GビズIDの利用規約とプライバシーポリシーで確認する個人情報の取扱い

最初に確認したいのは、どんな情報が集められるのか

ログインの成功、失敗やIPアドレスまで自動的に収集される

意外に思われがちですが、GビズIDのプライバシーポリシーには、ID対応行政サービスへのログインを試みた際にログインの成功、失敗の別やその日時を取得する旨が書かれています。さらに、利用者のインターネットドメイン名、ブラウザやOSの種類とバージョン、使用言語、IPアドレス、ウェブサイトの閲覧情報なども自動的に収集すると明記されています。¹

この種のログは、本人確認や不正対策、障害対応に欠かせない情報です。ただ、会社側の目線では、従業員がどの端末から行政手続をしたかという行動の痕跡が残り得る、と捉える方が現実的です。社内から質問が出たときに、目的と範囲を言葉で説明できるだけでも、余計な不安や憶測を減らせます。

もう一歩だけ踏み込むなら、社内の端末運用と結びつけて考えると整理が早くなります。例えば、共用パソコンで手続をするなら、OSやブラウザの更新、ログイン後の放置を避けるといった基本動作がそのまま安全対策になります。BYODのように私物端末を使う場合は、作業ルールを決めておかないと、端末側のリスクが残り続けます。

登録時に渡す情報は、個人情報と組織情報をまとめて扱う

自動収集のログだけでなく、登録そのものに伴う情報も対象です。プライバシーポリシーには、メールアドレス、パスワード、電話番号、氏名、住所、生年月日といった情報が挙げられています。法人の場合は法人番号、法人名、本店所在地、代表者情報、登記事項などの組織情報も含まれます。¹

ここで重要なのは、個人情報と組織情報がセットで扱われることです。たとえば代表者の交代や担当者の異動があると、アカウントの実体と社内の体制がずれやすくなります。担当者任せにせず、誰が管理者か、誰が申請をするか、退職時に何を止めるかを最初に決めておくと、運用が安定します。

情報はどこまで共有されるのか？GビズIDと手続先の境界線

プライバシーポリシーはGビズIDの範囲にだけ適用される

プライバシーポリシーには、本ポリシーはGビズIDサービスにおいてのみ適用されること、そしてID対応行政サービス側での情報の取扱いは各サービス運営主体の責任で行われることが書かれています。¹

つまり、GビズIDでログインした先の電子申請システムでは、別の規約やプライバシーポリシーが適用されます。社内の情報管理を整理したい場合は、GビズIDだけを読んで終わらせず、実際に使う行政サービス側の案内も合わせて確認した方が安全です。どのサービスを使うかは会社ごとに違うため、ここは一律の答えにしない方がトラブルを減らせます。

この境界線を理解しておくと、社内の問い合わせ対応も楽になります。GビズIDの話なのか、手続先サービスの話なのかを切り分けられるからです。例えば、申請画面の入力項目や添付書類の質問は手続先サービスの仕様に依存しますが、ログインの仕組みや認証の話はGビズID側の説明で足りる場合があります。混ぜて答えると、説明が長くなりがちです。

利用規約には、ID対応行政サービスへの情報提供が明記されている

利用規約（2026年3月27日最終更新の新しい利用規約）では、GビズIDが取得した個人情報等をプライバシーポリシーに従って扱うことに加え、利用者が登録した個人情報その他必要な情報をID対応行政サービスに提供することがあると記載されています。提供後の取扱いは、当該サービスが定める規約等に従う、という整理です。²

実務でのポイントは、提供される情報がゼロか100かではなく、手続の種類やサービス側の設計により必要な情報が変わり得る点です。例えば補助金の申請と、社会保険手続の電子申請では、入力項目や添付書類の範囲が違います。申請前に、当該サービスの入力項目と利用条件を一度だけ見ておくと、社内の説明も短く済みます。代表的な行政サービス例は、GビズIDの公式サイトにも掲載されています。³

アカウント共有と委任で迷わないために、規約の結論を押さえる

1つのアカウントを複数人で使うのは、禁止事項に入っている

中小企業で起きやすいのが、代表者アカウントを複数人で回してしまう運用です。新しい利用規約では、禁止事項として1つのGビズIDアカウントを複数の者が共用する行為が明記されています。²

共有が常態化すると、誰が何をしたかが分からなくなり、内部のチェックだけでなく、トラブル時の原因究明も難しくなります。さらに、パスワードが人づてに広がると、退職や異動のたびに変更が必要になり、現場の負担も増えます。メンバー機能や権限設計に最初は手間がかかりますが、あとから崩れる方が修正コストは大きくなりがちです。

現場で起きる典型パターンは、申請の締切が迫るほど共有に流れることです。だからこそ、平常時に、メンバーの追加や権限付与の手順を短くしておくことが予防になります。手順が複雑だと、正しい運用より近道が選ばれやすくなります。

委任は合意が前提で、当事者間の紛争は基本的に当事者で対応する

外部の士業や委託先に手続を任せる場合、委任機能の使い方が重要になります。利用規約では、委任者が委任を行う際は、あらかじめ受任者との間で委任内容について契約の締結など適切な方法で合意形成した上で行うことが求められています。また、委任に起因する紛争について、サービス提供者は一定の場合を除き責任を負わない旨も書かれています。²

