【緊急座談会】全世界で強化される“Cookie規制” 日本企業はどこまで対応すべき?
2018年5月にEUでGDPR(一般データ保護規則)が施行されて1年以上が経過した。大手企業はようやく一次対応を終えたところだろうが、これで安心しているわけにはいかない。次のステップとして着手しなければならないのが、今年4月から7月にかけてドイツ、フランス、イギリスで相次いで発表された「eプライバシー指令」などに基づくCookie規制強化への対応だ。
日本企業はこれにどう対応し、どのようにビジネスチャンスを見出すべきか。2016年からEUのプライバシー対応のコンサルティングを開始し、先行的な知見を持つIIJのコンサルタントの鎌田氏、宮岡氏、槙氏と、GDPR対応を含むグローバルデータコンプライアンス案件を数多く手掛けてきた弁護士の田中氏に話を伺った。
- EUをはじめ世界各国で2020年からCookie規制が強化される
- 日本企業も積極的なCookie規制対応に乗り出さないと摘発されるリスクがある
- どんなサイトが摘発されやすいのか?
- Cookie規制対応をもっとも求められる業界とは?
- 日本企業がやらなければならないCookie対策の“最低ライン”の解説
Cookie規制への対応の必要性が認識され始めている
――EUでGDRPが施行され、さらにeプライバシー指令のもとでのCookie規制が存在するなか、皆様のもとには企業からどのような相談が寄せられていますか?
鎌田 博貴(以下、鎌田) 企業のデジタルマーケティング担当者、あるいはブランドサイトやECサイトの運営担当者は、サイト訪問者の行動分析に基づいて広告やコンテンツをカスタマイズすることに対する規制が厳しくなるなかで、自分たちが今やっていることは適法なのか、それとも違法なのかと、不安を感じ始めています。
そんな時にまず相談するのは、デジタルマーケティングのSDKやタグを提供している、いわゆるアドテク系エージェントです。ただ、アドテク系エージェントは、広告配信の効率を上げるための仕組みづくりには詳しいのですが、Cookie規制を遵守するために何をしなければならないのかといったことについて、十分な知見を持っているとは限りません。そこでこうしたアドテク系エージェントが、私どもに相談してくるケースが増えてきました。もちろん事業会社から直に相談を受けるケースもあり、皆さんが対応の必要性に気づき始めてきているようです。
田中 浩之(以下、田中) 私たちのような弁護士のところにも問い合わせが増えています。もともとCookie規制はGDPRが制定される以前から行われていたのですが、正直なところ日本企業にはあまり守られていませんでした。
では、なぜ今になって話題になっているかというと、GDPRで同意要件が厳格化したことが背景となっています。eプライバシー指令やこれに基づく加盟国法では、Cookie利用に「同意」を原則求めていますが、この「同意」の概念について独自の定義をおいておらず、旧EUデータ保護指令や各国データ保護法の同意の概念を引っ張ってきています。旧EUデータ保護指令や各国のデータ保護法がGDPRに置き換わったため、自動的に、「同意」の概念は、GDPRレベルの同意が求められることになったのです。
すなわち、eプライバシー指令自体は何も改正されていないのですが、「同意」の概念だけは厳しくなってしまったことになります。これにより、以前のようにバナーを表示し、「このままサイト閲覧を続けた場合Cookieを取得します」と通知するだけでは認められなくなりました。これに危機感を持った企業が、「わが社は大丈夫でしょうか?」と相談を寄せてきているのです。
――一刻も早く動き出す必要があるというわけですね。
田中 日本企業は横並びの意識が強く、他社がまだやっていないうちは大丈夫だろうと考えがちですが、特にそれぞれの業界のリーダー的な会社は、様子見をしているだけではだめです。自ら積極的にCookie規制対応に乗り出さないと、“見せしめ的”に摘発されるリスクもあります。
eプライバシー指令に代わるeプライバシー規則の制定の動きがあり、従前はそれを待って様子見をしている企業が多かったと言えますが、eプライバシー規則は現時点で、まだ条文案も固まっておらず、また、適用開始は、制定後2年後とされているため、適用開始は、だいぶ先になると見込まれ、それまで待っている訳にもいかないという状況になっています。
鎌田 リスクばかりではなく、前向きに捉えると、特にアドテク系エージェントのような企業にとって、自社が提供するSDKやDMPが、GDPRやeプライバシー指令に完全対応していることは、競合他社の対する大きな差別化要因となります。SDKやDMPを利用するお客様は、当然のことながらヨーロッパでもマーケティングを行うのですから。
日本企業への執行が現実味を帯びてきている
――Cookie規制に関する各国の監督機関による取締りは、すでに始まっているのでしょうか?
