副業の個人情報保護法対応ガイド【2026年版】フリーランス必須の知識
「副業でお客さんのメールアドレスを管理しているけど、これって法律的に大丈夫?」
副業やフリーランスで顧客情報を扱う機会は意外と多いもの。メールマーケティング、顧客リスト管理、オンラインサービス運営など、個人情報保護法の対象となるケースは多岐にわたります。
この記事では、副業者・フリーランスが知っておくべき個人情報保護法の基本と実務対応を解説します。
2022年4月改正のポイント
改正個人情報保護法により、個人データの漏洩時の報告義務化、外国への個人データ移転規制強化などが施行されています。個人事業主も対象となります。
📢広告・PR表記:当サイトは、アフィリエイト広告(成果報酬型広告)を利用しています。このページで紹介しているサービスへのリンクから申し込みがあった場合、当サイトが報酬を受け取ることがあります。これにより、読者の皆さまに追加の費用が発生することはありません。
⚠️収益に関する重要事項:本記事で紹介している収益例は、特定の条件下での事例であり、すべての方に同様の成果を保証するものではありません。収益は個人のスキル、経験、作業時間、市場状況などにより大きく異なります。副業による収入には個人差があり、記載の金額を得られない可能性もあります。
個人情報保護法の基本:副業者も対象?
個人情報保護法は、事業で個人情報を取り扱うすべての事業者に適用されます。法人だけでなく、個人事業主やフリーランスも対象です。
個人情報とは何か
個人情報の定義
生存する個人に関する情報で、氏名や生年月日などにより特定の個人を識別できるもの。または個人識別符号が含まれるもの。
個人情報に該当するもの
- ・ 氏名
- ・ 生年月日
- ・ 住所
- ・ 電話番号
- ・ メールアドレス
- ・ 顔写真
- ・ マイナンバー
- ・ 免許証番号
単体では該当しないもの
- ・ 性別のみ
- ・ 年齢のみ
- ・ 職業のみ
- ・ 趣味のみ
- (※他の情報と組み合わせて個人を特定できる場合は該当)
副業で個人情報を扱うケース
オンラインサービス運営
会員登録、メルマガ配信、お問い合わせフォームなどで顧客情報を収集する場合
クライアントワーク
顧客から預かった名簿データ、顧客情報を含む資料を取り扱う場合
ECサイト・物販
購入者の氏名、住所、決済情報を管理する場合
コンサル・コーチング
クライアントの連絡先、相談内容などを管理する場合
副業者が行うべき個人情報保護対応
利用目的の明示
個人情報を取得する際は、利用目的を本人に通知または公表する必要があります。
具体的な対応
- ・ Webサイトにプライバシーポリシーを掲載
- ・ フォーム送信時に利用目的を表示
- ・ メルマガ登録時に利用目的を明記
安全管理措置
個人データの漏洩、滅失、毀損を防ぐための措置を講じる必要があります。
技術的対策
- ・ パスワード保護
- ・ ファイルの暗号化
- ・ SSL/TLS通信
- ・ ウイルス対策ソフト
- ・ 二要素認証
物理的・組織的対策
- ・ 書類の施錠保管
- ・ PCの画面ロック
- ・ 不要データの廃棄
- ・ アクセス権限の管理
第三者提供の制限
本人の同意なく個人データを第三者に提供することは原則禁止されています。
注意:クラウドサービス(Google、AWS等)への保存は「委託」として扱われることが多いですが、海外サービスの場合は「外国にある第三者への提供」となる可能性があります。
開示・訂正・削除請求への対応
本人から保有個人データの開示、訂正、削除を求められた場合は対応が必要です。
対応の準備
- ・ 問い合わせ窓口を明記(プライバシーポリシー内)
- ・ 本人確認の手順を決めておく
- ・ 対応フローを準備しておく
プライバシーポリシーの作成方法
Webサイトやサービスを運営する場合、プライバシーポリシーの掲載は必須です。以下の項目を盛り込みましょう。
