知っておきたい法律関係

GDPR・CCPAだけでは足りない! アジアでも急進するデータ保護法、日本企業が取るべき“現実的な最適解”とは?

世界で進む個人情報保護規制。共通のグローバルポリシー作成や、CMPツールの導入による効率的なWebサイト対応を解説。

柏木恵子

7:05

GDPRやCCPAに加え、アジア各国でも個人情報保護の法制度化が進み、コーポレートサイトやブランドサイトを多言語化してグローバル展開を推進している日本企業は、対応を迫られている。

また、個人データ保護法は、その国に拠点がある場合だけでなく、その国の住人に対してサービス提供している場合も対応が必要になる。たとえばGDPRの場合、サイトの設置場所ではなく「EU/EEA域内の人を対象としているか」で適用が決まる。言語・通貨などから欧州向けと判断されれば、日本に置かれたサイトでも対象となる可能性がある(域外適用)。

IIJでは6月24日、世界のプライバシー保護規制やクッキー対応に関するウェビナーを開催。世界のプライバシー保護規制に精通した田中浩之氏(弁護士・ニューヨーク州弁護士・慶應義塾大学大学院特任教授)が、日本企業が外国語サイト公開時に直面するプライバシー・クッキー規制について、実務者目線で解説した内容をかいつまんでお届けする。

グローバルデータ保護法の概要

グローバル展開する日本企業のWebサイト担当者にとって、複数の国の個人情報保護規制にいかに効率的に対応するかが課題となっている。さらに、「プライバシー対応を徹底すると、サイトのUXやブランド価値が下がるのでは?」という懸念の声もよく聞かれる。

では、対応すべきデータ保護法には、どのようなものがあるのだろうか。

最も有名なのはEUのGDPRで、2018年5月25日から適用開始、対応済みの日本企業も増えている(英国はEUから離脱したが、同様の内容を自国法として取り込んでいる)。違反時の制裁金が「最大で2,000万ユーロ、又は前会計年度の全世界年間売上高の4%の、どちらか高い方」と高額であることで知られ、違反すると民事訴訟の対象にもなる。

米国の場合は、連邦法と州法がある。日本の個人情報保護法やEUのGDPRのような、包括的なデータ保護法は、連邦法としては存在せず、分野ごとの個別法としてたとえば以下のようなものがある。

  • 金融機関等に適用されるGLBA
  • 医療関係についてのHIPAA/HITECH
  • 13歳未満の子どものオンラインにおける個人情報を対象にしたCOPPA
  • ビデオプライバシー保護法(VPPA)

その他、FTC法の5条による執行もある。これは個人情報に関する法律ではないが、「不公正又は欺瞞的な行為又は慣行」を禁止しており、「プライバシーポリシーに書くべきことを書いていない」場合などに違反となることがある。

包括的な個人情報保護法は州法にあり、有名なのはカリフォルニア州のCCPAだ。他にも約20州ほどに包括法がある。また、個別州法で生体認証情報プライバシー法があり、盗聴を禁止する古い法律を個人データに適用して集団訴訟が起きた例もあるなど、米国の場合はかなり複雑だ。

アジアでも法整備が進んでいる。主要国についてリストアップしておこう。

  • シンガポール:Personal Data Protection Act 2012
  • フィリピン:Data Protection Act 2012
  • マレーシア:Personal Data Protection Act 2010
  • タイ:The Thailand’s Personal Data Protection Act
  • ベトナム:2025年6月に個人データ保護法が成立し、2026年1月1日から適用開始
  • インドネシア:2022年10月包括法Personal Data Protection Lawが施行
    従来の非包括的な関連法令も存在
  • 台湾:個人情報保護法
  • 中国:ネットワーク安全法と下位規範としての個人情報安全規範(GBT 35273-2017)
    包括的な個人情報保護法も成立しており、2021年11月1日から適用開始済
    データ安全法も存在
  • 香港:Personal Data(Privacy)(Amendment)Ordinance
  • 韓国:包括法;個人情報保護法(2023年2月改正、2023年9月15日適用開始)
    個別法;位置情報の保護及び利用に関する法律等
  • インド:新法Digital Personal Data Protection (DPDP) Act, 2023
    従来法(IT Act、Privacy Rules)

