制定数据收集同意书

Cross-Border Data Collection Consent Form (GDPR/CCPA-Compliant Template)

Instructions for implementers:

• Replace bracketed fields with your details.
• Present consent choices distinctly from terms of service. Do not use pre-ticked boxes.
• Enable granular consent by purpose and channel. Provide a simple, persistent way to withdraw.
• Pair this consent with your Privacy Notice and Cookie Policy.

1. Who We Are

• Data Controller/Business: [Company legal name], [registered address], [company ID if applicable]
• Contact: [privacy@company.com], [postal address], [toll-free number (if applicable)]
• Data Protection Officer (if applicable): [Name], [contact]
• Representatives (if applicable): EU Representative [Name, contact], UK Representative [Name, contact]

2. What This Consent Covers This form seeks your consent (where required under the EU/UK GDPR) and provides a Notice at Collection (required under the CCPA/CPRA) for our collection and use of personal information via [website/app/offline form], including cross-border transfers.

3. Categories of Personal Data/Information Collected We may collect:

• Identifiers: name, email, phone, postal address, online identifiers, device IDs, IP address.
• Commercial/interaction data: products viewed/purchased, service usage.
• Internet/technical data: cookies, device and browser data, log files, analytics events.
• Geolocation data: [coarse/precise, if applicable].
• Payment data: [billing details; tokenized card info via payment processor].
• Professional or education information: [job title, employer], if provided.
• Inferences: preferences derived from your interactions.
• Sensitive personal data (GDPR special categories) only if clearly stated and separately consented: data revealing racial or ethnic origin; political opinions; religious or philosophical beliefs; trade union membership; genetic data; biometric data for identification; health data; sex life or sexual orientation.
• Sensitive personal information (CCPA/CPRA) only if needed and disclosed: e.g., government identifiers, precise geolocation, racial/ethnic origin, union membership, mail/communications content, genetic or biometric information, health data, financial account credentials.

4. Purposes of Processing We process personal data for:

• Service delivery: account setup, authentication, customer support, fulfilling transactions.
• Communications: service notices, updates, and—if you consent—marketing by email/SMS.
• Analytics and product improvement: measuring usage, diagnosing issues, improving features.
• Personalization/advertising: tailoring content and—if you consent—cross-site behavioral advertising.
• Security and fraud prevention: detecting, preventing, and responding to security incidents.
• Compliance: legal obligations, recordkeeping, and regulatory requests.

5. Legal Bases (GDPR) We rely on:

• Contract performance: to provide requested services.
• Legitimate interests: security/fraud prevention, essential analytics, service improvement (after assessing necessity and impact).
• Consent: for non-essential cookies/analytics, electronic marketing, and personalized advertising; for any processing of special-category data; and for certain international transfers where required. You may withdraw consent at any time without affecting prior lawful processing.

6. CCPA/CPRA Notice at Collection (California)

• We collect the categories listed in Section 3 for the purposes in Section 4.
• Retention: we retain each category only as long as necessary for the disclosed purposes, or as required by law. Specific retention periods by category: [insert periods per category, e.g., identifiers—24 months; transaction records—7 years; analytics events—13 months; marketing contact data—until consent withdrawal or 24 months of inactivity; precise geolocation—30 days].
• Sale/Share: we may “sell” or “share” personal information as defined by the CCPA/CPRA—for example, sharing identifiers and internet activity with advertising and analytics partners for cross-context behavioral advertising. You may opt out below and via the “Do Not Sell or Share My Personal Information” link.
• Sensitive personal information: we do not use or disclose SPI beyond purposes authorized by the CPRA unless you direct us to or we provide a means to limit its use. You may exercise “Limit the Use of My Sensitive Personal Information” below.

7. Recipients and Disclosures We disclose personal data to:

• Processors/service providers: cloud hosting, analytics, email/SMS delivery, customer support, payment processing, fraud prevention. These parties are bound by contracts and may not use data for their own purposes.
• Advertising/analytics partners: only with your consent in the EEA/UK and subject to your opt-out rights in California.
• Corporate affiliates: [list if applicable].
• Authorities or other third parties: where required by law or to protect rights and safety. We do not disclose special-category data for advertising.

8. International Data Transfers

• Where we transfer personal data outside your country (e.g., from the EEA/UK to the United States), we rely on:
  • Adequacy decisions (where applicable), and/or
  • Appropriate safeguards, such as EU Standard Contractual Clauses (SCCs) and the UK IDTA/Addendum, plus transfer risk assessments and supplementary measures as needed.
• Details and copies of safeguards are available upon request at [privacy@company.com], with redactions for confidentiality.

