- 2024年 4月 25日
前回に引き続き、クッキー規制の概要と対応時の重要ポイントを解説します。
3回目(最終回)の今回は、各国のクッキー規制に効率的に対応する方法を、具体的なクッキー同意管理バナーの実装例を交えてご説明します。
各国のクッキー規制に効率的に対応するには
EUのクッキー規制に対応するには、クッキーバナー及び詳細設定画面によるクッキー利用の目的・開示先等の情報提供、クッキー利用に関するオプトイン同意の取得、同意取得の証明が最低限必要です。カリフォルニア州CCPAの規制に対応するには、情報提供に加えて、クッキー利用に関するオプトアウト機会の提供が必要です。改正後の個人情報保護法により、日本でもクッキーを利用する場合、何らかの対応が必要となる可能性があります。
また、今後、中国、ブラジル、インド、タイ等の他の主要国でもクッキー規制が本格化する可能性が高くなっています。海外で事業展開する日本企業にとっては、各国で異なるクッキー規制への対応をWebサイト管理者自らが実装することは極めて困難になりつつあります。
EUクッキー規制に準拠した実装例1
サードパーティークッキーを利用する場合、クッキーを設定する主体もGDPRに規定する「管理者」に相当。したがって、設定主体であるサードパーティーを明らかにし、設定主体による情報提供へのリンクが必要。
EUクッキー規制に準拠した実装例2
クッキー設定の目的ごとに同意・拒否を選択できることを条件として、クッキーバナー第1層で包括的な同意を求めることは許される。
(CNILガイドライン2019/7/19・CNIL推奨事項2020/1/14)
EUクッキー規制上不適切な実装例1
いわゆる閲覧を続けることを「暗黙の同意」とみなすことは許されない。同意は、利用者による明確で肯定的な行為により取得しなければならない。さらに、この実装例では、「拒否」の選択肢が提供されていない。
EUクッキー規制上不適切な実装例2
クッキー利用に同意しなければコンテンツを閲覧させない「クッキーウォール」は許されない。選択の余地がない意思表示は、法が求める自由な同意とは認められない。
IIJがサポートできること
IIJは、世界最大規模のプライバシー管理ベンダーである米国OneTrust社のクッキー同意管理バナーを利用することで、利用者の所在地をIP Geolocationのような技術で判断し、適用される規制に応じた情報提供、同意取得、オプトアウト機会提供等の対応を支援することが可能です。
IIJでは、プライバシー保護とITの専門家が、各国の規制及びツールの設定方法等の有用情報を日本語で提供することによって、お客様の各国におけるクッキー規制対応を継続的・包括的にサポートします。
<本ブログ上では、端末装置への読み書きを行う技術全般、Webサイトやモバイルアプリで利用される他の追跡技術も含め、便宜的にクッキー(Cookie)と記載しています>
