世界のプライバシー保護規制対応を支援するサイト

今すぐ会員登録する
個別説明ご希望の方
無料資料ダウンロード

セミナーレポート「各国のクッキー等規制の概要と遵守対応のポイント」

  • 2020年 3月 4日

2020年1月29日に弊社東京本社にて、「クッキー等規制対応の重要ポイント」と題しセミナーを実施させて頂きました。本ブログ記事では、前編「各国のクッキー等規制の概要と遵守対応のポイント」・後編「導入からサポートまで!OneTrust社Cookieツールで万全な対策を」の2回に渡り、セミナーでの講演内容を要約してお伝え致します。

各国のクッキー等規制の概要と遵守対応のポイント

(登壇者:IIJビジネスリスクコンサルティング本部副本部長 鎌田 博貴)

①クッキーとプライバシー

そもそもクッキーとは何でしょうか?クッキーはブラウザに保存できる小さなテキストファイルです。ウェブサイトを初めて閲覧した利用者に対して、ウェブサイトがその利用者を識別する番号を渡します。その識別番号がクッキーに書き込まれます。利用者の認証情報、言語やフォントの選択、買い物かごに入れたアイテム、クリックした広告、読んだ記事等、クッキーに紐づいた利用者の様々な情報が記録されます。記録は、クッキーの中に埋め込む方法か、ウェブサイト側のデータベースに識別番号と紐つけて保存する方法で行われます。

利用者が閲覧しているウェブサイト(「A」とします)が他のウェブサイト(「B」とします)の情報を埋め込む場合、Bが利用者にクッキーを発行することもできます。このBが発行するクッキーが、いわゆる「サードパーティークッキー」です。これに対してAが発行する場合は「ファーストパーティクッキー」です。

Bは複数の異なるウェブサイトにおいて、利用者1人(1つのブラウザ)に対して1つのクッキーを発行することができます。ですから、利用者が沢山のウェブサイトを利用したとしても、Bは横断的にその利用者の閲覧等の情報を把握することができます。この利用者1人1人のサイト上の行動を追跡することを「クロスサイト・トラッキング」といいます。

クロスサイト・トラッキングにより、各利用者の属性が推測できます。例えば、その利用者がモーターバイクに関するサイトを多数眺めたり、モーターバイクを購入していたりすれば、その利用者はモーターバイクに興味がある、ということが推測できます。クロスサイト・トラッキングにより利用者の属性を分析し、その分析した各利用者の趣味嗜好に最も適合した広告が自動的に選択され、その利用者に表示されることが「行動ターゲティング広告(OBA)」です。

各利用者の属性が推測できる、とういことは、趣味だけではなく、自分や家族の病気、家庭内の問題、職場での悩みなど、当該利用者が他人に知られたくないと思うことも推測できてしまいます。これはプライバシーの侵害ではないか、ということから、クッキーに対して規制をしていこう、というのが現在の流れです。

②各国のクッキー規制

【EU】

EU圏は特にプライバシー保護の意識が高く、日本の憲法のような存在であるEU基本権憲章第 8 条 1 項では,「何人も自己に関する個人データの保護に対する権利を有する」という規定があります。これを受け、2002年にe-privacy directive、2009年にその改正、2018年にGDPRが制定されています。EUのクッキー規制が要求することは、おおまかに申し上げると「情報提供」と「同意の取得」です。「情報提供」とは、クッキー利用の主体・目的・態様を目的ごとに明確に説明すること、「同意の取得」とは、クッキー設定について事前にデータ主体から同意を取得することです。ただし、ウェブサイトの本来の機能を実装するために厳格に必要なクッキー(必須クッキー)は、同意が要りません。同意が必要なクッキーについては、GDPRの同意有効要件に即した方法で同意を取得する必要があります。

今「クッキー規制」と申し上げましたが、クッキーだけが規制の対象ではありません。例えば、LocalStorage(HTML5)、デバイス・フィンガープリンティング、トラッキング・ピクセル等、利用者の行動を追跡して分析することが可能であれば、規制対象となります。

