多くの企業でDXによる個人データ利活用が進められる中、クッキーやその類似テクノロジーによるユーザーデータの収集や利活用に対する規制が世界各国で強化されてきています。
欧州では引き続きGDPR(一般データ保護規則)違反による制裁事例が多く出ており、こうした事例からの学びも踏まえてクッキーバナーの実装を行うことが重要です。
米国ではCPRA(カリフォルニア州プライバシー権法)による改正を受けて、2023年1月1日に施行された新CCPA(カリフォルニア州消費者プライバシー法)により、Opt-Out Preference Signalsへの対応をはじめ、Webサイト管理者が留意すべきクッキーバナー実装に関連した多くの規定が盛り込まれています。 日本ではクッキーの利用に関わる規制として、主に、2022年4月1日に施行された改正個人情報保護法より新設された個人関連情報第三者提供規制、そして今年2023年6月16日に施行された改正電気通信事業法より新設された外部送信規律の2つの規制があります。
本書では、グローバルに事業を展開されている企業様の関心が特に高い欧州・米国・日本におけるクッキー規制の内容を分かり易くまとめ、クッキーバナーの実装により法令遵守対応を行う上での重要ポイントと、クッキーバナーを導入した後に必要となる運用のための社内ルールに定めるべき内容について詳細に解説いたします。
●GDPR *1・CCPA *2・個人情報保護法・改正電気通信事業法のクッキー規制の内容を解説
●各規制に対応するためのクッキーバナー実装上のポイントを紹介
●クッキーバナー運用ルールに定めるべき事項について解説
●新規クッキーを追加する場合のクッキーバナーアップデート作業の手順を紹介
●IIJサービスの紹介
*1 General Data Protection Regulation:一般データ保護規則
*2 California Consumer Privacy Act:カリフォルニア州消費者プライバシー法
留意事項:
お断り:
↓↓↓すべてを見るには下のボタンからeBookをダウンロードしてください。↓↓↓
下記の世界地図は、2023年7月時点での世界各国のクッキー規制の整備状況を表したものです。
出典:IIJビジネスリスクマネジメントポータル(BizRis)
オレンジは、クッキーの取扱いについて独自の規制がある国、黄色は独自の規制はありませんが、クッキーにより取得されるデータも個人データに該当する、もしくは該当する可能性が高く、プライバシー保護法の下で規制対象になると考えられる国、濃い緑はクッキーにより取得されるデータも個人を特定できるその他の情報と紐づけられることによって規制対象となる場合がある国となっています。
欧州では、GDPRとePrivacy指令によりクッキーの取扱いが規制されています。GDPRでは、個人を直接特定することはなくブラウザを一意に識別するに留まるクッキーも、間接的に個人を特定し得るため、ほとんどの場合個人データに該当し保護の対象となります。ePrivacy指令は、電子通信における秘匿性の確保とプライバシー権の保護のためのルールを定めている指令で、その内容は欧州各国において国内法として取り入れられています。ePrivacy指令では、個人データであるかどうかに関わらず、クッキーを利用した電子通信端末装置の読み書き機能の利用が規制されています。なお、英国においてもUK GDPRそしてePrivacy指令を取り込んだ国内法であるPECR *3によって同様の規制がされています。
欧州におけるクッキー規制の内容を一言でいえば、「クッキーの取得と利用について、ユーザー(データ主体)に対して明確かつ包括的な情報提供とオプトインによる同意取得が必要」となります。
有効な同意の要件はGDPRによって定められており、概ね以下の通りです。これらの要件を満たさない同意は無効となります。
しかし、全てのクッキーについて同意が必要な訳ではなく、商用オンラインサービスの機能を実装するために厳格に必要なクッキーは同意の取得が不要とされており、これらは通称必須クッキーと呼ばれています。欧州各国の監督機関のガイドラインでは、以下が必須クッキーの例として挙げられています。
必須クッキーの例 |
---|
1. 利用者のクッキー設定等の同意/拒否の選択保持を目的とするもの |
2. ユーザー認証を目的とするもの(ロボットによるアクセスの試みを制限するものを含む) |
3. ログイン試行での繰り返しの失敗を検知する等のセキュリティ目的のもの |
4. 買い物かごの中身の記憶や購入した製品・サービスに関する利用者への請求を目的とするもの |
5. ユーザー・インタフェイスのカスタマイズを目的とするもの |
6. レスポンシブデザイン等のレイアウトを最適化するためのもの |
7. アクセス負荷分散を目的とするもの |
8. 有料ウェブサイトでの無料限度・無料期間を超えるアクセスを制限することを目的とするもの |
また、フランスの監督機関(CNIL)は、アクセス解析目的のクッキーについて、自社によるオーディエンス測定目的で、自社利用に限定してクロスサイトの測定を行わず、第三者にデータが提供されない場合に限って、必須クッキーとして扱うことができる、という見解をガイドライン *4で示しています。
せっかくクッキーバナーを実装しても、GDPRの要件を満たしていない同意は無効となります。また、特にダークパターン *5の実装になっている場合には、ユーザーからのクレームも受け易く、当局から制裁を課されるリスクも高くなります。以下に、欧州各国の監督機関のガイドライン等でNGとされている典型例をご紹介します。これらのNG例は、いずれも法令違反であると同時に、ダークパターンであるともいえます。
「閲覧を続ける場合、クッキーの使用に同意したものとします」と表示するだけで同意を取得したことにする、いわゆる「みなし同意」タイプのバナーです。
このような同意は、利用者による明確で肯定的な行為による同意の要件を満たさないためNGとなります。(EDPB同意ガイドライン2020/5/4 *6)
*4 https://www.cnil.fr/sites/cnil/files/atoms/files/recommandation-cookies-et-autres-traceurs.pdf
*5 ダークパターン:一般的に、Webサイトやアプリにおいて、消費者を巧みに誘導して企業側に有利な選択をさせるようなデザインやユーザーインターフェースのこと
*6 https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf
↓↓↓すべてを見るには下のボタンからeBookをダウンロードしてください。↓↓↓