欧州・米国・日本のクッキー規制に対応したクッキーバナー実装と運用ルール策定時の重要ポイント~改正電気通信事業法や新CCPA(CPRA)についても解説
多くの企業でDXによる個人データ利活用が進められる中、クッキーやその類似テクノロジーによるユーザーデータの収集や利活用に対する規制が世界各国で強化されてきています。
欧州では引き続きGDPR(一般データ保護規則)違反による制裁事例が多く出ており、こうした事例からの学びも踏まえてクッキーバナーの実装を行うことが重要です。
米国ではCPRA(カリフォルニア州プライバシー権法)による改正を受けて、2023年1月1日に施行された新CCPA(カリフォルニア州消費者プライバシー法)により、Opt-Out Preference Signalsへの対応をはじめ、Webサイト管理者が留意すべきクッキーバナー実装に関連した多くの規定が盛り込まれています。 日本ではクッキーの利用に関わる規制として、主に、2022年4月1日に施行された改正個人情報保護法より新設された個人関連情報第三者提供規制、そして今年2023年6月16日に施行された改正電気通信事業法より新設された外部送信規律の2つの規制があります。
本書では、グローバルに事業を展開されている企業様の関心が特に高い欧州・米国・日本におけるクッキー規制の内容を分かり易くまとめ、クッキーバナーの実装により法令遵守対応を行う上での重要ポイントと、クッキーバナーを導入した後に必要となる運用のための社内ルールに定めるべき内容について詳細に解説いたします。
本書のポイント
●GDPR *1・CCPA *2・個人情報保護法・改正電気通信事業法のクッキー規制の内容を解説
●各規制に対応するためのクッキーバナー実装上のポイントを紹介
●クッキーバナー運用ルールに定めるべき事項について解説
●新規クッキーを追加する場合のクッキーバナーアップデート作業の手順を紹介
●IIJサービスの紹介
*1 General Data Protection Regulation:一般データ保護規則
*2 California Consumer Privacy Act:カリフォルニア州消費者プライバシー法
留意事項:
- 当社は、本書の提供に当たり最善の注意を払っておりますが、その正確性、完全性その他質的事項について保証や法的助言を行うものではありません。
- 貴社は、貴社の責任において本書に関する全ての経営上の判断、本書の検討・利用に関する判断及び本書が貴社の目的に適合するか否かの判断を行うものとし、当社はこれらの判断につき一切の責任を負いません。
お断り:
- 本書では、Webサイトやモバイルアプリで利用される他の追跡技術(LocalStorage、トラッキング・ピクセル、デバイス・フィンガープリンティング等)も含め、便宜的にクッキー(Cookie)と記載しています。
- クッキーバナー実装例については、当社が取り扱いをしているOneTrust社のクッキーバナーツールを用いて解説しています。
↓↓↓すべてを見るには下のボタンからeBookをダウンロードしてください。↓↓↓
第1章 各国法に対応したクッキーバナー実装の重要ポイント
1-1. 各国のクッキー規制の最新動向(2023年7月時点)
下記の世界地図は、2023年7月時点での世界各国のクッキー規制の整備状況を表したものです。
出典:IIJビジネスリスクマネジメントポータル(BizRis)
オレンジは、クッキーの取扱いについて独自の規制がある国、黄色は独自の規制はありませんが、クッキーにより取得されるデータも個人データに該当する、もしくは該当する可能性が高く、プライバシー保護法の下で規制対象になると考えられる国、濃い緑はクッキーにより取得されるデータも個人を特定できるその他の情報と紐づけられることによって規制対象となる場合がある国となっています。
本章では、この中で日本のグローバル企業のご担当者様の関心が得に高い欧州、米国カリフォルニア州の規制に加えて、日本の個人情報保護法、そして先日2023年6月16日に施行された改正電気通信事業法による規制について、それぞれの規制の要点とクッキーバナーで対応を行う際の実装の重要ポイントについて解説します。
1-2. 欧州GDPR編
1-2-1. 欧州のクッキー規制の概要
