GDPR対策してますか?


Webビジネスが進み、個人情報は様々なサンプルが取れる貴重なデータです。
多くのWebサイトがCookieを設置し、個人情報の利用に同意を求め、リソースにしようとしています。
EUで2018年5月施行された、GDPR(一般データ保護規則)により個人情報の取り扱いが厳重化され、そこからアメリカやアジア圏まで、個人情報保護への強化が世界的広がりました。
GDPRの内容は、Cookieも個人情報として扱う可能性が高いため、規制に対して適切な対応が求められます。
万が一、法に抵触しペナルティを受けた場合、数億円以上の罰金を科せられる恐れもあります。

今回は、Cookieの適切な対応方法や、GDPRとの関連性などをまとめていきます。

そもそもCookieとは?


Cookieとは、WebサイトやWebサーバーにアクセスしたユーザーの情報を、ブラウザに保存するものです。
例えば、ログイン情報やフォームに入力した内容が保存されるため、Cookieを有効化したブラウザであれば、2回目以降のログインでは各入力項目のステップを省くことができます。
広告をクリックした時にも、ユーザー情報の保存は機能し、これがリターゲティング広告に適用されています。

Cookieの種類

Cookieは、「1st party Cookie」と「3rd party Cookie」の2種類があり、管理する情報の範囲や、目的が異なります。
1st party Cookieは、サイト内のアクセス情報のみを基本的に管理し、ログイン情報やフォームの入力内容などを保存します。
3rd party Cookieは、複数のサイトを横断的に管理可能で、ユーザー行動を追従してデータの蓄積ができます。これがリターゲティング広告の仕組みとなっています。
個人情報保護の観点からすると、個人関連情報の多さから個人を特定できる可能性が高く、利用を規制とするブラウザが増えてきています。

GDPRとは?Cookieとの関連性について


日本では現在、Cookieは個人情報に該当していませんが、GDPR(EUの「個人データの保護」を規定とする法)では、Cookie情報を様々な情報と照合し、個人を特定できれば個人情報に該当すると定められています。
米カリフォルニア州では、CCPA「カリフォルニア州消費者プライバシー法」が施行され、世界中で個人データの保護が強化されています。

2022年6月頃までに対応

2020年6月に「個人情報保護法改正案」が可決され、2年以内に施行される予定となり、各企業は2022年6月までの対応が必要と考えらます。
この法案に「同意取得確認義務」があり、個人関連情報を第三者に提供し様々なデータと紐付けて個人情報を特定できる場合、本人の同意が必要になるという内容です。
Cookieや閲覧履歴・購買履歴などを第三者に提供する場合においても、同意が必要になります。

Cookieの同意取得方法

個人関連情報取扱事業者となり得る場合、Cookieの同意取得が必要になります。
同意取得の方法としては、「クッキーポリシーの文言」と「同意取得ボタン」が載せられたポップアップを、サイトに流入した際に表示するのが良いでしょう。
同意を得ないCookie情報を第三者へ提供した場合、ペナルティの恐れがあり、多額の罰金を科せられる可能性があります。

避けたほうが良い表現

  • Cookieウォール
  • Cookieスクロール

上記のCookieの同意取得方法とは別に、避けたほうが良い表現もあります。
それが、「Cookieウォール」と「Cookieスクロール」です。
「Cookieウォール」は、同意取得ボタンがポップアップ表示されるのですが、それが画面いっぱいに表示され、同意しないとWebサイトを利用できない仕組みです。
「Cookieスクロール」は、これを適用しているWebサイトをスクロールしていると、利用規約やCookieポリシーに同意したと見なすものです。
これら2つは、いずれもユーザー側に選択の自由が与えられたとみなされず、同意取得が認められない可能性が高いです。
何より、個人情報(個人関連情報)の利用を強制的に同意させる行為が、ユーザーからの不信感強まるので、これら2つの表現は避けましょう。

ペナルティ

上記に、同意を得ないCookie情報を第三者へ提供した場合、多額の罰金を科せられる可能性があると書きました。
フランスでは、①約47億円、②約134億円という多額の罰金が科せられた事例があります。
日本でも、Cookieの取り扱いや管理を誤り、ペナルティを受ける可能性は十分にありますので、しっかりと対応しましょう。

まとめ

EUで施行された「GDPR」、日本でも「個人情報保護法改正案」により個人情報の取り扱いが強化され、それに伴いCookie規制も強化されるようになっていきます。
多くのサイトでCookieの同意のポップアップが表示されるのは、これらの対策にあわせて行っているわけです。
煩わしく感じるかもしれませんが、ユーザーの信頼性への影響や、ペナルティを防ぐための、リスクヘッジとも言えます。
まだ対応していない方はこの機会にぜひご検討ください。
お問い合わせはこちら

Written by