この記事を読んでくださっている方は、おそらくWebサービスやアプリを開発・運営している方、あるいはこれから始めようとしている方だと思います。
最初に管理人が一番伝えたいことを書きます。
特商法・利用規約・プライバシーポリシーは、お客様を守ると同時に、自分の身を守る盾です。
これが、この記事で最も大事なメッセージです。
最初に結論だけ
AI SaaSを運営するなら、最低でも以下の3つは必要です。
- 特商法表示 ― 販売条件の開示(法律上の義務)
- 利用規約 ― サービスの契約ルール
- プライバシーポリシー ― データ利用の説明
そして、何より重要なのは、テンプレコピペで済ませないこと。
特にAI処理の免責・外部API送信の開示・サブスク更新ルールは、テンプレに含まれていない項目です。
管理人はBrainDrop(AI搭載の Todoアプリ)の開発中にStripe審査で詰まり、法的文書を全面改訂しました。この記事では、そのとき調べた内容を整理しています。
※現在まだ非公開です。
かなり長いですが、全部つながっているので1本にまとめています。時間がない方は末尾のチェックリストだけでも。
※本記事は法的助言ではなく、個人開発者としての実務経験に基づく情報整理です。管理人は法律の専門家ではありません。記事中では(法律上の義務)(ガイドライン・実務慣行)(管理人の見解)の3レイヤーを区別して記載しています。詳細は記事末尾の注意事項をご確認ください。
さて、まず結論から。3つの文書は役割が全然違います。
| 特商法表示 | 利用規約 | プライバシーポリシー | |
|---|---|---|---|
| 目的 | 販売条件の法定開示 | サービス利用の契約書 | データ取扱いの説明書 |
| 根拠法 | 特定商取引法 | 民法・消費者契約法 | 個人情報保護法・電気通信事業法 |
| AI SaaSで追加必要な論点 | サブスク総額表示・最終確認画面 | AI免責・外部API同意・生成物の権利 | AI処理の透明性・外部送信規律 |
| 最低限やるべきこと | 事業者情報・価格・解約条件を掲載 | テンプレを自サービスに合わせて書き直す | 実際の収集情報と送信先を正確に記載 |
この違いを理解した上で、それぞれ何を書けばいいのかを解説していきます。
第1章: 3つの文書の違い
そもそも3つの文書は何が違うのか
まず全体像を掴みましょう。
特商法表示・利用規約・プライバシーポリシー。名前は聞いたことがあっても、「何がどう違うの?」「どれに何を書くの?」というのは、管理人も最初はさっぱりでした。
ひとつずつ整理します。
特商法表示 = 事業者情報の開示板
「特定商取引法に基づく表記」は、法律で表示が義務付けられている事業者情報です。
根拠法は特定商取引法。たとえるなら、お店の入口に掲げる看板のようなもの。
「誰が」「何を」「いくらで」「どう解約できるか」を、消費者にちゃんと見えるようにしなさい、という法律上の義務です。
ここで書くのは事業者の情報と販売条件。サービスのルール(禁止事項とか免責とか)はここには書きません。それは利用規約の役割です。
違反した場合は行政処分(業務改善命令等)の対象になり得ます。
利用規約 = サービスの契約条件・利用ルール
利用規約は、事業者とユーザーの間の契約条項そのものです。
「ルールブック」というと軽く聞こえますが、実際には法的拘束力を持つ契約書です。消費者契約法の規制対象であり、約款としての法的効力があります。
ここに書くのは、サービスの利用条件、禁止事項、免責事項、解約ルール、知的財産権の帰属など。自分のサービスを使ううえでの「契約の中身」をすべてここに定めます。
利用規約の条項が消費者契約法第10条に反すると判断されれば、その条項は無効になります。つまり「書いておけば何でも通る」わけではない。これが利用規約の怖いところであり、重要なところです。
プライバシーポリシー = 個人データの利用説明書
プライバシーポリシーは、「ユーザーの個人情報をどう集め、どう使い、どう守るか」を宣言する文書です。
根拠法は主に個人情報保護法。加えて、電気通信事業法の外部送信規律(日本版Cookie規制)も関わってきます。
ここに書くのは、取得する情報の種類、利用目的、第三者提供の有無、データの保存期間、安全管理措置、開示請求への対応など。
2026年4月に閣議決定された個人情報保護法の改正案では、課徴金制度の導入が盛り込まれています(本記事執筆時点では法案段階)。成立すれば、違反時の経済的ペナルティが現行法より重くなる見通しです。
| 特商法表示 | 利用規約 | プライバシーポリシー | |
|---|---|---|---|
| 何の文書か | 事業者情報の法定開示 | サービス利用の契約書 | 個人データの取扱宣言 |
| 根拠法 | 特定商取引法 | 民法・消費者契約法・約款規制 | 個人情報保護法・電気通信事業法 |
| 書く内容 | 事業者名・住所・価格・解約条件等 | 禁止事項・免責・解約ルール・知的財産権等 | 取得情報・利用目的・第三者提供・保存期間等 |
| 違反時のリスク | 行政処分(業務停止命令等) | 条項の無効化・民事紛争 | 勧告・命令・課徴金(改正案) |
| 個人開発でも必要? | 消費者向け有料サービスなら必要 | 実務上ほぼ必要 | 個人情報を扱うなら必要 |
管理人の場合、BrainDropは「消費者向け有料SaaS」「個人情報(メールアドレス等)を取得」「外部APIにデータを送信」という要素があるため、3文書すべて必要でした。
ただし、必要な文書や記載項目はサービスの形態によって変わります。
