- 2024年 7月 26日
現在、CPRA(カリフォルニア州プライバシー権法)により改正されたCCPA(カリフォルニア州消費者プライバシー法、2023年1月1日施行)及びCCPA規則(同年3月30日施行)の適用対象企業であり、かつウェブサイトにおいてクッキー等のトラッキング技術を使用したデジタルマーケティングを行っている多くの企業では、CCPA対応の一環として、ウェブサイトにクッキーバナーを実装し、現行の規制に則した消費者への情報提供(プライバシーノーティス)と、オプトアウト機会の提供を行っていらっしゃいます。CCPA違反に対する執行は2023年7月1日より開始しており、さらに、当局であるCPPA(California Privacy Protection Agency:カリフォルニア州プライバシー保護庁)も企業に対する注意喚起を公表するなど活動を活発化しているため、CCPAに則してクッキーバナーを実装している企業においても、再度、改正前のCCPA(以下「旧CCPA」)からの変更点を確認し、法令遵守対応のために留意すべき点が多く盛り込まれているCCPA規則を踏まえ、十分な対応を行うことをお勧めいたします。
本記事では、現在クッキーバナーによりCCPA対応を行っている企業ご担当者様はもちろん、これから新たに対応をご検討される企業のご担当者様向けに、CCPAに対応したクッキーバナー実装のポイントを紹介いたします。
コンテンツ
1.プライバシーノーティス(Cal. Civ. Code§1798.100(a), CCPA規則§7003, §7012)
2.オプトアウト機会の提供(Cal. Civ. Code§1798.120, §1798.135, CCPA規則§7013)
3.Opt-Out Preference Signalsへの対応(CCPA規則§7025)
4.再同意を求めるまでの期間(CCPA規則§7026(k))
5.ダークパターンの回避(CCPA規則§7004)
6.旧CCPA vs. CCPA クッキーバナー実装における主な対応項目の比較
7.IIJによるサポート
お断り
本記事上では、端末装置への読み書きを行う技術全般、ウェブサイトやモバイルアプリで利用される他の追跡技術も含め、便宜的にクッキー(Cookie)と記載しています
1.プライバシーノーティス(Cal. Civ. Code§1798.100(a), CCPA規則*§7003, §7012)
旧CCPAと同様、CCPAにおいてもクッキーやモバイル広告識別子等で収集されるデータは個人情報に該当するとされています。そして、個人情報を収集する場合、消費者に対して、収集する個人情報の種類や利用目的等についての通知が必要となります。この通知は一般的にプライバシーノーティスと呼ばれ、個人情報が収集される時点、もしくは収集される前に、消費者が読み易くて理解しやすい内容で行わなくてはいけません。クッキーを利用して個人情報を収集する場合、この通知はウェブサイトを訪問した消費者にクッキーバナーを表示することで対応ができますが、CCPAでは旧CCPAに比べてこの通知において情報提供すべき項目が増えており、収集する個人情報の種類や利用目的等に加えて、保持期間や第三者への「販売」または「共有」の有無についても情報提供する必要があります。そのため、既存のクッキーバナーに記載してある説明文を見直し、これらの情報を含んだ内容にアップデートする必要があります。
*Cal. Code Regs.