欧州では、GDPRとePrivacy指令によりクッキーの取扱いが規制されています。GDPRでは、個人を直接特定することはなくブラウザを一意に識別するに留まるクッキーも、間接的に個人を特定し得るため、ほとんどの場合個人データに該当し保護の対象となります。ePrivacy指令は、電子通信における秘匿性の確保とプライバシー権の保護のためのルールを定めている指令で、その内容は欧州各国において国内法として取り入れられています。ePrivacy指令では、個人データであるかどうかに関わらず、クッキーを利用した電子通信端末装置の読み書き機能の利用が規制されています。なお、英国においてもUK GDPRそしてePrivacy指令を取り込んだ国内法であるPECR *3によって同様の規制がされています。
欧州におけるクッキー規制の内容を一言でいえば、「クッキーの取得と利用について、ユーザー(データ主体)に対して明確かつ包括的な情報提供とオプトインによる同意取得が必要」となります。
有効な同意の要件はGDPRによって定められており、概ね以下の通りです。これらの要件を満たさない同意は無効となります。
- クッキーによるデータ処理の目的・開示先・保持期間等について明確かつ包括的な情報提供をユーザーに行ったうえで取得した同意であること
- ユーザーが自由に与えた同意であること、つまりサービスを利用するために同意の選択を強要していないこと
- 特定されたデータ処理の目的毎に同意を取得すること
- 曖昧ではない、明確で肯定的な行為(例えばチェックボックスにチェックを入れる、スライドスイッチのドラッグ等)により取得した同意(オプトイン同意)であること
- クッキーを実際に設定するまでに事前に同意を取得すること
- 同意を取得したことをWebサイト管理者が証明できること
- いつでも容易に同意を撤回できること
1-2-2. 同意が不要な必須クッキー
しかし、全てのクッキーについて同意が必要な訳ではなく、商用オンラインサービスの機能を実装するために厳格に必要なクッキーは同意の取得が不要とされており、これらは通称必須クッキーと呼ばれています。欧州各国の監督機関のガイドラインでは、以下が必須クッキーの例として挙げられています。
| 必須クッキーの例 |
|---|
| 1. 利用者のクッキー設定等の同意/拒否の選択保持を目的とするもの |
| 2. ユーザー認証を目的とするもの(ロボットによるアクセスの試みを制限するものを含む) |
| 3. ログイン試行での繰り返しの失敗を検知する等のセキュリティ目的のもの |
| 4. 買い物かごの中身の記憶や購入した製品・サービスに関する利用者への請求を目的とするもの |
| 5. ユーザー・インタフェイスのカスタマイズを目的とするもの |
| 6. レスポンシブデザイン等のレイアウトを最適化するためのもの |
| 7. アクセス負荷分散を目的とするもの |
| 8. 有料ウェブサイトでの無料限度・無料期間を超えるアクセスを制限することを目的とするもの |
また、フランスの監督機関(CNIL)は、アクセス解析目的のクッキーについて、自社によるオーディエンス測定目的で、自社利用に限定してクロスサイトの測定を行わず、第三者にデータが提供されない場合に限って、必須クッキーとして扱うことができる、という見解をガイドライン *4で示しています。
1-2-3. GDPRの同意要件を満たさないNGクッキーバナー例
せっかくクッキーバナーを実装しても、GDPRの要件を満たしていない同意は無効となります。また、特にダークパターン *5の実装になっている場合には、ユーザーからのクレームも受け易く、当局から制裁を課されるリスクも高くなります。以下に、欧州各国の監督機関のガイドライン等でNGとされている典型例をご紹介します。これらのNG例は、いずれも法令違反であると同時に、ダークパターンであるともいえます。
・みなし同意
「閲覧を続ける場合、クッキーの使用に同意したものとします」と表示するだけで同意を取得したことにする、いわゆる「みなし同意」タイプのバナーです。
このような同意は、利用者による明確で肯定的な行為による同意の要件を満たさないためNGとなります。(EDPB同意ガイドライン2020/5/4 *6)
*4 https://www.cnil.fr/sites/cnil/files/atoms/files/recommandation-cookies-et-autres-traceurs.pdf
*5 ダークパターン:一般的に、Webサイトやアプリにおいて、消費者を巧みに誘導して企業側に有利な選択をさせるようなデザインやユーザーインターフェースのこと
*6 https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf
↓↓↓すべてを見るには下のボタンからeBookをダウンロードしてください。↓↓↓
-
クッキー関連のニュース
-
国内外のクッキー規制対応(ナレッジベース)
-
データマッピング&プライバシーリスク評価ツール導入・運用支援の紹介