特商法表示は「消費者向けに有料で役務を提供する場合」が主な対象ですが、無料サービスでも有料オプションがある場合、広告収益モデル、後日課金、マッチング・仲介など収益構造によっては対象となり得ます。「無料だから不要」と単純には言えません。
ただし、現代のWebサービスでCookie・IPアドレス・広告ID・アクセスログ・OAuth等を一切扱わないケースは極めて限定的なため、プライバシーポリシーは原則として必要と考えておくのが安全です。
自分のサービスがどの法律の適用対象になるかを個別に確認するところが出発点です。
第2章: 特定商取引法
特定商取引法に基づく表示 ― 書くべき項目と注意点
まずは特商法表示から。ここは、「型」が決まっているので、一番やるべきことが明確です。
必須項目一覧
特定商取引法に基づいて表示すべき項目は以下のとおりです。
| 項目 | 内容 | BrainDropの実例(簡略表示) |
|---|---|---|
| 事業者名(屋号) | 法人名または屋号 | Zero-Webcreate |
| 運営責任者 | 代表者の氏名 | 小濵 幸史 |
| 所在地 | 事業所の住所 | 〒530-0001 大阪府大阪市北区梅田1丁目1番3号 大阪駅前第3ビル 11階2号室 |
| 電話番号 | 連絡先電話番号と受付時間 | 070-3549-8474(平日10:00〜17:00) |
| メールアドレス | 問い合わせ先 | zerocreate.official@zero-webcreate.com |
| 販売URL | サービスのURL | https://braindrop.zero-webcreate.com/ |
| 販売価格 | 全プランの税込価格 | 月額380円 / 3ヶ月1,080円 / 年額3,600円(すべて税込) |
| 追加手数料 | 送料・手数料等の有無 | なし |
| 支払方法 | 利用可能な決済手段 | クレジットカード、Apple Pay、Google Pay、Link |
| 支払時期 | いつ課金されるか | プラン選択・決済完了時に即時処理。以降、契約期間ごとに自動更新 |
| 役務の提供時期 | いつからサービスを使えるか | 決済完了後、即時利用可能 |
| 解約・返品条件 | 解約方法と返金の有無 | アカウント設定→サブスクリプション管理より解約可能。契約期間満了まで利用可。日割り返金なし |
これらは「書いてあればOK」ではなく、ユーザーが容易に確認できる場所に掲載する必要があります。
BrainDropでは専用の法的情報ページ(/legal)を作成し、ログインページ・設定画面・料金ページの3箇所からリンクを張っています。
2022年改正「最終確認画面」6大表示義務
2022年の特商法改正で、最終確認画面(購入ボタンを押す直前の画面)に表示すべき6項目が明確化されました(参考:YLO法律事務所)。これは法律上の義務です。
不備の内容や表示態様によっては、契約の取消し等の問題が生じる可能性があります(特商法第15条の4)。
| 表示項目 | サブスクの場合の書き方 |
|---|---|
| ① 分量(期間・回数) | 「1ヶ月 / 3ヶ月 / 1年の契約期間。解約がない限り自動更新」 ※「無期限」ではなく「解約まで継続」と書く |
| ② 販売価格(総額) | 各プランの支払総額(税込)を、月額換算よりも大きく、または同等に表示 |
| ③ 支払時期・方法 | 決済手段と、初回・更新時の決済タイミング |
| ④ 提供時期 | 「決済完了後、即時利用可能」等 |
| ⑤ 解約・返品条件 | 解約の申し出期限と、アプリ内での解約手順 |
| ⑥ 申込期間 | 期間限定キャンペーンの場合のみ。恒常的なプランなら記載不要 |
この6項目は、スクロールせずに視認できるか、自然な操作で確認できる単一画面内に集約するのが理想です。
サブスクの総額表示でやりがちなミス
ここは、管理人が実際にヒヤッとしたポイントです。
BrainDropには3つのプランがあります。
| プラン | 月額換算(参考) | 支払総額(税込) | 決済の性質 |
|---|---|---|---|
| 月額プラン | 380円 | 380円 / 月 | 毎月自動更新 |
| 3ヶ月プラン | 360円 | 1,080円 / 3ヶ月 | 3ヶ月分一括前払い |
| 年額プラン | 約300円 | 3,600円 / 1年 | 12ヶ月分一括前払い |
ここでよくありがちな危険ポイントが、月額換算だけを表示して、一括決済額を記載しない。あるいは、小さく表示すること。
「月々たったの300円!」と大々的にアピールして、「※年額3,600円の一括払い」を小さなグレー文字で添えるようなレイアウトは、消費者庁の特商法ガイドラインにおいて「誤認を招く表示」に該当し得ると解されています(法律上の義務)。
また、一番お得感のある年額プランのみを表記したり、プランの表記があいまいなものもグレーです。
もしプランが多岐に渡って書ききれないなどの場合も、決済ページには明記しておく必要があり、「プラン別月額・支払総額の詳細は決済ページに記載の通り」等の文言を記載する必要があります。
もう一つ。購入ボタンの文言です。
「次へ」や「送信」ではなく、継続課金契約であることがユーザーに明確に認識できる表示設計が求められます(例:「定期契約を確定する」「上記の内容でサブスクリプションを開始する」等)(参考:行政書士法人Tree)。これは最終確認画面規制・誤認表示防止・ガイドライン解釈の複合的な要請であり、特定の文言が法定されているわけではなく、誤認を防ぐ明確さが求められるという趣旨です(ガイドライン・実務慣行)。
また、セルフチェックで気づいた点として、価格の横に「一括前払い」という文言を明記すること、そして「消費税は価格に含まれています」という独立した一文を加えることも重要です。Stripe審査でもこの点は求められます。