2.オプトアウト機会の提供(Cal. Civ. Code§1798.120, §1798.135, CCPA規則§7013)
旧CCPAでは事業者が他の事業者等に対して、金銭又は「価値ある対価」と引き換えに、個人情報を開示する行為は「販売」と定義されています。そして、個人情報の「販売」を行う場合、消費者にオプトアウト機会を提供する必要があります。CCPAではこの「販売」に加え、個人情報を第三者へ「共有」する場合にも、消費者にオプトアウト機会を提供することが義務付けられます。CCPAにおいて「共有」とは、金銭や「価値ある対価」と引き換えであるか否かに関わらず、サイトやアプリをまたいで収集された個人情報に基づく行動ターゲティング広告を行うために、第三者に個人情報の開示を行うことと定義されています。旧CCPAでは、行動ターゲティング広告のために、サードパーティクッキーにより収集した閲覧履歴等を広告配信事業者等に共有することについて、これが「販売」に該当するかどうかについて議論がありましたが、CCPAでは、議論の余地なく消費者へのオプトアウト機会の提供が求められます。
そして、オプトアウト機会の具体的な提供方法はCCPA規則で幾つかの有効とされる方法が示され、それぞれの方法における要件が規定されていますが、クッキーバナーを利用してオプトアウト機会を提供する場合の留意すべき実装のポイントは概ね以下となります。
- プライバシーノーティスとして表示する第1層のクッキーバナーにおいて、「Do Not Sell or Share My Personal Information」というタイトルのリンクを設置
※旧CCPA対応として既に「Do Not Sell My Personal Information」のリンクを設置している場合「Do Not Sell or Share My Personal Information」へタイトルを変更する - 「Do Not Sell or Share My Personal Information」リンクがクリックされた場合には、第2層のクッキーバナーを表示し、消費者のオプトアウト権についての説明を記載すると共に、実際にオプトアウトの操作を可能とするインターフェース(トグルスイッチ等)を用意する
- ウェブサイトのホームページ(トップページ)のヘッダー、またはフッターにも、「Do Not Sell or Share My Personal Information」というタイトルのリンクを設置し、当該リンクから第2層バナーを呼びだして、いつでもオプトアウトを可能とする
- 消費者からのオプトアウト要求に対して、特定の利用目的についてのみ、オプトアウトする選択肢を提示することも可能。しかし、その場合は他の目的も含めたすべての目的について一括オプトアウトする機会も同時に提供することが条件となる(CCPA規則§7026(h))。そのため、クッキーバナーにおいて、クッキーの利用目的ごとのオプトアウトボタン(トグルスイッチ)のみになっている場合は、一括オプトアウトボタンの設置を行う
3.Opt-Out Preference Signalsへの対応(CCPA規則§7025)
CCPA対応を行ううえで、もう一つ、オプトアウトに関連した重要な規定として「Opt-Out Preference Signals」への対応があります。個人情報の「売却」又は「共有」を行う事業者は「Opt-Out Preference Signals」を消費者の有効なオプトアウトの要求として扱わなければいけません(CCPA規則§7025(b))。「Opt-Out Preference Signals」とは、代表的には Global Privacy Control(GPC)が当てはまります。GPCとは、ユーザーが使っているウェブブラウザからウェブサイト側にオプトアウト要求の信号を送る設定のことで、Mozilla Firefox、Duck Duck Go、Braveなどの一部のウェブブラウザで実装されており、Chrome等でもブラウザの拡張機能を使うことで利用可能になります。このGPCがブラウザで有効になっていると、閲覧するウェブサイトに対してオプトアウト要求が自動送信されるようになり、ウェブサイト管理者側が適切にこの信号を処理することで、ユーザーはウェブサイトごとにオプトアウトを行う必要がなくなります。
このGPCは、旧CCPAにおいても、事業者側はこのGPCの信号を消費者からの有効なオプトアウト要求として扱わなければいけないことが規定されています。CCPAでは、それが踏襲されつつ、さらに細かい取扱いのルール(下記、「6.旧CCPA vs. CCPA クッキーバナー実装における主な対応項目の比較」ご参照)がCCPA規則で定められています。
なお、上記の点に関しては、旧CCPAの下で、GPCへの対応不備による執行例(※)が既に出ているため、早急な対応が必要です。OneTrustのクッキーバナーでは、GPCの信号を消費者からの有効なオプトアウト要求として取扱い、自動的にクッキーの制御に反映させることが可能です。既にOneTrustのクッキーバナーを導入されているお客様は、管理画面から以下の手順で、現在のGPCの設定をご確認頂けます。新たにGPCの受信機能を有効にする等、設定の変更を行った場合は、スクリプトの再公開が必要ですのでご留意ください。
