは、閲覧の記録を使って内容の改善や広告の表示を行います。設定はいつでも変更できます。

外部送信について

送信先、送信される情報、利用目的を以下に記載します。

ポリシーの個人関連情報の一節

広告の表示や効果測定のため、当社はCookie等の記録を広告配信会社に渡すことがあります。渡した記録が当社の情報と照合され、広告配信会社でどのお客さまか分かる場合があります。そのため、当社は同意をいただいたうえで渡します。

インフルエンサー依頼書の指示

本投稿は広告です。本文の先頭に広告またはPRと明記してください。ストーリーズ等の短尺は各フレームに明記してください。

お問い合わせフォームからのご連絡をお待ちしております

フォームのひとこと、同意バナーの文言、タグの棚卸しページ、PR表記の運用表、ぜんぶ見える化まで一緒に作ります。
「この言い方で大丈夫？」の一言からでも、遠慮なくお問い合わせフォームからご連絡ください。

私たちは、「伝わる」と「守る」を同じキャンバスで仕上げるプロフェッショナルです。丁寧に見える広告は、数字にもちゃんと効きます。お客様の信頼を、そのままビジネスの成果につなげるお手伝いをさせていただきます。