個人事業主の住所表示問題
個人開発者にとって、特商法表示で一番悩むのが住所だと思います。
自宅住所をインターネット上に公開するのは、プライバシーの観点から抵抗がある方がほとんどでしょう。
現実的な選択肢の一つがバーチャルオフィスの契約です。実務上、バーチャルオフィスの住所を特商法表示に使用するケースは広く見られますが、「どんなバーチャルオフィスでもOK」というわけではありません。特商法の趣旨上、以下の点が問われます:
- その住所で実際に郵便物を受領できるか(実態性)
- 消費者や行政からの連絡に対応できるか(連絡可能性)
- 開業届等の届出住所との整合性が取れているか
バーチャルオフィスの利用を検討する場合は、これらの条件を満たすサービスを選ぶ必要があります。
管理人の場合は、バーチャルオフィスのレゾナンスを契約しています。
- ☐ 事業者名・運営責任者・所在地・連絡先を記載したか
- ☐ 全プランの税込価格(長期プランは「一括前払い」明記)を掲載したか
- ☐ 解約方法・返金ポリシーを記載したか
- ☐ 最終確認画面に6大表示義務の項目をまとめたか
- ☐ 購入ボタンは継続課金契約であることが明確に認識できる表現か
※完全版(13項目)は記事末尾のチェックリストを参照してください。
余談:レゾナンスを選んだ理由
管理人がバーチャルオフィスにレゾナンスを選んだ理由を少しだけ。
月額990円(年一括払い)でこの手のサービスとしてはコスパが良いのですが、決め手は郵便物の転送ができること。
他のバーチャルオフィスだと、もっと安いところもあるのですが、郵便物の転送が税金関連の書類に限定されていたりします。
特商法に住所を公開する以上、そこに届く郵便物をちゃんと受け取れないと困るので、転送の自由度は重要でした。
第3章: 利用規約
利用規約 ― サービスの契約条件をどう定めるか
次は利用規約です。ここからが「自分のサービスに合わせてカスタマイズが必要」な領域になります。
基本項目
利用規約に最低限盛り込むべき項目は以下のとおりです。
| 項目 | 内容 |
|---|---|
| サービスの定義 | 何を提供するサービスなのかを明確にする |
| 利用条件 | 年齢制限、アカウント登録の要件等 |
| 禁止事項 | リバースエンジニアリング、不正アクセス、誹謗中傷等 |
| 料金・支払条件 | プラン内容、自動更新の仕組み、解約・返金ルール |
| 免責事項 | サービスの中断・停止、データの損失等に関する免責 |
| 知的財産権 | コンテンツの権利帰属 |
| 規約変更 | 変更の通知方法と効力発生の条件 |
| 準拠法・管轄 | 日本法準拠、管轄裁判所の指定 |
これらはあくまで骨格です。ここから、自分のサービス固有のリスクに応じて条項を追加していく必要があります。
サブスク解約・返金ルール ― 消費者契約法10条との関係
サブスクリプションの利用規約で最も重要なのが、解約と返金のルールです。
消費者契約法第10条は、「事業者が一方的に消費者の利益を害する条項は無効」と定めています。
つまり、利用規約に「いかなる理由があっても返金不可」と書いただけでは、無効と判断されるリスクがあるということです(参考:マネーフォワード)。
では、どうすれば有効な条項になるのか。
有効とされるケース:
- 契約前に、中途解約時の返金がないことが明示されている
- 月額プラン等の柔軟な代替手段が用意されていること
(契約条件の合理性を補強する事情の一つになり得ます) - 自動更新の通知が適切に行われ、更新を拒絶する機会が確保されている
無効とされ得るケース:
- 解約導線が極端に複雑(事実上解約不可能なダークパターン)
- 事業者の重大な過失によるサービス停止期間も返金を認めない
セルフチェックで発覚した問題の一つが、利用規約 第4条(料金)がたった1文しかなかったこと。「ユーザーは当社が定める利用料金を支払うものとします」だけ。自動更新も中途解約も返金も何も書かれていませんでした。
改訂後は、「日割り返金なし。ただし次回更新日前にいつでも解約可能。月額プランという代替手段あり」という構成に加え、自動更新の明記、解約導線の案内、7日以上のサービス停止時の料金返還ルールを追加しています。
自動更新の事前通知 ― 実務上の推奨事項
長期プラン(3ヶ月・年額等)の自動更新について、事前通知を行うことが推奨されています。
ただ、具体的な日数は法律で定められていません。「14日前」や「30日前」に通知するというのが一般的な慣例として浸透しつつありますが、一般法上の義務ではありません。
法的に重要なのは、変更・更新の内容、不利益の程度、通知手段、周知の合理性、同意取得の構造といった総合的な合理性です。「○日前に通知すればOK」という単純な基準ではない点に注意してください。
BrainDropでは年額3,600円の更新前にメール通知する機能を実装予定です。年額のように金額が大きい更新では、通知がないと「知らないうちに課金された」というトラブルの元になるため、実装しておくのが無難です。
AI固有の免責条項 ― 2026年AI事業者ガイドライン対応
ここは、AIを使ったサービスを提供する方にとって重要なセクションです。
経済産業省・総務省が公表している「AI事業者ガイドライン」を参考に、利用規約に盛り込むことが推奨されるAI固有の免責条項を整理します。なお、ガイドラインは法的義務ではなく推奨事項ですが、実務上は「対応していないと問題になり得る」水準の指針です(ガイドライン・実務慣行)。
① ハルシネーション免責