【OneTrustクッキーバナーでのGPC設定】
管理画面にログイン > ツールメニュー > ジオロケーションルール > 「Cookieカテゴリ」から設定
※2022年8月、カリフォルニア州当局により化粧品小売大手セフォラのCCPA違反に対する執行措置が取られた事例(参考リンク:https://portal.bizrisk.iij.jp/news/865)
4.再同意を求めるまでの期間(CCPA規則§7026(k))
一度オプトアウトをした消費者に再度同意を求める場合、オプトアウトされた時点から最低でも12ヵ月は待たなければいけません。そのため、クッキーバナーの再表示までの期間は最低12ヵ月以上とする必要があります。OneTrustのクッキーバナーを導入されているお客様は、管理画面から以下の手順で、クッキーバナーの再表示までの期間の設定の確認・変更を行って頂けます。
【OneTrustクッキーバナーの再表示期間変更】
管理画面にログイン > ツールメニュー > ジオロケーションルール > 「再同意を以下の間隔で取得する」から設定
5.ダークパターンの回避(CCPA規則§7004)
ダークパターンは、ウェブサイトやアプリ等で、人々の意図に反して何かの購入や、申し込み行動を取らせるために使われるトリックの総称として最近浸透してきている言葉ですが、特に欧米では規制が進んできており、CCPAでも”ダークパターン”への規制が強化されています*。消費者からのオプトアウト要求を受ける際や、一度オプトアウトをした消費者からオプトイン同意を取得する際等にダークパターンを用いてはならず、そうして取得した同意は無効となります。ダークパターンを用いたクッキーバナーの例として、オプトイン手続きに比べ、オプトアウトをするための手続きに、より多くのステップが必要となっている場合や、トグルスイッチをONにした場合とOFFにした場合でどちらの時にオプトアウトが実行されるか分かりにくく、説明が不足している場合等が挙げられます。自社のクッキーバナーがこうしたダークパターンに該当していないか、必要に応じて設定の見直しを行ってください。
*ダークパターン規制については、以下のナレッジベースの記事もご参考にしてください。
欧米でのダークパターン規制の動向と日本企業に求められる対応
6.旧CCPA vs. CCPA クッキーバナー実装における主な対応項目の比較
以上のポイントを踏まえ、旧CCPAとCCPAにおける主な対応項目の違いを簡易的な比較表にまとめました。赤字で記載した項目が、旧CCPAから変更となる項目、またはCCPAより新たに対応が必要となる項目となります。
| 項目 | CCPA | CPRA |
|---|---|---|
|
1. プライバシーノーティス |
以下項目を記載 |
以下項目を記載 ・収集する個人情報の種類のリスト ・個人情報の利用の目的 ・個人情報保持期間 ・個人情報の第三者への「販売」または「共有」の有無 ・個人情報を第三者に「販売」または「共有」する場合、オプトアウトページへのリンク(リンク名「Do Not Sell or Share My Personal Information」) ・プライバシーポリシーへのリンク |
|
2. オプトアウト機会の提供 |
・個人情報の「販売」を行う場合、消費者にオプトアウト機会を提供 |
・個人情報の「販売」または「共有」を行う場合、消費者にオプトアウト機会を提供 |
|
3. Opt-Out Preference Signals(≒GPC)への対応 |
・当該信号を消費者の有効なオプトアウトの要求として扱わなければならない |
・当該信号を消費者の有効なオプトアウトの要求として扱わなければならない |
|
4. 再同意を求めるまでの期間 |
(特に規定なし) | 一度オプトアウトをした消費者に再度同意を求める場合、オプトアウトされた時点から最低でも12か月は待たなければならない |
|
5. ダークパターンの回避 |
オプトイン手続きに比べ、オプトアウト手続きにより多くのステップを必要としたり、トグルスイッチのONとOFFでどちらの時にオプトアウトが実行されるか分かりづらい等のダークパターンを用いてはならない |
7.IIJによるサポート
IIJでは、OneTrustのクッキーバナーをご利用中のお客様およびこれからOneTrustのクッキーバナーを導入してCCPA対応を実施されたいお客様向けに、ツール設定や、プライバシーノーティスのドラフト作成等各種サポートが可能です。もし自社でのご対応にご不安やお困りのことがございましたら、お気軽にbizrisk-enquiry@iij.ad.jpまでご連絡ください。
留意事項:
●本記事では2023年1月1日に施行されたCCPA及び同年3月30日に施行されたCCPA規則を元に解説しており、今後の改正等により内容が変更となる可能性があります。
●本記事に掲載している内容はあくまでもCCPAに適合したクッキーバナーの実装上のポイントを簡略的に記載したものであり、実際には状況によりその他の対応や設定が必要となる場合があります。また、本記事はクッキーバナーにより対応ができる範囲以外を含めたCCPAの規制全体を解説したものではございませんのでご留意ください。
