小規模BtoCサービス、ユーザー数1000人弱。個人情報保護法の対応、プライバシーポリシー以外で何をすべきか、優先順位を教えてください。
個人情報保護法、小規模BtoCの最低限対応: **必須** 1. **プライバシーポリシー**:利用目的の明示、取得項目、第三者提供の有無、開示請求対応窓口 2. **利用規約**:個人情報取扱の同意 3. **問い合わせ窓口**:開示・訂正・削除請求への対応体制 4. **委託先管理**:外部サービス(クラウド、決済、メール)の選定基準 **推奨** - データ漏洩時の対応マニュアル - 取得情報の最小化(必要最低限の項目のみ) - アクセスログの保管 - 退職者のアカウント停止フロー **見落としやすい点** - Cookieの扱い(最近改正で同意取得が必要なケース増えた) - 海外サーバー利用時の越境移転規定 - 子供(18歳未満)の同意取得 PMS構築は1000人規模超えてから検討。それまではプライバシーポリシーをしっかり書く+運用フローを文書化、で十分守れます。