AIは常に正しい情報を生成するわけではありません。存在しないタスクを提案したり、誤った分類をしたりする可能性があります。
利用規約には、AI出力の正確性・真実性・有用性について保証しないこと、ユーザーが自己の責任で確認・検証すべきことを明記します。
ただし、免責条項を書けばすべての責任が消えるわけではありません。消費者契約法第8条は、事業者の故意・重過失による損害賠償責任を免除する条項を無効としています。また、民法上の債務不履行や不法行為の規定も適用され得ます。
特に医療・金融・法律・業務自動化など高リスク領域のAI出力については、免責条項があっても事業者の責任が問われる可能性があります。
免責条項はリスク軽減策の一つであり、万能の盾ではありません。免責条項だけでリスクを回避できるわけではなく、サービス説明・UI設計・用途制限・人間による確認プロセス等を含めた総合的な安全設計が重要だと管理人は感じました。
さて、驚いたことに、BrainDropの場合、セルフチェックの時点ではこの条項がゼロでした。AIタスク分解がコア機能であるにもかかわらず、です。
現在のBrainDropの利用規約 第5条(AI機能の利用およびデータ処理)では、以下を明記しています:
- AI出力は「AIアルゴリズムによる推論に基づくもの」であり、正確性・真実性・有用性・特定目的への適合性を保証しない
- ユーザーは自己の責任でAI出力を確認・検証し、必要に応じて修正する
- AI出力の誤りに起因する損害について、当社は一切の責任を負わない(※ただし前述のとおり、消費者契約法第8条により事業者の故意・重過失による免責は無効となり得ます)
② AIエージェントの責任帰属
AIがユーザーの指示に基づいて自律的にタスクを実行する機能(タスクの自動整理、ラベルの自動付与等)がある場合、その結果は原則としてユーザーに帰属する、というのがガイドライン上の整理です。
ただし、システム設計・誘導UI・自動実行範囲・誤動作の放置等によって、事業者側の設計責任・安全配慮責任が問われる可能性もあります。AIエージェント領域は法的整理が確定していないため、一方的にユーザー責任とする規定には注意が必要です(管理人の見解)。
AIが予期せぬ挙動を起こす可能性がある以上、ユーザーに定期的な動作確認を求める規定を入れておくことで、事業者側の免責を担保しやすくなります。
③ AI生成物の知的財産権
AIが生成したコンテンツ(タスクリスト、ラベル提案等)の著作権については、現行法上の解釈が確定していない部分が多く残っています。現行法上、AI生成物の著作権の有無や帰属については一律の基準が確立しておらず、人間の関与の程度、創作的意図、表現選択への寄与、プロンプトの内容、出力に対する編集・構成等を踏まえて個別判断されると考えられています(参考:Exawizards)。「AI生成物=著作権なし」と単純に整理できるものではない点に注意してください。
BrainDropの利用規約 第8条(著作権)では、こうした不確定性を踏まえ、AI生成コンテンツの権利はユーザーに帰属させたうえで、サービスの提供・運営・改善に必要な範囲で、非独占的・無償・無期限の利用許諾をユーザーから受ける形を採用しています。
④ AIデータ送信の同意
BrainDropはユーザーの入力テキストをClaude API(Anthropic, Inc.)に送信して処理しています。
外部AIサービスへデータを送信する場合、その事実・送信先・利用目的・データの取扱いについて、利用規約やプライバシーポリシー等で適切に開示し、必要に応じて同意取得やオプトアウト等の対応を検討する必要があります。
送信内容の性質(個人情報該当性、センシティブ情報の有無等)や法的整理(委託・共同利用・第三者提供のいずれに当たるか)によって求められる対応は異なる部分かとは思いますが、セルフチェックで、この条項について全く触れられていなかったことがわかりました。
現在の第5条では、外部AIへの送信の事実、Anthropic社のAPIポリシー上モデル学習に使用されないとされている旨(※契約・設定条件による)、利用をもって同意とみなす旨を明記しています。
サービス停止・終了時の規定
サーバーのメンテナンスや障害でサービスが停止した場合の料金の扱いも、利用規約で定めておく必要があります。
セルフチェックでは、サービス停止を規定する条項はあったものの、停止期間中の料金返還について一切言及がありませんでした。
長期間のサービス停止が発生した場合、「サービスを提供していないのに料金を取り続ける」状態は債務不履行と指摘される可能性があります。
BrainDropの利用規約 第4条では、まさにこの文言を採用しています。「当社の責めに帰すべき事由により連続して7日以上サービスを提供できなかった場合、ユーザーの請求に応じて当該期間相当の利用料金を返還します」。
規約変更の通知義務
利用規約は、サービスの成長に伴って変更が必要になります。
しかし、「ユーザーに通知することなく変更可能」という記述は、消費者契約法上で一方的不利益変更として問題視されるリスクがあります。
実務上は、変更内容・不利益の程度に応じた合理的な方法で事前に告知し、変更後もサービスを継続利用した場合は変更に同意したものとみなす、という構成が一般的です。
つまり解釈としては、通知の「○日前」という具体的な日数に法的根拠があるわけではなく、変更内容の重大さ、通知手段の適切さ、ユーザーが十分に検討できる期間の確保といった総合的な合理性が判断基準になると考えられます。
ただし、「継続利用=同意」は万能ではありません。特に料金変更・データ利用範囲の拡大・重要な権利制限など、ユーザーに重大な不利益を与える変更については、単なる継続利用同意だけでは不十分と判断される可能性があります。