上記に含まれていないブラジルやロシアなど、これ以外の国にも当然だがデータ保護法はある。もはや、国内向けとGDPR対応だけしておけばいいと考えるのは危険だ。国によって要求項目が異なるため、基本的には個別の情報通知・プライバシーポリシーが必要になる。とはいえ、それはあまりにも大変だ。

そこで田中氏は、グローバルプライバシーポリシーとしてできるだけ共通化し、共通化しにくいものを別紙として追加するというアプローチを推奨している。

60点から70点くらいの共通のグローバルポリシーを作り、リスクの高い国に対してはどこまで対応するか決めて、別紙を作って上積みする(田中氏)

グローバルプライバシーポリシーに同意をとるべきか

グローバルプライバシーポリシーは、本体をミニマムにするというより、別紙をできるだけ少なくするという考え方の方がいい。別紙を作っていない国は本体で対応するため、すべての国で要求されていなくても、GDPRなど主要国で要求されるものはできるだけ本体に入れておく。

どの国でも必ず要求されるものに絞って最小限にしてしまうと、別紙が膨らむことになり、本体が意味のないものになってしまう(田中氏)

グローバルプライバシーポリシー本体に共通化して記載すべき項目を、以下に挙げる。

  • 適用対象事業者の名前、会社概要の住所・代表者氏名へのリンク
  • 適用対象場面
  • 本体と別紙の関係等
  • 関係法令等の遵守の一般論
  • 取得する個人情報の種類
  • 個人情報の利用目的
  • 個人情報の処理の法的根拠の一般論
  • 個人情報の情報源
  • 個人情報の共有先
  • 外国への移転がある場合の一般的定め
  • 権利行使対応についての一般的定め
  • 個人情報の保存期間・基準
  • 安全管理措置の実施
  • 子どもの個人情報についての一般的定め
  • クッキーについての一般的な定め(クッキーポリシーがある場合には、クッキーポリシーへリンク)
  • ダイレクトマーケティングについての一般的な定め
  • 日本法対応を本体でする場合:日本法特有の開示事項
  • 共同利用、匿名加工情報、仮名加工情報、個人関連情報、外国にある第三者への提供を同意を根拠に行う場合の情報提供、認定個人情報保護団体、オプトアウトによる第三者提供等
  • 事業者の連絡先(苦情申し出、権利行使対応窓口含む)
  • ポリシーの変更方法
  • 制定日・最終更新日

「法的根拠」とは、何を根拠としてユーザーの個人情報を集めたり利用したりするのか、ということを指す。具体的には、「同意」や「正当な利益」が根拠となる。国によって考え方が異なるが、一般論として日本よりも厳しいGDPRに対応した具体的記載をグローバルポリシーに入れるのが無難だ。

日本では利用規約と一緒にプライバシーポリシーの同意を取っておくのが一般的だが、GDPRは法的根拠としての「同意」に厳格な要件がある。プライバシーポリシーに同意しないとサービスを使えない場合は法的根拠にならないため、「同意」ではなく「正当な利益」を根拠とする場合が多い。

また、CCPAでは同意が必要な項目は限られており、必要な項目ではプライバシーポリシー全体への同意では足りないことが明確になっている。つまり、GDPRやCCPAにおいては、プライバシーポリシー全体について同意をとるのは、あまり意味がない

逆にアジア(特に中国)は同意主義で、基本的に法的根拠は「同意」しかない。このためグローバルプライバシーポリシーの同意を取らざるを得ない。

どちらが正解かは難しいが、グローバルで同意をとるという方針で一貫させる場合は、同意の意味が誤解されないように(GDPRの場合は「理解した」という意味で、法的根拠ではないなど)明確にしておく必要がある。

グローバルで共通対応したうえで、どこまで個別対応するかの優先度は、執行リスク(制裁金を課される、訴訟を受けるといったリスク)の大きさや、データ主体(ユーザー)の多さで決める。