【アメリカ カリフォルニア州】

カリフォルニア州消費者プライバシー法(CCPA)は、事業者が取得した消費者情報を何らかの利益を得るために第三者提供するときは、消費者にそれを分かり易い場所で説明し、消費者が第三者提供を拒否できるようにしなければなりません。

【中国】

サイバーセキュリティ法のガイドラインの一つに、カスタマイズ、パーソナライズされるコンテンツ・広告の明示とオプトアウトが義務付けされていますが、このガイドラインは、まだ正式には制定されていません。

【ブラジル】

個人データ保護法(LGPD)は、プロファイリングを目的とするクッキー利用を規制するとともに、年少者に対する広告ターゲティングを禁止しています。

【日本】

個人情報保護委員会から出された個人情報保護法改正大綱によれば、リクナビ事件を受けて、サードパーティークッキーにより取得されるネット上の行動履歴が第三者に提供され、提供先で特定の個人と紐つける事ができる場合、個人情報保護法による第三者提供規制の対象になる可能性がありますが、これから国会で審議されるので、最終的にどのような規制内容になるのかを見極める必要があります。

引き続き後編ではクッキーバナーの実装およびツールについて講演の内容をお伝えいたします。

後編はこちら

 

<本ブログ上では、端末装置への読み書きを行う技術全般、Webサイトやモバイルアプリで
利用される他の追跡技術も含め、便宜的にクッキー(Cookie)と記載しています>

SNSで記事をシェア

関連記事

3月28日、シンガポール監督機関PDPCは、「デジタル環境における児童の個人情報の保護に関するアドバイザリー・ガイドライン」を公表した。本ガイドラインは、SNSなどのデジタル環境における児童の個人データとプライバシーの保護に注目した内容となっている。
  • 2024年 4月 9日
シンガポール 監督機関PDPC デジタル環境における児童個人データ保護に関するガイド…
Google LLCは、シークレットモードを利用したブラウジングデータをユーザーの同意なく収集したとして、Googleに対して提起されていた集団訴訟に関し、過去に収集した数十億件のシークレットモードでのブラウジングデータを削除する旨の和解に合意した。
  • 2024年 4月 8日
Google シークレットモードで収集された数十億件の閲覧データの破棄に同意
韓国個人情報保護委員会(개인정보보호위원회)は、4月4日同国の個人情報保護法が同国外の事業者に適用される条件を明らかにする「海外事業者の個人情報保護法適用ガイド」を公開した
  • 2024年 4月 8日
韓国当局 PIPA域外適用ガイドラインを公表
デンマークのデータ保護当局Datatilsynetは、2024年2月14日、デンマークのメディア企業であるBerlingske Media A/Sに対し、同社WebサイトのクッキーウォールがGDPRに違反するとして、同社に対して、本クッキーウォールを是正するよう命じた。
  • 2024年 4月 4日
デンマーク メディア企業にクッキーウォールの是正命令
中国データ保護関連法令関連法規・ガイドライン一覧
  • 2024年 3月 21日
【更新】中国データ保護関連法令関連法規・ガイドライン一覧
オンライン相談ルーム
IIJのコンサルタントへ質問や
作業支援の依頼が可能です
3分でわかるBizRis動画
BizRis公式アカウントを
フォローして最新情報をチェック
よくあるご質問
世界のプライバシー保護規制調査レポート
マンガページトップ

アクセスランキング

1
2
3
4
5
無料eBook一覧

欧米日クッキー規制対応のバナー実装と運用ルール策定時のポイント

Google Analyticsと改正個人情報保護法~法令遵守上のポイントと透明性確保の重要性
IIJのプライバシー保護規制
対応ソリューション

個別説明をお申込希望の方

個別説明をお申し込み希望の方は以下のフォームをご記入の上、送信ボタンを押してください

*のある項目は入力必須です。