鎌田 イギリスの個人情報保護監督機関「ICO」や、フランスのデータ保護監督機関「CNIL」といったEU主要国の監督機関がそろってCookie規制の執行強化を宣言し、事業者に対して注意喚起を行っています。
皆さんご存知でしょうが、2019年1月21日、フランスのCNILがGoogleに5,000万ユーロ(約62億円)の制裁金の支払いを命じたのは衝撃的でした。Android OSのターゲティング広告に関する説明がわかりづらく透明性に欠ける、デフォルトで個人データ取得に包括的な同意を求める設定は、個別の個人データ取得目的ごとにオプトインを求めるGDPRに違反するというのがその理由です。
Googleはアイルランドに欧州統括拠点がありますが、個人データ処理の目的手段決定権限がないため、ワンストップショップメカニズム(1つの国のデータ保護機関から承認を得れば他国の当局からの承認が不要となる制度)も適用されませんでした。
同様にフランスは、売上が数億円規模の小さなネット広告代理店にも是正命令を出しています。モバイルアプリSDKにおけるターゲティング広告に関する説明、同意取得方法が不適当というものです。
このようにCookie規制に対してはフランスが最も積極的で、これにドイツやイギリスが追随している形です。ただし、今のところ是正勧告や制裁金を受けたのは、先述のアドテク業界のみで、クライアント側の事業会社が取締りを受けた例は今のところまだありません。
――とはいえ、EU主要国によるCookie規制が強化される動きとあれば、一般の事業会社も安閑としていられません。
鎌田 おっしゃるとおりです。この4~7月にかけてドイツ、フランス、イギリスの主要3か国の監督機関が相次いでeプライバシー規制遵守のガイドラインやアクションプランを発表しました。また、2020年から本格的に取締りを行っていくという方針を明らかにしました。猶予期間とされるこの1年のうちに、ヨーロッパで事業をする日本企業は、しっかり準備を進めていただきたいと思います。
田中 これまでは皆が見えないオバケに怯えているような感じでしたが、フランス、ドイツ、イギリスがガイドラインを示したことでルールが明確になり、その意味でこれからは状況がまったく変わります。
日本企業もEU競争法では多額の制裁金を受けており、Cookieについての執行が本格化した場合には、日本企業への執行リスクが現実化する可能性があります。
「Cookieウォール」は“最悪”の対策
――実務上ありがちな間違ったCookie規制対策にはどんなものがあるでしょうか。
鎌田 “最悪”なのは「Cookieウォール」です。例えばオランダの新聞サイト「デ・テレグラフ」にアクセスしたユーザーは、自分のCookieをパブリッシャーが利用することを許可しなければ、サイトの記事ページに進むことができません。
欧州の主要当局も、Cookieウォールでは同意をとったことにならないと明言しており、こういったサイトは、一見ちゃんとCookie利用の許可を得ているようでいて、欧州のCookie規制の観点で言うと、何も対策をしていないのと同じことです。率直なところ、日本企業のWebサイトでも同様のCookieウォールをよく見かけるだけに、非常に心配なところです。
米国や新興国でもプライバシー保護強化は共通の課題
――ちなみにヨーロッパ以外の国々のCookie規制はどのような状況ですか?
