山ほどWebサイトを作ってきて、目つむったままでも作れるようになったので、守るべきレギュレーションを文書にしてみた。
大概の新人は、我が子として生み出したサービスが、「レビュー」のタイミングで悪者扱いになるので、最初は深く傷つくのだが、我が子を守るためのレビューなので、これはやっぱり「守るべき」。
- 商標・ブランドマネジメント観点
- ロゴの扱い。その企業のレギュレーションを守っているか
- 普通の企業ならロゴは一ピクセルずれてもNG。変形したり色を変えるのも絶対ダメ
- サイト名やドメインは他社の商標を侵していないか。侵してないとしても、他社に後追いで商標を取得されても問題ないか。念のために商標登録申請だけしておくか。
- 個人情報保護観点
- 個人情報は取得するサービスか。
- 個人情報をどう定義しているか(法は厳密には定義していない)
- 例)氏名、メールアドレス、顔写真。
- プライバシーポリシーは用意しているか
- ちなみにプライバシーポリシーはサイト運営の主体が用意するモノなので、制作受託が勝手に作っちゃダメ
- 個人情報を取得する直前で「プライバシーポリシーに同意して」送信する導線になっているか
- 個人情報をどこでどの期間保持・破棄をするかという運用ルールも文書化する
- 取り扱う個人情報が5,000件を超えなければ、個人情報保護法が定義する個人情報取扱事業者にはあたらないが、ユーザはその区別は付かないので、小規模でも対応しておいた方が無難
- 特定電子メール法観点
- 特定電子メール法というのがある
- 迷惑メールを取り締まる法律
- メルマガを送る場合には、会員登録の際にユーザからの許諾が必要
- メルマガには購読解除の導線をかならずつけなくちゃいけない
- サイトだけじゃなくてメール本文もレギューレーションに沿っているかどうかのチェックがある
- 送信者と住所は明記されてる?購読解除のためのリンクはある?
- システム観点だけど、メール送信サーバとDNSの設定も要チェック。DNSのSPFレコードが正常に設定されていないと迷惑メール扱いになりがち。
- メールのヘッダFrom、エンベロープFromが一致してて、エンベロープFromのドメインがDNSレコードでIPアドレス設定されてないとダメ。メールを受信してみて、ヘッダみて「SPF=PASS」とあれば成功。それ以外はダメ。
- プロバイダ責任法観点
- 掲示板サービスやコメント機能をつける場合には、投稿内容に違法な情報が投稿されることを想定して、監視と削除対応を行う。警察からの削除要求があったら消す。
- 削除対象Aクラス(親告罪でさえないレベル)
- 児童ポルノ・口座売買・麻薬取引
- 削除対象Bクラス(親告罪で大きめ)
- 著作権侵害、プライバシー侵害、名誉毀損、ポルノ画像
- 削除対象Cクラス
- 罵詈雑言・公序良俗に反する投稿
- 企業サイトなら、Cクラスから有無を言わさず削除しちゃう。
- 特定商取引法観点
- 何かを売る仕組みになっているか
- 売る場合には「特定商取引法に基づく表記」が必要
- 課金方法は?返品に応じる?
- 著作権観点
- このサイト自体が著作権侵害してない?
- プロトタイプの時に画像検索で拾ってきた写真そのまま使ってない?
- 利用規約
- ユーザに何か利用してもらう(システムとしてはフォームサブミットが発生する)場合には、利用規約を用意する。全くユーザに迷惑をかける処理でなくても、ユーザからの訴訟のリスクは存在する
- 利用規約の文面って、「これでもか」って素っ気なくて、「ユーザ様にそんなこと言う?」って感じだけど、自分達を守るための文言なので、そこはきっぱり言い切る
- 利用規約はサービスの主体となる法人が作る。利用規約は契約なので、弁護士でもない人が、うかつに作成代行をしない方がいい(リスクが大きすぎる)。
- 最終的にユーザと訴訟になったときにでも、裁判所の指定ができていることだけでも重要なポイント
- 規約へのリンクは浅いか?
- フッターに、利用規約、プライバシーポリシー、特定商取引法に基づく表記、のリンクがあるか
- 揉めたときに「みれないように作ってる」と指摘されるほどあほらしいものはない
- CS(カスタマーサポート)観点
- 法律では定められてないが、企業毎にカスタマーサポートに関するレギュレーションはガチガチにある。
- メールフォーム or 電話
- 問合せを受け付ける組織はどこか?CS専門部隊がある場合には、このサービスの存在を知らせているか。せめてこのサービスが何者なのかを説明する資料はある?FAQは用意している?
- 財務会計観点
- モノをうるサービスの場合、会計上の売上を計上しないといけない
- 月単位で売上を集計できる仕組みになっているか。あとで入金と突き合わせることができるか。
- 情報セキュリティ観点
- セキュリティホールないよね
- SQLインジェクション、ディレクトリトラバーサル、クロスサイトスクリプティング、サーバ情報の表示OFF、公開ディレクトリの制御
- 個人情報を送る経路は暗号化されているよね
- SSLで暗号化されている?SSL証明書の寿命は?
- 耐障害性ある?
- ハードウェア障害があってもサービス継続できる?継続しなくてもすぐに復活できる?データ消しちゃっても復活できる?
- どれくらいのアクセスに耐えれる?負荷テストした?
- 避難訓練した?どの経路で連絡する?会社来て対応するの?家からでも対応するの?
- ドメインの管理は出来てる?
- 誰がどれくらいの期間でとってる?自動更新してる?
- ドメインの寿命が切れるタイミングで即取得してサービスを乗っ取る輩もいるのでこれ結構大事
0 件のコメント:
コメントを投稿