このような変更を行う場合は、明示的な同意取得(ポップアップでの再同意等)を検討するのが無難でしょう。
- ☐ サブスクの自動更新・解約ルール・返金ポリシーを詳細に記載したか
- ☐ AI出力のハルシネーション免責を記載したか(消費者契約法の限界にも注意)
- ☐ 外部AI(Claude API等)へのデータ送信の同意条項を入れたか
- ☐ 規約変更の通知方法と効力発生の条件を定めたか(重大な不利益変更は継続利用同意だけでは不十分な可能性あり)
- ☐ 準拠法・管轄裁判所を指定したか
※完全版(15項目)は記事末尾のチェックリストを参照してください。
第4章: プライバシーポリシー
プライバシーポリシー ― 個人データの利用説明書
本章ではプライバシーポリシーを解説します。2026年4月に閣議決定された改正案(法案段階)をはじめ、個人情報保護の動きが活発な分野であり、AIサービスを提供するなら避けて通れない領域です。
基本の記載項目
プライバシーポリシーに最低限記載すべきと管理人が考える基本項目一覧です。
| 項目 | 内容 |
|---|---|
| 取得する情報 | 実際に収集している情報を正確に列挙する |
| 利用目的 | 何のためにその情報を使うか |
| 第三者提供 | 誰にデータを共有するか、その目的 |
| 保存期間 | いつまでデータを保持し、退会後どう処理するか |
| 安全管理措置 | データをどう保護しているか |
| 開示・訂正・削除請求 | ユーザーが自分のデータについて請求する方法 |
ここで重要なのは、「実際に収集している情報」を正確に書くこと。テンプレの内容をそのまま使わず、自分のサービスの実態に合わせて書き直す必要があります。「何を収集しているか」だけでなく、「何を収集していないか」「どこが保持しているか」まで書くことで、ユーザーの安心感が全然違います。
セルフチェックで発覚した問題の一つが、プライバシーポリシーの収集情報欄に「氏名・生年月日・住所・電話番号・銀行口座番号・クレジットカード番号・運転免許証番号」と記載されていたこと。BrainDropはGoogle OAuthでログインするサービスで、これらは一切収集していません。テンプレのコピペがそのまま残っていました。
改訂後は、実際に取得する情報(Googleアカウント情報・ユーザー入力コンテンツ・利用ログ・Stripe顧客ID)のみを記載し、カード番号等はStripeが保持する旨も明記しています。
2026年改正個人情報保護法 ― 押さえるべき3つの変更点
2026年4月に閣議決定された個人情報保護法の改正案には、AIサービス事業者に関わる内容が複数含まれています(参考:三宅法律事務所)。以下はいずれも本記事執筆時点では法案段階(未成立)ですが、成立すれば大きな影響があるため、動向を押さえておく価値があります。
変更点①:「統計作成等」の新概念(改正案)
AIモデルの精度向上や事前学習のためのデータ解析について、個人の識別を目的としない場合に限り、一定の条件下で本人同意の原則が緩和される方向です。
ただし「緩和」であって「免除」ではありません。AIの学習にデータを利用する可能性がある場合は、その旨と匿名化の方法、オプトアウトの手段をプライバシーポリシーに記載しておくことが推奨されます。
変更点②:16歳未満の保護規定(改正案)
改正案では、16歳未満のユーザーに関する同意規律の強化が盛り込まれています(参考:BTN)。
中高生が利用する可能性があるサービスの場合、「16歳未満の方がご利用になる場合は保護者の同意を得た上でご利用ください」という記載は、改正の成否にかかわらず入れておくのが無難です。
変更点③:課徴金制度(改正案)
改正案には課徴金制度の新設が含まれており、成立すれば違反時の経済的ペナルティが現行法より重くなります。法案の動向には注意が必要です。
AI事業者ならではの記載事項
AIを使ったサービスのプライバシーポリシーには、通常のWebサービス以上に踏み込んだ記載が推奨されます(参考:Lantern)(ガイドライン・実務慣行)。
| 記載項目 | 具体的な記述のポイント |
|---|---|
| AIによるデータ処理の有無 | ユーザーの入力データをAIが処理していることを明示する |
| データ利用目的 | 「AIモデルの学習・精度向上・統計的な機能開発」等を具体的に記載 |
| 匿名化・再識別防止措置の方針 | 匿名加工・仮名加工・再識別防止等の実施方針と具体的な措置内容 |
| オプトアウト設定 | AI学習へのデータ利用を拒否できる手段の提供 |
| API経由のデータ取扱い | 外部AI(Claude API等)に送信したデータのベンダー側での取扱い(学習利用の有無等、契約条件に基づく記載) |
セルフチェックでは、AIデータ処理に関する記載がゼロでした。ユーザーの入力テキストがClaude APIで処理されていること自体が一切記載されていなかったのです。
現行の個人情報保護法でも利用目的の通知・公表は義務ですし、改正案ではAI処理の透明性がさらに重視される方向です。いずれにせよ、外部AIにデータを送信しているなら記載しておくべきでしょう。
BrainDropではClaude APIを利用しています。Anthropic社の現時点のAPIポリシーでは、通常のAPI利用データはモデル学習に使用しないとされていますが、これはベンダー側の契約条件・API設定・将来の規約変更によって変わり得るものです。
プライバシーポリシーに記載する場合は「現時点のベンダーポリシーに基づく」旨を明示し、ベンダーの規約変更に応じて自社ポリシーも更新する運用が必要です。
ベンダー側ポリシーは契約プラン・API設定・Enterprise契約の有無等によっても異なるため、今後も定期的に確認したいと思います。