田中 例えば米国カリフォルニア州の消費者プライバシー法では、Cookieも個人情報の1つとされており、Cookie利用の情報提供が義務付けられます。では、連邦レベルではどうなっているかというと、個人情報保護法に相当するものはありませんが、連邦取引委員会法(FTC法)第5条に欺瞞的行為や不公正行為を禁止する条文があり、これで事実上のプライバシー保護を執行しています。
鎌田 要するに米国でも、きちんとプライバシーポリシーなどでCookieの取り扱いを説明しておかないと、FTCから取締りを受ける可能性があるということです。ヨーロッパと違ってオプトイン同意は要求されていないからといって決して規制が甘いわけではなく、消費者に対していつでもCookieに関する情報を提供する必要があり、また、Cookieの取得やアドテクとの個人データ共有を拒否できる手段も提供しておくべきと言えます。
いずれにしても個人の閲覧履歴や行動履歴を他人に渡すことに対して、非常に神経質になっているのが世界共通の傾向です。
田中 例えば、最近の動きとして、ブラジルやタイなどの新興国でも、GDPRと非常に類似した規制が導入されています。これまで個人情報保護の法律がなかっただけに、世界でも最も先進的な規制を取り入れようとしているのです。インドでも、GDPRと類似の規制を導入する動きが進んでおり、既に法律案ができています。
高額制裁金リスクと訴訟リスク
――Cookie規制違反時に想定されるリスクとしては、どのようなものが考えられますか?
宮岡 泰治(以下、宮岡) 直接的に受けるのは監督機関から課せられる高額な制裁金のリスクですが、加えて想定しておくべきは、訴訟リスクです。特に訴訟社会である米国では、被害者によるクラスアクション(集団訴訟)の莫大な損害賠償金が請求されるリスクがあります。
――仮に米国で集団訴訟になった場合、損害賠償金のほか弁護士費用やフォレンジック(犯罪捜査において法的証拠を探し出す作業)に要する費用など、コストはどれくらいの規模に広がるのでしょう。
田中 米国は日本と訴訟の仕組みが根本的に違っており、それを象徴するものとして「ディスカバリー」という制度があります。お互いに証拠となる情報を全面的に開示して争うのですが、その膨大な情報の分析のプロセスに巨額のコストがかかります。しかし、どれだけ費用をかけて法廷に臨んでも、事実認定を行うのは陪審員ですので結果はどう転ぶかわかりません。
そこで先行きが不透明な場合、お互いに和解しようとなるのですが、クラスアクションの規模が大きければ、和解金の総額は非常に大きくなります。
Cookie規制強化で一番大きな影響を受けるのは“広告”
――少し話題を変えて、Cookie規制は広告業界にも大きなインパクトを及ぼすことになると考えられますか?
鎌田 EU主要国のCookie規制強化により最も大きな影響を受けるのは、広告業界ならびにEUで広告を展開する一般事業法人です。多くの日本企業もEU市場を対象として自社製品やサービスを紹介するブランドサイトを運営しており、ターゲティング広告を利用する企業も多いため規制対象となります。
――そうなると広告代理店やアドテクによる支援が不可欠です。
鎌田 まさにそこが核心です。そもそも広告主や媒体オーナーである一般事業法人には、そのサイトがどんなDMPを使っているのか、どんなエクスチェンジを経由しているのかなど、把握できるはずがありません。
だからこそ広告代理店やアドテクのリーダーシップがますます重要となります。さらに言えば、コンプライアンスが担保されたソリューションを日本のクライアントに提供することは、広告代理店にとって非常に大きな事業上のアドバンテージとなります。
規制対応を一層求められるのはインバウンド事業や大学
――現在の日本企業のCookie規制への対応状況についても教えていただけますか?
宮岡 2月26日の日本経済新聞において「EU・米国の規制強化のなか、日本企業のCookie利用情報開示が不十分である指摘」という記事が掲載されました。これからも見て取れるように、海外企業と比較して日本企業はCookie規制対応の重要性や法的リスクに対する認識が総じて低く、対応が後手に回っています。
――今後Cookie規制対応が一層求められるのは、どんな企業や組織ですか?