9. Automated Decision-Making

• We do not use solely automated decision-making that produces legal or similarly significant effects without appropriate safeguards and, where required, your consent. If we implement such processing, we will provide specific information and obtain consent where required.

10. Your Privacy Choices and Controls A. GDPR Consent Choices (EEA/UK users) Please select the purposes you agree to. Refusal will not affect core services but may limit related features: [ ] Email marketing (newsletters, promotions) [ ] SMS marketing (promotions; message and data rates may apply) [ ] Non-essential analytics (e.g., A/B testing, user behavior analytics) [ ] Personalized advertising (cross-site/cross-app behavioral ads) [ ] Data enrichment/combining with third-party sources for marketing [ ] Processing of special-category data for [specific, explicit purpose], if applicable [ ] Communication by [phone/push notifications] for marketing You can withdraw consent at any time via [account settings link], [unsubscribe link], or by contacting [privacy@company.com].

B. California Resident Controls (CCPA/CPRA) These choices apply regardless of other selections: [ ] Do Not Sell or Share My Personal Information (opt-out of “sale” and “sharing,” including for cross-context behavioral advertising) [ ] Limit the Use and Disclosure of My Sensitive Personal Information (to purposes authorized by CPRA) You may also exercise your rights at: [webform URL], [toll-free number], or [email]. We will not discriminate against you for exercising your rights.

11. Your Rights GDPR (EEA/UK):

• Access, rectification, erasure, restriction, portability, objection, and withdrawal of consent.
• Right to complain to a supervisory authority: [Insert lead authority if known or user’s local authority]. CCPA/CPRA (California):
• Right to know (categories and specific pieces), delete, and correct personal information.
• Right to opt-out of sale/share; right to limit SPI use.
• Non-discrimination for exercising rights.
• Submit requests via [webform], [toll-free number], or [email]. We will verify your identity and may accept requests via an authorized agent with appropriate authorization.

12. Security We implement technical and organizational measures appropriate to the risk, including encryption in transit and at rest (where applicable), access controls, logging, and vendor due diligence. Details: [link to security overview].

13. Retention We retain personal data only for the periods necessary to fulfill the purposes described, comply with legal obligations, resolve disputes, and enforce agreements. See Section 6 for category-specific periods and [link] for current retention schedules.

14. Minors

• GDPR: If consent is required for children under [insert local age, 13–16 depending on member state], we will obtain verifiable parental consent.
• CCPA/CPRA: We do not sell/share personal information of consumers under 16 without opt-in consent (from the minor aged 13–15 or from the parent/guardian if under 13). If you are a parent/guardian and believe we have collected a minor’s data without proper consent, contact [privacy@company.com].

15. How to Withdraw Consent or Change Preferences

• Use [account settings link], unsubscribe links in communications, device/app privacy settings, or contact [privacy@company.com].
• For cookies/online tracking: use our Cookie Settings manager [link], your browser settings, and platform-specific controls (e.g., AdChoices). Withdrawal does not affect prior lawful processing.

16. Contact

• General privacy inquiries and rights requests: [privacy@company.com], [toll-free number], [postal address]
• DPO (if applicable): [Name], [contact]
• EU/UK representatives (if applicable): [contact]

17. Acknowledgment and Record of Consent By selecting your choices and confirming below, you acknowledge:

• You have read and understood this Notice/Consent.
• Your consents are freely given, specific, informed, and unambiguous.
• You can withdraw consent at any time as described. Name: ______________________ Email/Identifier: ______________________ Date/Time: ______________________ Jurisdiction (if detected/provided): ______________________ Signature (if applicable): ______________________ For digital consent, we will store: consent version, timestamp, user ID, source (web/app), IP/device, and selections per purpose to document compliance.

Implementation Notes (not shown to end users)

• Show the GDPR consent section to EEA/UK users based on geo/IP and self-declaration; do not gate core services on non-essential consents.
• For California users, present the Notice at Collection at or before the point of collection and provide “Do Not Sell or Share” and “Limit SPI” links in the footer and relevant interfaces.
• Maintain a consent/opt-out log, including changes and withdrawals. Refresh marketing consent periodically (recommended: every 24 months) and honor withdrawal immediately.
• Ensure processor contracts include data protection terms; for international transfers, implement SCCs/UK IDTA and conduct transfer risk assessments.
• Map categories to purposes and retention periods consistently across Privacy Notice, Consent Form, and internal records of processing.

