- 2024年 11月 6日
本文中の「クッキー」は、クッキーに代表されるブラウザや端末を特定できる技術全般{デバイスフィンガープリント(DF)、Webビーコン等を含む}を指しています。
IIJでは前回の2023年7月14日版に続き、日本企業からお問合せの多い(1)52ヵ国・地域(インディアナ州とテキサス州を追加 )、(2)22調査項目(「処理記録の要否と記載内容」を追加)を対象に、この度「世界のプライバシー保護規制調査レポート【10月24日更新】」を作成しました。
今回も世界各国のクッキー(Cookie)規制について調査しており、クッキー規制を整備している国・地域は、下記の4つに分類できるようです:
1. クッキー等の規制あり (包括的な個人データ保護法令ではない、クッキー(やオンライン上の個人データ)に関する独自の規制がある場合) | 中国、EEA、日本、シンガポール、英国、カリフォルニア州 |
2. 独自の規制はないが個人データに該当する可能性が高い (クッキーが、追加的な条件がなくとも、それ自体で包括的な個人データ保護法令の規制対象となっている又はなっている可能性が高い場合) | アルゼンチン、バーレーン、ブラジル、カナダ、エジプト、ラオス、マカオ、メキシコ、モロッコ、ナイジェリア、カタール、ロシア、スイス、タイ、トルコ、アラブ首長国連邦(連邦)、アラブ首長国連邦(アブダビ)、アラブ首長国連邦(ドバイ)、コロラド州、コネティカット州、インディアナ州、テキサス州、ユタ州、バージニア州、 |
3. 独自の規制はないが、個人データに該当する場合あり (クッキーが、一定の条件下で(典型例は)、包括的な個人データ保護法令の規制対象となる場合) | オーストラリア、チリ、コスタリカ、香港、インド、インドネシア、イスラエル、ケニア、韓国、マレーシア、ニュージーランド、フィリピン、南アフリカ、台湾、ベトナム |
4. 独自の規制なし (クッキーに適用される法令について、当社の調査では現時点で見当たりません) | バングラデシュ、ブルネイ、カンボジア、ミャンマー、サウジアラビア、スリランカ |
- 赤字:今回追加した国・地域
- 特定国のプライバシー保護規制下では、クッキー等端末を特定できる技術に関する規制への遵守対応(例:オプトイン同意、情報提供義務、Do Not Track)について、注意が必要です
- アメリカの連邦法案であるADPPAは一覧表に記載しておりますが、本マップ上では表現せず、州法のみを色付けしております
プライバシーマップ上で上記4分類を国・地域別に色付けすると、下記の通りとなります:
「クッキー等に関する各国規制」の詳細情報については、下記レポートにて確認可能となっています:
ご参考までに、国内外のクッキー規制対応について、IIJ宛に最近多いお問合せは下記のようなものになります:
- 自社Webサイトがそもそもクッキー規制の対象になるのか
- 規制対象の場合、Webサイト上でポップアップ(バナー)を表示し、クッキーの利用について同意の取得を行う必要があるのか
- インターネット広告の活用におけるプライバシー保護上の留意点は何か
- 各国のプライバシー(クッキー)ポリシーに含めるべき内容は何か
IIJへのお問合せのなかには、ひそかに個人の閲覧情報を追跡しているとされているデバイスフィンガープリントに関するものも増えています。デバイスフィンガープリントのみならず、クッキー、Webビーコンやローカルストレージなど個人のネット上での行動を追跡可能なデジタル技術は様々存在します。また、今後も新しい技術が出てくることが予想されます。これらの技術は、使い方によってはプライバシー侵害を引き起こすリスクもあるため、今一度現状の利用方法について見直しをかけた方が良いかもしれません。
IIJではITセキュリティとプライバシー保護の両面を考慮して、適切なアドバイスしておりますので、お気軽にbizrisk-enquiry@iij.ad.jp までご連絡ください。
BizRis有料会員のメリット
GDPRや中国データ保護三法、カリフォルニア消費者プライバシー法等に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、BizRis有料会員様の実務上の様々なご相談にお答えします。