- 2024年 10月 3日
企業が直面するリスク – 未対応の場合は巨額の制裁金も –
クッキー情報を正しく扱わないと企業側にはどのようなリスクがあるのでしょうか?
まず一つ目のリスクは制裁金です。各国のプライバシー保護規制の中でも最も厳しいとされる欧州のGDPRを例に挙げますと、違反した場合、最大で2,000万ユーロ 又は 年間売り上げの4%という高額な制裁金が課されます。GDPRではクッキーのような自然人と関連付けられ得るオンライン識別子についても「個人データ」の定義に含まれ、規制の対象とされます。欧州では現在までのところGDPR、並びにePrivacy指令を元に立法された各国毎の規制により、企業に制裁金が課される事案が実例として増えてきています。
ドイツのバイエルン州の監督機関が州内の40企業のWebサイトを対象にした調査によると、多くの企業でクッキー情報を正しく取り扱っていないことがわかり、今後クッキー等に関する取り締まりを強化していくという立場を明らかにしています。オランダでもクッキー等の取得・利用の同意を拒否するとWebサイト自体が利用できなくなる通称”クッキーウォール”が明らかなGDPR違反だと明言しており、欧州全体でクッキー規制に対する意識が高まっています。
また二つ目のリスクは企業としてのレピュテーションです。EU域内には個人情報保護をうたう団体が活発に活動していて、それらの団体から違反企業として監督機関に通報された場合、制裁金をはじめ、不買運動や株主からの追求など、事業活動に大きな影響が及ぶ可能性があります。
欧州では関係法令が域外適用される場合があるので、欧州域内に拠点がなくても欧州域外で管理・運用しているWebサイトやアプリを通じて何らかのクッキー情報を取得している企業は、規制の対象となる場合があります。
一般企業だけでなく、地方公共団体なども対象となります。特にインバウンド目的で欧州圏内からの観光客向けに、観光情報やエンターテインメント情報を提供している場合は注意が必要です。
クッキー規制に正しく対応するための方法 – ツールの導入 –
では、日本企業はどのような対応するべきなのでしょうか?クッキーを管理するうえで一番簡単な方法のひとつに、クッキー同意管理ツールを利用する方法があります。クッキーポリシーの管理や、クッキー同意取得、同意撤回の機能がソフトウェアとして提供されているため、比較的簡単に、短期間で導入することが可能です。
一方で、多数ある管理ツールの中からどれが自社にあっているのか選定するのは非常に時間がかかります。また、自社のどのサイトでクッキー同意管理を行うべきかの見極めや、プライバシーポリシー内のクッキーポリシーをタイムリーにアップデートするなど、付随する業務は多数あります。さらに、同意管理ツールの多くが海外製であることもあり、自社だけで対応を行うには負荷が高いため、その点では、クッキー同意管理ツールの導入に慣れた事業者に、まずは相談されることをお勧めします。
クッキー規制への対応は法律を正しく解釈して、それを正しくWebサイトに実装することが求められるため、お客様が事業者を選ぶ際は、『技術的な知見が豊富か』と『法的な解釈にも詳しいか』の2面で検討されることをお勧めします。
IIJがお手伝いできること
IIJでは、市場を牽引し、世界で最も広範に使用されているプライバシー管理ソフトウェアのメーカーであるOneTrust社と連携し、クッキー同意管理ツールの販売を行っています。また、設定などの技術的なお手伝いはもちろんのこと、クッキーポリシーの内容や、利用同意を得るまでクッキー情報を一切取得しない“ゼロクッキーロード”の実現など、法令にあった実装と、法的観点からの的確なアドバイスやご提案が可能です。IIJはこれまでGDPRや米国カリフォルニア州のCCPA等への対応コンサルティングで多くの実績があり、各国のプライバシー法制に関して知見を高めてきました。その経験を活かして、技術的な実装と法的解釈の両面から、お客様にあった施策をご提案ができます。
また、IIJではお客様のご要件やご要望に応じた提案が可能です。特に、海外子会社も含めて自社で管理するWebサイトが多い場合に、どのサイトでどんなクッキー情報を取得しているか、クッキー利用の同意を得ているかなど本社が正しく把握できていないケースも多いですが、お客様がお持ちのサイトの調査や、実装方法などのコンサルティングをはじめとした各種サポートも行っています。本ブログでも、引き続きクッキー規制に関する様々な情報をタイムリーに提供してまいります。さらに弊社のビジネスリスクマネジメントポータル(通称BizRis)では世界のプライバシー保護規制対応を支援する情報を発信していますので、こちらも是非ご参考としてください。
距離の近いアジアと違い、欧州や米国等は日本との時差も大きく、日本本社からコントロールすることが難しいと言われています。法人が分かれていて本社からコントロールしづらい、海外子会社のWebサイト主管である現地のマーケティング担当者とのコミュニケーションが難しいなど様々な事情もありますが、特にWebサイトという最も多くの人の目に触れるものであるからこそ、正しく法令に対応しないのは非常にリスクが高いと言えると思います。クッキーへの取り締まりが今後さらに強化される前に、ぜひ一度対応を検討されてみてはいかがでしょうか?
<本ブログ上では、端末装置への読み書きを行う技術全般、Webサイトやモバイルアプリで利用される他の追跡技術も含め、便宜的にクッキー(Cookie)と記載しています>