Disclaimer: This template is provided for general compliance guidance and must be reviewed and adapted to your specific data processing activities and applicable laws. Consider obtaining legal review before deployment.

広告のパーソナライズおよびメールマーケティングに関する同意書（独立同意）

最終更新日：[YYYY-MM-DD] バージョン：[vX.X]

1. 目的と概要

• 本同意書は、[会社名]（以下「当社」）が「広告のパーソナライズ」と「メールマーケティング」それぞれについて、個別かつ独立した同意を取得するためのものです。
• 両目的は完全に独立しており、いずれか一方に同意しないことにより、もう一方の提供可否が影響を受けることはありません。
• 本同意書は、適用される法域に応じて、GDPR・ePrivacy（EU/UK）、CCPA/CPRA（カリフォルニア）、個人情報保護法（日本、APPI）その他の関連法令に準拠することを前提としています。

2. 管理者（コントローラ）/事業者情報

• 事業者名：[会社名]
• 所在地：[住所]
• 連絡先（メール）：[privacy@[domain]]
• データ保護責任者（DPO）/個人情報保護管理者：[氏名/役職・連絡先]
• プライバシーポリシー：[URL]
• ベンダー/提携事業者一覧（広告/メール配信）：[URL]

3. 同意の対象範囲と法的根拠 3.1 広告のパーソナライズ

• 目的：お客様の興味・嗜好に基づく広告表示、広告効果測定、頻度制御、不正防止。
• 法的根拠（EU/UK）：同意（GDPR第6条1項(a)）。Cookie/SDK等の読み書きにはePrivacy規制に基づく同意が必要です。
• CCPA/CPRA注記：クロスコンテキスト行動広告等に該当する場合、「販売」または「共有」とみなされることがあります。その場合、当社は「販売・共有のオプトアウト（Do Not Sell or Share）」機能およびGPC（Global Privacy Control）シグナルに対応します。

3.2 メールマーケティング

• 目的：ニュースレター、製品更新情報、キャンペーン情報の配信および配信最適化（配信ログ、開封・クリック計測を含む）。
• 法的根拠（EU/UK）：同意（GDPR第6条1項(a)）。各国のePrivacy/PECR規制に従いオプトインが必要です。
• CCPA/CPRA注記：削除・訂正・オプトアウト等の権利が適用されます。

4. 収集・利用するデータの種類 4.1 広告のパーソナライズ

• オンライン識別子：Cookie、モバイル広告ID、ピクセル、SDK識別子
• 技術情報：IPアドレス、デバイスタイプ、OS/ブラウザ、言語設定
• 行動情報：閲覧URL、アプリ利用履歴、スクロール/クリック、参照元、広告閲覧/クリック履歴
• 概位置信息：IP等に基づくおおよその地域
• 不正対策情報：端末属性、セッション異常検知情報
• 注：機微な個人情報は本目的では取得・利用しません（取得が必要な場合は別途明示的同意を取得します）。

4.2 メールマーケティング

• 連絡先情報：メールアドレス、（任意）氏名、所属、言語/国
• 関連履歴：購買・利用履歴の要約（セグメント化に必要な範囲）、配信ステータス、配信停止履歴
• 効果計測：開封・クリック、配信不能ログ、解除理由
• 注：メール内のトラッキング（開封・クリック）は本目的の一部です。希望しない場合はいつでも配信停止や計測オプトアウトの手段を提供します。

5. 第三者提供・委託および国際データ移転

• 広告：アドネットワーク、測定・不正対策ベンダー（当社指示に従う処理者または独立管理者）。一覧と各社の目的・リンクはベンダー一覧をご確認ください。
• メール配信：ESP（メール配信事業者）、分析プロバイダ（処理者）。
• 国際移転（EEA/UK等から第三国へ移転する場合）：SCCs（標準契約条項）等の適切な保護措置を講じます。日本から外国にある第三者へ提供する場合はAPPIに基づく本人同意または同等の体制確認を行います。

6. 保管期間（データ最小化の原則に基づく）

• 広告識別子・ログ：［保持期間を記入（例：最大13か月／地域の規制・ガイダンスに準拠して設定）］
• メール購読情報：購読中は保持。配信停止後は法令上の記録・監査目的に限定して［期間を記入（例：最大24か月）］保持。
• 同意記録：監査のため［期間を記入（例：取得から5年）］保持。
• 期間経過または撤回時は、削除または不可逆的な匿名化を行います（法的義務がある場合を除く）。