宮岡 一番は、インバウンド事業に携わる旅行会社やホテルなどの事業会社でしょうね。オリンピック/パラリンピックや万博といった国際イベントに関連するB to Cビジネス全般、海外からのチケット購入のほか、交通系ICカードや乗車券、イベントなどの予約や決済を行う際に個人情報を入手するサービス、さらには都道府県や市区町村の自治体および観光協会なども、しっかり留意して取り組んでほしいと思います。
また、大学をはじめとする高等教育機関も、今後積極的に海外からの留学生や教職員を迎えるようになり、海外との共同研究や国際プロジェクトもますます増えていくと考えられます。そうしたなかでも様々な個人情報を取得する可能性があり、その一環としてCookie規制対応を進めておく必要があるでしょう。
田中 加えて、GDPRの地理的適用ガイドラインというものもあり、そのなかで、GDPRの域外適用が認められるためのファクターの一つとして、「問題となる活動の国際的な性質(旅行者の活動等)」が挙げられており、インバウンドの観光業についての執行リスクが高まっています。
日本企業は最低限どこまで対応するべきか
――最後にここまでの議論のまとめとして、日本企業は現実論としてどこまでCookie規制対応をすればよいでしょうか?
鎌田 少なくとも以下の2点については必ず行う必要があります。
- Cookieポリシーを提供すること
- オプトインの同意を取得するまでCookieを取得しないこと(ゼロクッキーロード)
また、サードパーティーのCookieを利用している場合は、Webサイト管理者と直接契約関係のあるアドテクについて、その名称およびCookieポリシーのURLを情報提供することがボトムラインでしょう。イギリス、フランスの最新ガイドラインでも、サードパーティーを固有名詞で明示することが求められています。できれば、IAB Europeが提供するTCF-APIにより同意・撤回をシグナリングすることが望ましいと思います。
世の中に絶対はありませんが、ここまでやっておけば、監督機関から何らかの摘発を受けても一発で制裁金を課される心配はまずないと思います。
槙 拓也(以下、槙) 皆様の議論を聞かせていただき、Cookie規制対応の重要性を改めて痛感した次第です。実際、Cookieポリシーを作成する場合、対象のサイトにどのようなCookieがどのくらい使われているのか、という調査が必要になります。しかしながら、全てのCookieを漏れなく手動で調査・抽出するという作業は、相当な工数を要することや、抽出が漏れるというリスクも十分にあります。
その場合は、Cookie同意管理ツールを用いて調査することが、効率的で漏れのないやり方となります。一方で、Webサイト管理者の方とお話をしていると、キャンペーンのために一時的に設定したCookieや、前任者が設定したCookieなどが消されずにそのまま残っていたというケースも多くあるようです。
――それは、サイト運営者にとってよくあることだと思います。
槙 しっかりCookie規制対応を行ったつもりでいても、見落としがあったのでは全く意味がありません。その意味でもツールを活用して、自社サイトの状況を客観的・網羅的に把握することの重要性を私自身もあらためて学びました。勝手な思い込みで対応したつもりでいるのは危険ですね。IIJではそうしたツールの活用を含め、Cookie規制対応のためのさまざまなコンサルティグサービスを提供しています。
世界のプライバシー保護法制や「Cookie同意管理」特集などのナレッジ配信をしている専門ポータルサイト「IIJ ビジネスリスクマネジメントポータル」については、現在1,400社以上のお客様にご利用いただいており、ご参照いただだければ幸いです。
――Cookie規制対応は、企業のコストとしてネガティブに捉えるだけでなく、グローバル展開する日本企業にとって、企業価値を向上させる重要なイノベーションであると、ポジティブに捉える傾向が今後ますます強くなりそうですね。本日は貴重なお話をありがとうございました。
ソーシャルもやってます!