さらに、GビズIDプライムがメンバーに委任手続の権限を付与でき、そのメンバーが行った行為はプライム利用者の行為とみなされる、という整理もあります。委任は便利ですが、責任まで自動で移るので、委任の範囲と承認の流れを文書で残しておくことが欠かせません。口頭で済ませると、うまくいっている間は問題にならず、事故が起きたときにだけ争点になります。

更新があったとき、社内で最小限やることは何か

チェック項目を4つに絞ると、毎回の確認が続く

規約やポリシーの全文を毎回読むのは現実的ではありません。更新のお知らせを見たら、次の4点だけをチェックして、必要なら社内ルールに反映するのが現実的です。確認範囲を最初から絞ると、担当者が変わっても続きやすくなります。³

• 取得する情報の追加や表現変更がないか（ログ、端末情報、連絡先など）
• 目的外利用や第三者提供に関する書きぶりが変わっていないか
• 委任や権限に関する範囲が広がっていないか
• 利用者側に求める対応が増えていないか（設定変更、事前同意など）

できれば、更新日と確認者、社内で決めた対応だけを1枚のメモに残しておくと後から助かります。社内の監査や取引先からの質問が来たときも、そのメモがあるだけで説明が早くなります。

また、プライバシーポリシー側にも、改訂することがあること、法令上必要な場合は事前通知や同意取得などの措置を講じることが書かれています。¹ 更新は例外ではなく前提と考え、確認の仕組みを軽くしておく方が続きます。

受任者がいるなら、権限と証跡を分けて残す

委任を使う場合、社内で押さえるべきは、誰が何をできる状態なのかを見える化することです。たとえば、委任の依頼、承認、代理申請のどこまでを誰に任せるのかを分け、完了報告の様式も決めておくと、確認が楽になります。報告は、スクリーンショットの提出まで求める必要はありませんが、手続名、申請日、提出先、添付書類の有無程度は残した方が安心です。

2026年3月27日に利用規約を更新するという案内では、委任機能の取扱いに関する記載の明確化などが挙げられ、アカウント機能や権限が変わるものではない、と説明されています。³ とはいえ、運用担当者にとっては文章の整理でも読み違いが起きやすいので、更新前後のタイミングで一度だけ、社内の委任ルールを読み合わせておくのが無難です。

不安を減らすために、よくある誤解と注意点を1つだけ

ログがあるから危険ではなく、外部サービスの記載も含めて読む

ログを取ると書いてあるだけで、すぐに危険だと決めつける必要はありません。プライバシーポリシーには、法令に基づく場合などを除き、取得した情報を目的以外で利用したり第三者に提供したりしないことが書かれています。一方で、統計的に処理したアクセス情報などは公表することがある、とも記載されています。¹

もう一つ見落としやすいのが、PRサイトのアクセス解析や動画埋め込み、チャットボットなど、外部サービスに関する記載です。たとえばPRサイトではGoogleアナリティクスやMicrosoft Clarityを利用し、IPアドレスや閲覧したURLなどが送信され得ることが説明されています。¹ また、チャットボットには個人情報を入力しないよう注意喚起があり、誤って入力された場合も利用目的に沿って取り扱うとされています。社内で問い合わせ対応をするなら、個人情報を入力しない運用を先に決めておくと混乱しません。

なお、過去のお知らせには、2025年7月1日付のプライバシーポリシー更新が、利用しているチャットボット提供元企業の社名変更を反映したものだ、と説明されています。更新理由が軽微な場合もあるため、必要以上に不安をあおらず、確認すべき論点だけを見る姿勢が役立ちます。⁴

最後に、持ち帰るべきポイントを3つにまとめます。

• 何が取得されるかは、ログイン成否の履歴と端末情報まで含めて把握する¹
• どこに渡るかは、GビズIDと手続先サービスで責任範囲が分かれると理解する¹²
• どう運用するかは、共有禁止と委任の合意を前提に社内ルールへ落とす²

社内でまずやるなら、利用規約とプライバシーポリシーのページを社内共有の場所に置き、確認担当と確認頻度を決めるだけでも十分です。更新のたびに慌てるのではなく、必要な箇所だけを読む運用にすると、担当者の負担も減ります。

出典・参考資料

1. GビズIDのプライバシーポリシー本文。取得する情報としてログイン成否やIPアドレス等の自動収集、利用目的、外部サービスの記載がある。デジタル庁（2026年2月19日最終更新） ↩

2. GビズID利用規約の新しい版。アカウント共用の禁止、委任の合意要件、ID対応行政サービスへの情報提供に関する条文がある。デジタル庁（2026年3月27日最終更新） ↩

3. GビズID公式サイトのお知らせ欄。2026年3月27日に利用規約を更新し、記載の整理で機能や権限は変わらないと説明している。GビズID（2026年2月26日） ↩

4. 過去のお知らせの一覧。2025年7月1日付でプライバシーポリシーを更新し、チャットボット提供元企業の社名変更を反映したと説明している。GビズID（2025年6月13日） ↩