プライバシーポリシーに含める項目
- 1. 事業者情報
事業者名、住所、連絡先 - 2. 取得する個人情報の種類
氏名、メールアドレス、決済情報など - 3. 利用目的
サービス提供、連絡、マーケティングなど具体的に - 4. 第三者提供の有無
提供する場合はその条件、提供先 - 5. 安全管理措置
データ保護のために講じている対策 - 6. 開示・訂正・削除の手続き
請求方法、問い合わせ先 - 7. Cookie・アクセス解析について
使用するツール、オプトアウト方法
AIでたたき台を作成する場合
ChatGPTなどでプライバシーポリシーのたたき台を作成できますが、必ず自身のサービス内容に合わせてカスタマイズし、最新の法律に準拠しているか確認しましょう。
個人情報漏洩時の対応
2022年4月の改正により、一定の要件を満たす個人データの漏洩等が発生した場合、個人情報保護委員会への報告と本人への通知が義務化されました。
報告・通知が必要なケース
- ・ 要配慮個人情報(病歴、犯罪歴など)の漏洩
- ・ 財産的被害のおそれがある漏洩(クレジットカード情報など)
- ・ 不正の目的による漏洩のおそれ
- ・ 1,000人超の個人データの漏洩
漏洩時の対応フロー
初動対応(即時)
被害拡大の防止、証拠保全、事実関係の調査開始
速報(発覚から3〜5日以内)
個人情報保護委員会への速報提出
本人への通知
漏洩した個人データの本人への通知
確報(発覚から30日以内)
詳細な調査結果と再発防止策を委員会に報告
海外顧客がいる場合の注意点
海外からのアクセスがあるサービスや、海外顧客と取引がある場合は、日本の法律だけでなく海外の法規制にも注意が必要です。
GDPR(EU)
EU居住者の個人データを扱う場合、EU一般データ保護規則(GDPR)が適用される可能性があります。
- ・ 明示的な同意の取得
- ・ データポータビリティ権への対応
- ・ 忘れられる権利への対応
- ・ 違反時は高額な制裁金
CCPA(米国カリフォルニア)
カリフォルニア州居住者の個人情報を扱う場合、CCPAが適用される可能性があります。
- ・ 個人情報の販売オプトアウト
- ・ 開示請求への対応
- ・ 削除請求への対応
実務的なアドバイス:グローバル展開を予定している場合は、最初からGDPR基準に合わせたプライバシー対応をしておくと、後からの対応が楽になります。
よくある質問
名刺交換で得た情報も個人情報保護法の対象?
はい、名刺に記載された情報も個人情報です。ただし、社交目的で受け取った名刺を個人的に保管する程度であれば、事業者としての義務は発生しません。ただし、顧客リストに登録して営業に使う場合は対象となります。
Googleアナリティクスの使用は問題ある?
Googleアナリティクスは匿名化されたデータを扱いますが、CookieやIPアドレスの取り扱いについてプライバシーポリシーに明記することが推奨されます。また、GA4からはIPアドレスは保存されなくなりました。
メルマガ配信で気をつけることは?
個人情報保護法に加え、特定電子メール法の遵守が必要です。配信には事前の同意が必要で、配信停止(オプトアウト)の仕組みを設け、送信者情報を明記する必要があります。
クライアントから預かったデータの扱いは?
業務委託で個人データを扱う場合は「委託先」として、委託元の監督のもとで安全管理措置を講じる必要があります。契約書で取り扱いルールを明確にしておきましょう。
まとめ:個人情報は信頼の源泉
個人情報保護は法的義務であると同時に、顧客からの信頼を得るための基盤です。適切な対応で安心してビジネスを展開しましょう。
この記事のポイント
- ・ 個人情報保護法は個人事業主・フリーランスも対象
- ・ 利用目的の明示、安全管理措置、第三者提供制限が基本
- ・ プライバシーポリシーの掲載は必須
- ・ 漏洩時は報告・通知義務がある
- ・ 海外顧客がいる場合はGDPR等にも注意