ローンチ時のリーガル & コンプライアンス

創業者向けの平易なチェックリスト。プライバシーポリシー、利用規約、メール配信の順守（GDPR/CAN‑SPAM）、税金/インボイス、ユーザーデータ請求、DPA をローンチ時にどう整えるか。

ローンチ時のリーガル & コンプライアンス — 平易なガイド

免責: 本稿は法的助言ではありません。創業者のためのチェックリストです。SaaS やオンラインサービスを立ち上げるにあたり、最低限そろえるべき書類と、善意に基づく運用の基本を平易に解説します。プライバシーポリシー/利用規約、メール配信順守、税金/インボイス、ユーザーデータ請求（開示/削除）の扱いまで。読み終えるころには「どの箱にチェックすべきか」と「よくある落とし穴」が分かります。

プライバシーポリシー & 利用規約：スターターチェックリスト

サイトやアプリがあるなら、ほぼ確実にプライバシーポリシーと利用規約が要ります [1][2]。両者はユーザーとの関係を定義し、事業を守る基本文書です。

プライバシーポリシー: 多くの地域で法的に求められ、データの取り扱いを明確に説明する必要があります [1]。要は「やると言ったことをやり、やらないと言ったことはやらない」[3]。収集する個人情報の種類、用途と共有方法、問い合わせ/権利行使の窓口を最低限開示します。「絶対に〜しない」と書くなら例外が本当にないか要確認 [4]。平易で正直に。サイトの変更に合わせ更新を。
利用規約（ToS）: 法で常に必須ではないものの、ルールを定め責任を限定する上で極めて重要です [5][6]。許容/禁止される行為、知的財産権、支払いやサブスク条件、保証の否認、責任制限などを記載します [6][7]。ユーザーとの契約として期待値を管理し、IP を保護し、訴訟リスクを抑えます。
掲載場所: 最低でもフッターにリンクを常設し、全ページから辿れるように [8]。サインアップ画面やアプリ内メニューからもリンクしましょう（「どこに置く？」への答えは「フッター等の目立つ場所」[8]）。
プロTIP: 公開したら遵守を。チームにも教育を。削除/オプトアウトの提供を約束したなら、実際に動く仕組みを用意します [9]。

メール配信の順守：同意と配信停止

プロダクト通知やマーケメールを送るなら、各国のルール（米国 CAN‑SPAM、EU の GDPR/ePrivacy など）に適合しましょう。

適切な同意: EU ではマーケ目的のメールに原則「明示の同意」が必要です [10]。チェックボックスで自発的に購読する等。米国では厳格なオプトイン要件はないものの、未承諾一斉配信は炎上/リスク大。世界で戦うなら、同意者（もしくは関係のある既存顧客）に限定するのがベストプラクティス。
虚偽の禁止: 差出人情報と件名は実態どおりに [11]。
必要情報の記載: 送信者情報と連絡手段を記載。米国では有効な郵送先住所の明記が必須です [12]（会社名と住所をフッターに）。
かんたんな配信停止: すべてのマーケメールに明確な解除方法（リンク等）を [13]。解除は速やかに反映（CAN‑SPAM は 10 営業日以内、解除に追加情報や手数料を要求してはならない）[14]。
EU と米国の違い: ざっくり EU=オプトイン必須、米国=オプトアウト許容 [15]。グローバル志向なら「同意取得 + 解除リンク常設」が安全策。カナダ（CASL）はさらに厳格です。
トランザクションメール: 注文確認やパスワード再設定などは通常マーケ規制の対象外ですが、送信者の識別やプライバシーポリシーへの控えめなリンク等は推奨。純粋なトランザクションに販促を混ぜないこと。

税金とインボイス：概念の概要

売上が立ったら税務もセットです。オンライン販売は地域ごとの義務が発生します。

米国の売上税（州レベル）: 連邦税はありませんが、州/市が独自に課税。Wayfair 以降、経済的結び付き（economic nexus）があれば州外でも徴収義務が生じ得ます。SaaS/デジタル課税は州により扱いが異なります [16][17]。
EU 等の VAT: EU 向け B2C デジタル販売は顧客所在国の VAT を適用（事実上のしきい値なし）[18]。B2B は相手の VAT ID が有効ならリバースチャージが一般的 [19][20]。
インボイス/レシート: 特に B2B では必須/期待されます。発行日、連番、あなたの事業者情報+税番号、顧客情報（EU B2B は顧客 VAT ID）、品目/金額/適用税率を記載 [21][22][23]。Stripe 等で自動化可能。
記録保存: 売上と徴収税の記録を保持し、申告/納付を期限内に。

データ削除とユーザー請求：基本

近年のプライバシー法は、利用者にデータの権利（開示/削除等）を与えています。EU（GDPR）やカリフォルニア（CCPA）では、小規模でも対応が必要です [24]。

開示請求: 「どんなデータを持っているか？」に回答。GDPR では原則 30 日以内 [25]。本人確認の上、アカウント情報/分析/サポート履歴等を可読形式で提供。
削除請求: 正当な例外（法的保存義務/セキュリティ等）を除き、個人データの削除に応じます [26]。本番系から削除（可能ならバックアップも）。個人データを分離しやすい設計に。
その他の権利: 訂正/処理の異議申立て/データ可搬性など。まずは開示/削除の体制を優先し、行使窓口をプライバシーポリシーに明記。
期限とプロセス: 迅速に。GDPR は 30 日、CCPA は 45 日が目安 [25]。受領連絡と進捗共有を行い [28]、請求/対応のログを残しましょう [29]。
DPA は必要？: EU 個人データを第三者プロセッサ（クラウド/メール/分析等）と扱うなら、各社とデータ処理契約（DPA）が必要な公算大 [30]。主要ベンダーは標準 DPA を提供。自社が B2B のプロセッサなら、顧客から自社 DPA の提示を求められることもあります [31]。

次の一歩と善意のベストプラクティス

自社に合ったプライバシーポリシー/利用規約を用意し、フッター等から常時アクセス可能に [8]。メールのフッターにもポリシーリンクを添えると透明性が高まります。
メール配信基盤を正しく設定（ダブルオプトイン、解除リンク、自社情報表記）。
税/インボイス対応を初期から実装。必要地域で税を徴収し、要件を満たす請求書を発行 [21]。
データ権利の窓口を用意し、期限内に応答。請求と対応を記録に残す [25]。

この基本を抑えれば、「ポリシーはどこに置く？」（答え：フッター等の目立つ位置）や「DPA は必要？」（第三者と個人データを扱うなら概ね要）といった長尾の疑問にも答えられます。ユーザー/パートナー/投資家への信頼醸成にもつながります。

最後に：本稿は出発点であり、法的助言ではありません。一定のトラクションが出たら、あるいは高リスク領域なら、弁護士のレビューを受けましょう。ただし本チェックリスト（プライバシー/規約/メール/税/データ対応）を実施すれば、ローンチ時の「ミニマム実用」な順守は果たせます [2]。

ローンチ時のリーガル & コンプライアンス — 平易なチェックリスト