外部送信規律(日本版Cookie規制)
電気通信事業法に基づく「外部送信規律」は、2023年に施行された比較的新しい規制です(総務省:外部送信規律)(法律上の義務)。
一定の外部送信については、送信先や利用目的等を利用者が容易に知り得る状態に置く義務が課される場合があります。対象事業者・対象情報・送信先・利用目的等の構成要件があり、すべての外部送信が一律に対象となるわけではありません。
外部送信先一覧は、プライバシーポリシー内に「外部送信ポリシー」として独立したセクションで掲載するのが推奨されています。
なお、外部送信規律の適用範囲は「すべてのWebサービス」ではありません。送信主体が電気通信事業法上の「電気通信事業者」に該当するか、送信内容が利用者の利益に及ぼす影響はどの程度か、といった要素で判断が変わります。
ただし、Google Analytics等の解析ツールを導入しているサービスは対象となる可能性が高いため、自分のサービスが該当するかどうか個別に確認することをおすすめします。
セルフチェック時点では、外部送信先の開示が一切なく、データ保持期間の記載も完全に欠落していました。
改訂後のプライバシーポリシーでは、送信先一覧表(Anthropic / Stripe / Google / Cloudflare の4社、各送信情報・利用目的を明記)を第5条に掲載。データ保持については、退会後の速やかな削除、法令上の保存義務がある情報の保持期間、利用ログの最長1年保持を第6条に明記しています。
データ保持期間と退会後の扱い
「ユーザーデータをいつまで保持するか」「退会後にどう処理するか」。これも記載が必要です。「最長1年」のように具体的な期間を書くことで、ユーザーから見て透明性が高まります。
- ☐ 実際に収集している情報を正確に列挙したか(テンプレのままになっていないか)
- ☐ AIによるデータ処理の事実と外部送信先を明記したか
- ☐ 外部送信規律に基づく送信先一覧表を掲載したか
- ☐ データ保持期間と退会後の処理を明記したか
- ☐ 開示・訂正・削除・利用停止請求の方法を記載したか
※完全版(15項目)は記事末尾のチェックリストを参照してください。
第5章: BrainDropの実例
テンプレコピペの怖さ ― BrainDropで見つかった穴の全記録
ここまで各文書の書き方を解説してきましたが、このセクションでは管理人の失敗談を包み隠さずお話しします。
BrainDropの法的文書を勉強した上でセルフチェックした結果、見つかった欠陥の全記録です。
Stripe審査不合格 ― 何が足りなかったのか
BrainDropでStripe決済を導入しようとした際、特商法に関する審査で不合格になりました。
指摘された主な問題:
- 特定商取引法に基づく表記のページがなかった
- 料金ページに法的情報ページへのリンクがなかった(予想)
- 返金ポリシーが不明確だった(予想)
基本的に、審査に落ちた場合その理由を語ってもらえるわけではありません。
Stripeはその点サポートが厚く、困ったことがあれば問い合わせくださいとメッセージを添えて、審査結果を伝えてくれましたが、恥ずかしいことに、まずはセルフチェックで済ませようと思い、問い合わせは実施しませんでした。
対応として、特定商取引法に基づく表記のページを急遽作成し、事業者情報・販売価格・解約ポリシー等を追加。ログインページ・設定画面・料金ページの3箇所からリンクを張って、再審査に提出しました。
これ自体は通りましたが、決済事業者の審査通過は法的適法性を保証するものではありません。Stripeの審査基準はStripe独自のもので、カードブランド要件やリスク管理の観点も含まれます。審査に通ったからといって法的に万全とは限らない点に注意してください。
セルフチェックで見つかった問題の一覧
Stripe審査をきっかけに法律を調べた結果、利用規約とプライバシーポリシーに多数の欠陥があることがわかりました。各セクションで個別に触れてきましたが、ここで全体像をまとめます。
| 文書 | 重大 | 軽微 | 見つかった問題 |
|---|---|---|---|
| 利用規約 | 6件 | 0件 | AI免責ゼロ / Claude API同意なし / サブスク条項が1文のみ / AI知的財産権未記載 / 停止時の料金未記載 / 規約変更通知なし |
| プライバシーポリシー | 4件 | 1件 | AI処理の透明性ゼロ / 収集情報がテンプレのまま / 外部送信開示なし / データ保持期間未記載 / 16歳未満保護なし |
| 特商法表示 | 0件 | 3件 | 一括払い明示不足 / 消費税独立記述なし / 解約期限不明確 |
合計:重大欠陥10件、軽微な修正4件。
これら14件すべてを修正した結果が、現在公開中の3ページです:
- 利用規約 ― 第4条(料金・サブスク)を全面改訂、第5条(AI機能)・第8条(著作権・AI生成物)を新設、第12条・第13条に規約変更の事前通知規定を追加
- プライバシーポリシー ― 第2条を実態に合わせて書き直し、第5条(外部送信・AI処理)・第6条(保持期間)・第8条(16歳未満保護)を新設
- 特定商取引法に基づく表記 ― 長期プランに「一括前払い」明記、消費税の独立記述追加、解約期限を「次回更新日の24時間前まで」と明確化
振り返って「こうすればよかった」
この経験から学んだことを、3つにまとめます。
1. テンプレは出発点であって完成品ではない
ネットで拾える利用規約やプライバシーポリシーのテンプレートは、一般的なWebサービスの「最低限の骨格」でしかありません。AI処理、サブスクリプション、外部API連携など、テンプレにない項目が山ほどあります。
