- 2024年 11月 6日
現在、CCPA(カリフォルニア州消費者プライバシー法)の適用対象企業であり、かつウェブサイトにおいてクッキー等のトラッキング技術を使用したデジタルマーケティングを行っている多くの企業では、CCPA対応の一環として、ウェブサイトにクッキーバナーを実装し、現行の規制に則した消費者への情報提供(プライバシーノーティス)と、オプトアウト機会の提供を行っていらっしゃいます。そのような中、この度、現行のCCPAを改正・強化するCPRA(カリフォルニア州プライバシー権法)が2023年1月1日に施行されます。現在、CPRAを遵守するために必要な事項を定めたCPRA規則が2度のパブリックコメント募集を経て制定中であり、遅くとも2023年前半までに施行されると考えられます。CPRA違反に対する執行は2023年7月1日より開始となりますが、現在制定中の規則案では、現行のCCPAに則してクッキーバナーを実装している企業において、CCPAからの変更点や継続した法令遵守対応のために留意すべき点が多く盛り込まれているため、早めに準備を行うことをお勧めいたします。
本記事では、現在クッキーバナーによりCCPA対応を行っている企業ご担当者様はもちろん、これから新たに対応をご検討される企業のご担当者様向けに、現在制定中の規則案の内容を元に、CPRAに対応したクッキーバナー実装のポイントを紹介いたします。
コンテンツ
1. プライバシーノーティス(Cal. Civ. Code§1798.100(a), CPRA規則案§7003, §7012)
2. オプトアウト機会の提供(Cal. Civ. Code§1798.120, §1798.135, CPRA規則案§7013)
3. Opt-Out Preference Signalsへの対応(CPRA規則案§7025)
4. 再同意を求めるまでの期間(CPRA規則案§7026(k))
6. CCPA vs. CPRA クッキーバナー実装における主な対応項目の比較
7. IIJによるサポート(CPRA規則案§7026(k))
お断り
本記事上では、端末装置への読み書きを行う技術全般、ウェブサイトやモバイルアプリで利用される他の追跡技術も含め、便宜的にクッキー(Cookie)と記載しています
1. プライバシーノーティス(Cal. Civ. Code§1798.100(a), CPRA規則案§7003, §7012)
現行のCCPAと同様、CPRAにおいてもクッキーやモバイル広告識別子等で収集されるデータは個人情報に該当するとされています。そして、個人情報を収集する場合、消費者に対して、収集する個人情報の種類や利用目的等についての通知が必要となります。この通知は一般的にプライバシーノーティスと呼ばれ、個人情報が収集される時点、もしくは収集される前に、消費者が読み易くて理解しやすい内容で行わなくてはいけません。クッキーを利用して個人情報を収集する場合、この通知はウェブサイトを訪問した消費者にクッキーバナーを表示することで対応ができますが、CPRAではCCPAに比べてこの通知において情報提供すべき項目が増えており、収集する個人情報の種類や利用目的等に加えて、保持期間や第三者への「販売」または「共有」の有無についても情報提供する必要があります。そのため、既存のクッキーバナーに記載してある説明文を見直し、これらの情報を含んだ内容にアップデートする必要があります。
2. オプトアウト機会の提供(Cal. Civ. Code§1798.120, §1798.135, CPRA規則案§7013)
現行のCCPAでは事業者が他の事業者等に対して、金銭又は「価値ある対価」と引き換えに、個人情報を開示する行為は「販売」と定義されています。そして、個人情報の「販売」を行う場合、消費者にオプトアウト機会を提供する必要があります。CPRAではこの「販売」に加え、個人情報を第三者へ「共有」する場合にも、消費者にオプトアウト機会を提供することが義務付けられます。CPRAにおいて「共有」とは、金銭や「価値ある対価」と引き換えであるか否かに関わらず、サイトやアプリをまたいで収集された個人情報に基づく行動ターゲティング広告を行うために、第三者に個人情報の開示を行うことと定義されています。CCPAでは、行動ターゲティング広告のために、サードパーティクッキーにより収集した閲覧履歴等を広告配信事業者等に共有することについて、これが「販売」に該当するかどうかについて議論がありましたが、CPRAでは、議論の余地なく消費者へのオプトアウト機会の提供が求められます。
そして、オプトアウト機会の具体的な提供方法はCPRA規則案で幾つかの有効とされる方法が示され、それぞれの方法における要件が規定されていますが、クッキーバナーを利用してオプトアウト機会を提供する場合の留意すべき実装のポイントは概ね以下となります。
- プライバシーノーティスとして表示する第1層のクッキーバナーにおいて、「Do Not Sell or Share My Personal Information」というタイトルのリンクを設置 ※CCPA対応として既に「Do Not Sell My Personal Information」のリンクを設置している場合「Do Not Sell or Share My Personal Information」へタイトルを変更する
- 「Do Not Sell or Share My Personal Information」リンクがクリックされた場合には、第2層のクッキーバナーを表示し、消費者のオプトアウト権についての説明を記載すると共に、実際にオプトアウトの操作を可能とするインターフェース(トグルスイッチ等)を用意する