その国に拠点がなくてもユーザーが多ければ優先度が上がるし、子どものような脆弱なユーザーの場合は執行リスクが高いので、対応を優先するべきだ。また、一般的には、B to Cの方が、センシティブな情報を扱っていてデータ主体の数が多く、クレームになりやすい傾向にある。ただし、B to Bでも、従業員情報はセンシティブなデータになる。時間、予算、人員は限られているため、リスクに応じて計画的に配分することが必要だ。

クッキーの同意管理はツールを使う

クッキー規制が最も厳しいのは欧州で、原則として、クッキーポリシーなどの説明をしたうえで、事前に個別のオプトイン同意が必要。厳格必須クッキーは除外されているが、これはたとえば以下のようなもののことだ。

同意の必要がない、特別なクッキー

ちなみに、「オプトイン」はユーザーが能動的に同意することでデータ収集を開始し、「オプトアウト」はデフォルトで同意した状態からユーザーが拒否できる仕組みのこと。GDPRでは「同意」の要件が厳格で、以下のような場合は有効な「同意」とならない。

  • Webページを閲覧するためにスクロールやスワイプをしたら同意とみなす
  • 同意しなければ閲覧できない「クッキーウォール」の手法
  • サービス利用の条件として同意を強制する

また、「同意」には有効期限があり、半永久的に同意したとみなすことはできない。このため、グローバルプライバシーポリシーあるいはクッキーポリシーに有効期限を書いておく必要がある。

ちなみに、プライバシーポリシーとは別にクッキーポリシーを作る必要があるかというと、それは必須ではない。プライバシーポリシーにクッキーに関する内容を入れておけば、別立てにする必要はない。プライバシーポリシーとクッキーポリシーで矛盾があることが一番問題なので、その点には注意が必要だ。

CCPAでは、個人情報の「販売/共有」にあたる場合はオプトアウトが必要で、16歳未満の未成年者の場合はオプトインが必要。「販売/共有」の中にクロスターゲティング広告などが入っているので、使う場合には対応しなければならない。

さらに、最近CIPAという法制度で、同意がないことを根拠に訴訟が起きている。これは盗聴を規制するような古い法律でクッキーは関係なさそうに思えるが、米国はオプトアウトだと思っていると、必ずしもそうではない状況が起きている。

その他、米国のCCPAは最近の改正により、オプトアウトリファレンス信号に対応しなければならなくなっている。

中国は個人情報の定義が広く、クッキーも個人情報にあたり、同意主義のため「同意」が必要。クッキーが個人情報にあたらず、特別法がない国であっても、プライバシーへの配慮からクッキーポリシーで説明する例が多い。

以上のように、国によって制度が異なり、目的ごとの個別同意が必要な国もあるなど、対応はかなり煩雑だ。このため、クッキー同意管理ツールの活用が現実的だろう。

Webサイトなどにおいて、クッキーや類似トラッキング技術の利用について、ユーザーの同意を取得・管理・反映するための仕組みをCMP(Consent Management Platform)と呼ぶ。最も一般的なのがクッキーバナーだ。機能として、法規制において求められる情報提供(クッキー一覧や目的などの表示や、クッキーポリシーへのリンクを表示)に加え、同意の取得・記録・技術的制御などを提供する。

たとえば、日本のような規制の緩い国では包括的に許可するチェックを入れるだけの簡単なバナー(個別に指定したければそれも選択できる)を出し、欧州などでは個別に許可しなければクッキーの取得を開始しない仕組みのバナーを出すといった出し分けが、設定するだけで可能だ。

また、GDPRなどでは、閲覧中に簡単に同意を取り消せるようになっていなければならない(取消の方が同意より面倒な場合は違反になる)。これも、閲覧の邪魔にならずに、簡単にクッキーバナーが呼び出せるようにしておくという対応が効果的だ。

CCPAの説明で出てきたオプトアウトシグナルへの対応などの、他システムとの連携機能も提供される。国によってクッキーに対する考え方は異なるが、GDPRやCCPAは事実上クッキーバナーが不可欠と言える。

クッキーバナーとは何か

 

人気記事トップ10

人気記事ランキングをもっと見る