2. 自分のサービス固有のリスクを洗い出すことが最重要
「BrainDropはAIでタスクを処理する」→「ユーザーデータを外部APIに送信している」→「ハルシネーションが起こりうる」→「それぞれ利用規約とプライバシーポリシーに反映が必要」。この連鎖を自分のサービスについて考え抜くことが、法的文書の品質を決めます。
3. 法的文書は「一度作って終わり」ではない
法律は改正されるし、サービスの機能も変わる。定期的な見直しが必要です。管理人も、今回の監査をきっかけに3文書すべてを改訂しました。
- 自分のサービスの「データの流れ」を図に描く ― ユーザーの入力がどこを経由して、どこに保存されるか
- テンプレの各項目を自分のサービスと突き合わせる ― 該当しない項目は削除、足りない項目は追加
- AI・サブスク・外部API連携の3つは必ず追加検討する ― テンプレに含まれていない可能性が高い
第6章: 2026年 追加項目
2026年に気をつけるべき追加項目 ― 管理人からの提案
ここからは、管理人が調査した中で「必須ではないが、知っておくだけでも見方がかわる」と感じた追加項目です。
インボイス制度対応の領収書発行
2023年10月に開始されたインボイス制度
BtoCのサブスクリプションサービスであっても、法人ユーザーがいる場合は適格請求書(インボイス)の発行が求められることがあります。
Stripeを利用している場合、ポータル機能を活用してユーザー自身がインボイス対応の領収書を発行できる仕組みを提供するのが効率的です。
特定生体個人情報への配慮(画像・音声入力サービス)
改正案では「特定生体個人情報」に関する規定が盛り込まれています。
(法案段階。参考:J-Trust、TMI総合法律事務所)
画像や音声を入力として受け取るサービスの場合、意図せず背景に映り込んだ第三者の顔や、音声の周波数特性から推測される健康状態などが取得されるリスクがあります。
BrainDropではスクリーンショットや画像での入力機能を実装していますが、プライバシーポリシーには「生体認証(本人特定)を目的とした解析は行わず、タスク抽出の目的にのみ限定する」旨のセーフガード条項を将来的に設けるべきかと思案中です。
AI生成コンテンツのラベル表示
YouTubeやMetaなど海外の主要プラットフォームでは、AI生成コンテンツへのラベル表示ルールが導入されつつあります(参考:note記事)。
PixivやLineスタンプなどでも、AI生成タグを最近よく見かけますよね。
日本国内では現時点で法的義務はありませんが、プラットフォーム規約レベルでは広がっている動きです。
自分のサービスのAI出力をユーザーが外部に公開する可能性がある場合、利用規約でAI利用の事実をラベル等で明示することをユーザーに推奨・依頼する条項を検討してもよいかもしれません。
ダークパターン規制の強化
解約を困難にする「ダークパターン」に対しては、消費者庁のガイドラインや特商法の最終確認画面規制を通じて、規制が強化される傾向にあります。
実務上意識すべき点:
- 解約手続きは、申込みと同等の容易さでオンラインから行えるようにする
- 「電話のみ」「郵送のみ」への限定は消費者からの批判を招きやすい
- 解約ボタンを意図的に見つけにくくする設計は避ける
BrainDropでは、アカウント設定画面から数クリックで解約できる設計にしています。ユーザーが「解約したいのにできない」という状態を作らないことが、結果的にサービスの信頼を高めます。
第7章: まとめ & チェックリスト
まとめ & チェックリスト配布
とても長い記事になりました。最後までお付き合いいただきありがとうございます。
改めて、3つの文書の役割を整理します。
| 特商法表示 | 利用規約 | プライバシーポリシー | |
|---|---|---|---|
| 一言で | 法律義務 | 契約書 | データの約束 |
| 守るもの | 消費者の知る権利 | 事業者とユーザー双方 | ユーザーのプライバシー |
| 2026年の最優先 | サブスクの総額表示 | AI免責条項の整備 | 改正案への備え・AI透明性 |
| 更新頻度 | 事業者情報・価格変更時 | 機能追加・法改正時 | データ取扱い変更・法改正時 |
管理人の場合は、Stripe審査に落ちて初めて本気で調べました。
これらの文書はお客様を守ると同時に、自分の身を守る盾でもありす。
そして最後にもう一つ。この記事では「何を書くか」に焦点を当てていますが、法的文書は書くだけでは不十分です。
”実際の運用”つまり、同意の取得方法、文書へのアクセス導線、解約UIの設計、規約変更時の通知フローetc…
これらが文書の記載と一致して初めて意味を持ちます。
条項を整備したら、それがサービスの実装にも反映されているか、必ず確認してください。
また、本記事は日本国内法を前提としています。
AI SaaSは海外ユーザーが利用する可能性も高く、その場合はGDPR(EU)、CCPA(カリフォルニア)、越境データ移転、各国の未成年規制等、別途検討が必要になります。国外ユーザーを対象にする場合は、専門家への相談を強くおすすめします。
管理人は法律の専門家ではありません。この記事にもまだ穴はあるかもしれない。自分のサービスに当てはめるときは、必ず自分でも調べ、必要に応じて専門家に相談してください。
おまけ:ここだけ抑えて!チェックリスト
まずはこの5項目だけ。ここがOKなら最低ラインはクリアです。
- ☐ テンプレートの内容を自分のサービスの実態に合わせて書き直したか
- ☐ AI処理・外部API送信・サブスク更新の3点を利用規約・PPに反映したか
- ☐ 特商法表示に事業者情報・税込価格・解約条件を掲載したか