- ウェブサイトのホームページ(トップページ)のヘッダー、またはフッターにも、「Do Not Sell or Share My Personal Information」というタイトルのリンクを設置し、当該リンクから第2層バナーを呼びだして、いつでもオプトアウトを可能とする
- 消費者からのオプトアウト要求に対して、特定の利用目的についてのみ、オプトアウトする選択肢を提示することも可能。しかし、その場合は他の目的も含めたすべての目的について一括オプトアウトする機会も同時に提供することが条件となる(規則案§7026(h))。そのため、クッキーバナーにおいて、クッキーの利用目的ごとのオプトアウトボタン(トグルスイッチ)のみになっている場合は、一括オプトアウトボタンの設置を行う
3. Opt-Out Preference Signalsへの対応(CPRA規則案§7025)
CPRA対応を行ううえで、もう一つ、オプトアウトに関連した重要な規定として「Opt-Out Preference Signals」への対応があります。個人情報の「売却」又は「共有」を行う事業者は「Opt-Out Preference Signals」を消費者の有効なオプトアウトの要求として扱わなければいけません(CPRA規則案§7025(b))。「Opt-Out Preference Signals」とは、代表的には Global Privacy Control(GPC)が当てはまります。GPCとは、ユーザーが使っているウェブブラウザからウェブサイト側にオプトアウト要求の信号を送る設定のことで、Mozilla Firefox、Duck Duck Go、Braveなどの一部のウェブブラウザで実装されており、Chrome等でもブラウザの拡張機能を使うことで利用可能になります。このGPCがブラウザで有効になっていると、閲覧するウェブサイトに対してオプトアウト要求が自動送信されるようになり、ウェブサイト管理者側が適切にこの信号を処理することで、ユーザーはウェブサイトごとにオプトアウトを行う必要がなくなります。
このGPCは、既に現行のCCPAにおいても、事業者側はこのGPCの信号を消費者からの有効なオプトアウト要求として扱わなければいけないことが規定されています。CPRAでは、それが踏襲されつつ、さらに細かい取扱いのルール(下記、「6.CCPA vs. CPRA クッキーバナー実装における主な対応項目の比較」ご参照)がCPRA規則案で定められています。
なお、現行のCCPAの下で、GPCへの対応不備による執行例(※)が既に出ているため、CPRAの執行が開始される2022年7月1日を待たずに早急な対応が必要です。OneTrustのクッキーバナーでは、GPCの信号を消費者からの有効なオプトアウト要求として取扱い、自動的にクッキーの制御に反映させることが可能です。現在既にOneTrustのクッキーバナーを導入されているお客様は、管理画面から以下の手順で、現在のGPCの設定をご確認頂けます。新たにGPCの受信機能を有効にする等、設定の変更を行った場合は、スクリプトの再公開が必要ですのでご留意ください。
【OneTrustクッキーバナーでのGPC設定】
管理画面にログイン > ツールメニュー > ジオロケーションルール > 「Cookieカテゴリ」から設定
※2022年8月、カリフォルニア州当局により化粧品小売大手セフォラのCCPA違反に対する執行措置が取られた事例(参考リンク:https://portal.bizrisk.iij.jp/news/865)
4. 再同意を求めるまでの期間(CPRA規則案§7026(k))
一度オプトアウトをした消費者に再度同意を求める場合、オプトアウトされた時点から最低でも12ヵ月は待たなければいけません。そのため、クッキーバナーの再表示までの期間は最低12ヵ月以上とする必要があります。OneTrustのクッキーバナーを導入されているお客様は、管理画面から以下の手順で、クッキーバナーの再表示までの期間の設定の確認・変更を行って頂けます。
【OneTrustクッキーバナーの再表示期間変更】
管理画面にログイン > ツールメニュー > ジオロケーションルール > 「再同意を以下の間隔で取得する」から設定
5. ダークパターンの回避(CPRA規則案§7004)
ダークパターンは、ウェブサイトやアプリ等で、人々の意図に反して何かの購入や、申し込み行動を取らせるために使われるトリックの総称として最近浸透してきている言葉ですが、特に欧米では規制が進んできており、今回CPRAでも”ダークパターン”への規制が強化されています。消費者からのオプトアウト要求を受ける際や、一度オプトアウトをした消費者からオプトイン同意を取得する際等にダークパターンを用いてはならず、そうして取得した同意は無効となります。ダークパターンを用いたクッキーバナーの例として、オプトイン手続きに比べ、オプトアウトをするための手続きに、より多くのステップが必要となっている場合や、トグルスイッチをONにした場合とOFFにした場合でどちらの時にオプトアウトが実行されるか分かりにくく、説明が不足している場合等が挙げられます。自社のクッキーバナーがこうしたダークパターンに該当していないか、必要に応じて設定の見直しを行ってください。
6. CCPA vs. CPRA クッキーバナー実装における主な対応項目の比較
以降のコンテンツは会員限定となりますのでログインしてご覧ください。
※無料会員でご覧になれます。