7. お客様の権利と行使方法

• GDPR等（地域に応じて）：アクセス、訂正、削除、処理の制限、データポータビリティ、異議、同意撤回、監督機関への不服申立て。
• CCPA/CPRA（該当者）：知る権利、削除、訂正、販売/共有のオプトアウト、機微情報の利用制限、差別的取扱いの禁止、GPC対応。
• APPI（日本）：利用目的の通知、開示、訂正・追加・削除、利用停止・消去、第三者提供の停止。
• 行使手段：プライバシーリクエストフォーム［URL］、メール［privacy@[domain]］、または設定ページ［URL］。法定期間内に対応します（例：GDPR 1か月、CCPA 45日）。

8. 同意の管理・撤回

• いつでも撤回可能です。影響は将来の処理に限られ、撤回前の処理の適法性に影響しません。
• 撤回手段：
  • 広告：同意管理ページ［URL］、ブラウザ/OSの広告識別子リセット、Cookie設定の変更、GPCシグナル。
  • メール：各メールの「配信停止」リンク、設定ページ［URL］、または上記連絡先。
• 同意しない場合または撤回後も、サービスの基礎機能は利用可能です。ただし、広告の関連性やメールによるご案内は制限されます。

9. 未成年者に関する取扱い

• 適用法に基づく同意年齢（EU/UK：16歳（加盟国により13–16歳の範囲）、米国COPPA：13歳未満等）に該当する場合、法定代理人の同意が必要です。該当する場合は手続をご案内します。

10. セキュリティとデータ管理

• 当社は、アクセス制御、暗号化、疑似化、最小権限、ログ監査等の安全管理措置を講じます。
• 処理者とは適用法に準拠したデータ処理契約（DPA）を締結します。

11. 重要リンク（CCPA/CPRA該当者）

• Do Not Sell or Share My Personal Information：[URL]
• Limit the Use of My Sensitive Personal Information：[URL]
• GPCシグナル：受信時は自動的に尊重します。

12. 同意の選択（未選択がデフォルト／目的別に独立）

• 広告のパーソナライズへの同意
  • 内容：Cookie/SDKの使用、オンライン識別子・行動情報の収集、パーソナライズ配信、効果測定、不正対策、関係ベンダーとの共有（ベンダー一覧参照）。
  • 選択： [ ] 同意します [ ] 同意しません
• メールマーケティングへの同意
  • 内容：ニュースレター等の配信、購読管理、開封・クリック計測、ESPによる配信。
  • 連絡先メールアドレス［入力欄］（必須）
  • 選択： [ ] 同意します [ ] 同意しません
  • ダブルオプトイン（対象地域）：［ ] 適用（確認メール内のリンクで確定）

13. 署名/同意記録（紙面運用または電子同意の監査要件）

• お名前：
• 日付：
• 同意ID（電子取得時に自動付与）：
• 取得方法（UI/ウェブ/API/紙面 等）：
• 取得時のバージョン：本同意書[vX.X]

運用上の注意（実装ガイダンス）

• チェックボックスは未選択を初期値とし、事前チェックは禁止。
• 目的ごとに明確な説明と選択肢を表示し、バンドル同意を回避。
• 同意UIからプライバシーポリシー、ベンダー一覧、設定ページ、オプトアウト（CCPA/CPRA）への直リンクを提供。
• 重要な変更（目的、ベンダー、追跡技術、法的根拠等）時は再同意を取得。
• 同意ログは、タイムスタンプ、同意スコープ、UI文言、地域、同意ID、端末/ブラウザ識別子（可能な範囲）を含めて保管。
• メール配信には必ず明確な「配信停止」リンクを含め、配信停止を即時反映。

本同意書に関するお問い合わせ

• 連絡先（プライバシー担当）：[privacy@[domain]]
• 監督機関への連絡先（EU/UK該当者）：[主たる監督機関名/URL（該当時に記載）]

注：角括弧［ ］は貴社での実装時に固有情報をご記入ください。各保持期間・オプトイン方式は、対象ユーザーの居住地・利用チャネル・使用技術に応じて適用法・当局ガイダンス（例：ePrivacy、PECR、各州法/国法）を確認のうえ設定してください。