- 2024年 10月 3日
2020年1月29日に弊社東京本社にて、「クッキー等規制対応の重要ポイント」と題しセミナーを実施させて頂きました。本ブログ記事では、前編「各国のクッキー等規制の概要と遵守対応のポイント」・後編「導入からサポートまで!OneTrust社Cookieツールで万全な対策を」の2回に渡り、セミナーでの講演内容を要約してお伝え致します。
各国のクッキー等規制の概要と遵守対応のポイント
(登壇者:IIJビジネスリスクコンサルティング本部副本部長 鎌田 博貴)
①クッキーとプライバシー
そもそもクッキーとは何でしょうか?クッキーはブラウザに保存できる小さなテキストファイルです。ウェブサイトを初めて閲覧した利用者に対して、ウェブサイトがその利用者を識別する番号を渡します。その識別番号がクッキーに書き込まれます。利用者の認証情報、言語やフォントの選択、買い物かごに入れたアイテム、クリックした広告、読んだ記事等、クッキーに紐づいた利用者の様々な情報が記録されます。記録は、クッキーの中に埋め込む方法か、ウェブサイト側のデータベースに識別番号と紐つけて保存する方法で行われます。
利用者が閲覧しているウェブサイト(「A」とします)が他のウェブサイト(「B」とします)の情報を埋め込む場合、Bが利用者にクッキーを発行することもできます。このBが発行するクッキーが、いわゆる「サードパーティークッキー」です。これに対してAが発行する場合は「ファーストパーティクッキー」です。
Bは複数の異なるウェブサイトにおいて、利用者1人(1つのブラウザ)に対して1つのクッキーを発行することができます。ですから、利用者が沢山のウェブサイトを利用したとしても、Bは横断的にその利用者の閲覧等の情報を把握することができます。この利用者1人1人のサイト上の行動を追跡することを「クロスサイト・トラッキング」といいます。
クロスサイト・トラッキングにより、各利用者の属性が推測できます。例えば、その利用者がモーターバイクに関するサイトを多数眺めたり、モーターバイクを購入していたりすれば、その利用者はモーターバイクに興味がある、ということが推測できます。クロスサイト・トラッキングにより利用者の属性を分析し、その分析した各利用者の趣味嗜好に最も適合した広告が自動的に選択され、その利用者に表示されることが「行動ターゲティング広告(OBA)」です。
各利用者の属性が推測できる、とういことは、趣味だけではなく、自分や家族の病気、家庭内の問題、職場での悩みなど、当該利用者が他人に知られたくないと思うことも推測できてしまいます。これはプライバシーの侵害ではないか、ということから、クッキーに対して規制をしていこう、というのが現在の流れです。
②各国のクッキー規制
【EU】
EU圏は特にプライバシー保護の意識が高く、日本の憲法のような存在であるEU基本権憲章第 8 条 1 項では,「何人も自己に関する個人データの保護に対する権利を有する」という規定があります。これを受け、2002年にe-privacy directive、2009年にその改正、2018年にGDPRが制定されています。EUのクッキー規制が要求することは、おおまかに申し上げると「情報提供」と「同意の取得」です。「情報提供」とは、クッキー利用の主体・目的・態様を目的ごとに明確に説明すること、「同意の取得」とは、クッキー設定について事前にデータ主体から同意を取得することです。ただし、ウェブサイトの本来の機能を実装するために厳格に必要なクッキー(必須クッキー)は、同意が要りません。同意が必要なクッキーについては、GDPRの同意有効要件に即した方法で同意を取得する必要があります。
今「クッキー規制」と申し上げましたが、クッキーだけが規制の対象ではありません。例えば、LocalStorage(HTML5)、デバイス・フィンガープリンティング、トラッキング・ピクセル等、利用者の行動を追跡して分析することが可能であれば、規制対象となります。
【アメリカ カリフォルニア州】
カリフォルニア州消費者プライバシー法(CCPA)は、事業者が取得した消費者情報を何らかの利益を得るために第三者提供するときは、消費者にそれを分かり易い場所で説明し、消費者が第三者提供を拒否できるようにしなければなりません。
【中国】
サイバーセキュリティ法のガイドラインの一つに、カスタマイズ、パーソナライズされるコンテンツ・広告の明示とオプトアウトが義務付けされていますが、このガイドラインは、まだ正式には制定されていません。
【ブラジル】
個人データ保護法(LGPD)は、プロファイリングを目的とするクッキー利用を規制するとともに、年少者に対する広告ターゲティングを禁止しています。
【日本】
個人情報保護委員会から出された個人情報保護法改正大綱によれば、リクナビ事件を受けて、サードパーティークッキーにより取得されるネット上の行動履歴が第三者に提供され、提供先で特定の個人と紐つける事ができる場合、個人情報保護法による第三者提供規制の対象になる可能性がありますが、これから国会で審議されるので、最終的にどのような規制内容になるのかを見極める必要があります。
引き続き後編ではクッキーバナーの実装およびツールについて講演の内容をお伝えいたします。
後編はこちら
<本ブログ上では、端末装置への読み書きを行う技術全般、Webサイトやモバイルアプリで
利用される他の追跡技術も含め、便宜的にクッキー(Cookie)と記載しています>