- ☐ 3文書の記載内容に矛盾がないか確認したか
- ☐ ユーザーが容易にアクセスできる場所に掲載したか
以下は各文書の完全版チェックリストです。上の5項目をクリアした後に確認してください。
- ☐ 事業者名・運営責任者・所在地・連絡先(電話・メール)を記載したか
- ☐ 販売URLを記載したか
- ☐ 全プランの税込価格を明記したか
- ☐ 長期プランに「一括前払い」と明記したか
- ☐ 「消費税は価格に含まれています」を独立して記載したか
- ☐ 追加手数料の有無を記載したか
- ☐ 支払方法・支払時期を記載したか
- ☐ 役務の提供時期を記載したか
- ☐ 解約方法・解約の申し出期限・返金ポリシーを記載したか
- ☐ サービス内容と動作環境(対応OS・ブラウザ等)を記載したか
- ☐ 最終確認画面に6大表示義務の項目をまとめたか
- ☐ 購入ボタンの文言は「定期契約を確定する」等の明示的な表現か
- ☐ 法的情報ページへのリンクを決済導線上に配置したか
- ☐ サービスの定義・利用条件・禁止事項を記載したか
- ☐ 利用登録の条件と手続きを定めたか
- ☐ サブスクの自動更新・解約ルール・返金ポリシーを詳細に記載したか
- ☐ 月額プラン等の代替手段を常時提供し、その旨を明記したか
- ☐ 自動更新の事前通知の仕組みを規定したか(日数は法定ではなく、合理的な通知設計が重要)
- ☐ AI出力のハルシネーション免責を記載したか
- ☐ AIエージェントの自律動作と責任帰属を定めたか
- ☐ AI生成物の知的財産権の帰属を明記したか
- ☐ 外部AI(Claude API等)へのデータ送信の同意条項を入れたか
- ☐ 保証の否認・一般的な免責事項を記載したか(消費者契約法との関係に注意)
- ☐ サービス停止時の料金返還ルールを規定したか
- ☐ 利用制限・登録抹消の条件を定めたか
- ☐ 退会手続きの方法を記載したか
- ☐ 規約変更の通知方法と効力発生の条件を定めたか(具体的な日数より通知の合理性が重要)
- ☐ 準拠法・管轄裁判所を指定したか
- ☐ 実際に収集している情報を正確に列挙したか(テンプレのままになっていないか)
- ☐ 利用目的を具体的に記載したか
- ☐ 第三者提供の条件(法令に基づく場合等)を記載したか
- ☐ AIによるデータ処理の事実を明記したか
- ☐ 外部AI(Claude API等)へのデータ送信先・利用目的を記載したか
- ☐ APIデータのベンダー側での取扱い(学習利用の有無等)を契約条件に基づいて記載したか
- ☐ AI学習等にデータを利用する場合、オプトアウトや拒否手段の要否を検討したか
- ☐ 外部送信規律に基づく送信先一覧表を掲載したか
- ☐ データ保持期間と退会後の処理を明記したか
- ☐ 16歳未満のユーザーへの対応を記載したか
- ☐ 開示・訂正・削除請求の方法を記載したか
- ☐ 利用停止請求への対応方法を記載したか
- ☐ ポリシー変更の通知方法と効力発生条件を定めたか(具体的日数より通知の合理性が重要。重要な不利益変更は継続利用同意だけでは不十分な可能性あり)
- ☐ 問い合わせ窓口(事業者名・メールアドレス等)を記載したか
- ☐ 匿名化・仮名加工の方法を記載したか(AI学習にデータを使う場合)
このチェックリストが、あなたのサービスの法的整備の第一歩になれば嬉しいです。
本記事についての重要な注意
本記事は個人開発者としての実務経験・公開ガイドライン・法令調査に基づく情報整理であり、法的助言を提供するものではありません。
実際の適法性判断は、サービス内容・契約形態・対象地域・導線設計等によって変わります。管理人は法律の専門家ではありません。重要な判断については、弁護士等の専門家への相談を検討してください。
本記事では以下の3つのレイヤーを区別して記載しています:
- 法律上の義務 ― 施行済みの法令に基づく義務(明文化済み・行政処分等の対象)
- ガイドライン・実務慣行 ― 政府ガイドラインや業界標準として推奨されている事項
- 管理人の見解 ― 管理人自身の経験と調査に基づく整理・意見
記事中で「〜が推奨されています」「〜という方向です」はガイドライン・実務慣行、「管理人の場合は〜」「BrainDropでは〜」は管理人の見解です。
サービスの形態(BtoB/BtoC)、対象地域(国内限定/海外展開)、業種(医療・金融・教育等)によって必要な法的対応は大きく異なります。本記事の内容をそのまま適用するのではなく、ご自身のサービスに合わせた個別検討が不可欠です。
参考リンク
本記事で特に参考にした主要資料です(2026年5月時点)。
- 電気通信事業法:外部送信規律(総務省)
- AI事業者ガイドライン(第1.1版)実務解説(GVA法律事務所)
- 2026年改正個人情報保護法と生成AIの法的基盤(三宅法律事務所)
その他の参考資料:
- 特商法表記のテンプレートと記載要件(Weblab) / サブスク契約の総額表示(行政書士法人Tree) / 改正特商法と定期購入契約(YLO法律事務所)
- 消費者契約法とサブスク解約(マネーフォワード) / Stripeプライバシーポリシー(Stripe, Inc.)
- 改正個情法:生体情報・16歳未満保護(J-Trust) / 16歳未満の同意取得(BTN) / 特定生体個人情報(TMI)
- AI時代のPP記載例(Lantern) / 生成AIの著作権リスク(Exawizards)
管理人はBrainDropの法的文書をこのガイドに基づいて全面改訂しました。実際に改訂した結果は利用規約・プライバシーポリシー・特商法表示で公開中です。
今後は、実際に運用して見えてきた問題点も共有したいと思います!
コメント