本コラムでは、すでにEUで摘発事例がでている「Cookie法(クッキー法)」について、その規制の内容と、企業が対応するためのポイントを、わかりやすく解説します。
1.クッキー法への対応が必要とされる背景
Cookie法とは?
IIJ ビジネスリスクコンサルティング本部副本部長・プリンシパルコンサルタント
鎌田 博貴
はじめに、Cookie法(クッキー法)とはどんな法令なのでしょうか?
クッキー法をはじめGDPRや欧州全般の法令に詳しい、IIJ ビジネスリスクコンサルティング本部 副本部長でプリンシパルコンサルタントの鎌田 博貴によると、クッキー法は正式には『eプライバシー指令(e-Privacy Directive)』と呼ばれており、2002年に欧州委員会に採択されました。電子通信サービス分野におけるプライバシーに関するルールを定めた規則で、その中で特にCookie等の取り扱いについては、EU域内のユーザーに向けたWebサイトやモバイルアプリを公開しそれらの上でCookie等を取得・利用している場合は、取得したクッキー情報e等の利用目的をクッキーポリシーとして開示して、広告・マーケティングなど特定の目的で利用する場合は、事前にサイト訪問者・アプリ利用者から同意を得なければならないと定められています。
さらに現在、eプライバシー指令を一歩進めた形で「eプライバシー規則(e-Privacy Regulation)」が欧州委員会から提案されています。一般的にクッキー法というと後者のeプライバシー規則を指すことが多いようですが、今後Cookieに関する規制は欧州でもさらに強化されていき、制裁事例もますます増加していくでしょう。さらに欧州以外にも、日本やその他の地域にも同様の規制が拡大していく動きも高まりつつあります。」と述べています。
- 【関連記事】「法改正間近?日本でのクッキー規制導入の行方」
GDPRとの違い
2018年5月に施行されたGDPRと比較するとCookie等に関する規制への認知度はまだ低いように思いますが、「欧州では非常に認知度が高まっている」と言います。
2018年5月に施行されたGDPRとの関係でいうと、「eプライバシー規則がGDPRの特別法という位置づけで、両規則は相互補完する関係になっています。GDPRではCookie等を含むほぼすべての個人情報が適応対象となっていますが、eプライバシー規則では電子通信サービスにおける個人情報を適応対象としていますので、特にCookie等の取り扱いなどについてはeプライバシー規則の施行によって、より厳格化されることになります。」
現時点でeプライバシー規則はまだ立法化されてはいませんが、eプライバシー指令によりCookie等に対する規制はすでに行われており、クッキー情報も個人データとして規制するGDPRが施行された今、クッキー情報等の取り扱いについては、企業側で法令に準拠した正しい対策を行わなければいけません。
2.企業が直面するリスク
未対応の場合は巨額の制裁金も
クッキー情報を正しく扱わないと企業側にはどのようなリスクがあるのでしょうか?
「まず一つ目のリスクは制裁金です。GDPR自体は違反すると最大で2,000万ユーロ 又は 年間売り上げの4%という高額な制裁金が課されます。eプライバシー規則でもGDPRと同様の制裁金が課される予定ですので、特に注意が必要です。」と鎌田は語ります。
ドイツのバイエルン州の監督機関が州内の40企業のWebサイトを対象にした調査によると、多くの企業でクッキーe情報をクッキー法に従って正しく取り扱っていないことがわかり、今後Cookie等に関する取り締まりを強化していくという立場を明らかにしています。オランダでもCookie等の取得・利用の同意を拒否するとWebサイト自体が利用できなくなる”Cookieウォール”が明らかなGDPR違反だと明言しており、欧州全体でCookie規制に対する意識が高まっています。
「また二つ目のリスクはレピュテーションです。EU域内には個人情報保護をうたう団体が活発に活動していて、彼らから違反企業として監督機関に通報された場合、制裁金をはじめ、不買運動や株主からの追求など、事業活動に大きな影響が及ぶ可能性があります。」
Cookie規制では欧州の関係法令が域外適用される場合があるので、欧州域内に拠点がなくても欧州域外で管理・運用しているWebサイトやアプリを通じて何らかのクッキー情報を取得している企業は、クッキー法の対象となる場合があります。
一般企業だけでなく、地方公共団体なども対象となります。特にインバウンド目的で欧州圏内からの観光客向けに、観光情報やエンターテインメント情報を提供している場合は注意が必要ですが、日本企業にクッキー法への対応状況を聞いても「同業他社が対応していないから」という理由で、様子見をされている企業が多いように思われます。2019年2月に日本経済新聞が発表した日経企業の調査でも、対応の遅れの実態が明らかになっています。
3.Cookie規制に正しく対応するためのポイント
クラウド型のクッキー同意管理ツールの導入を
では、日本企業はどのような対応するべきなのでしょうか?
IIJ ビジネスリスクコンサルティング本部シニアコンサルタント
(右から)金子 英俊、槙 拓也、新村 僚
同じくビジネスリスクコンサルティング本部のシニアコンサルタントである新村 僚と槙 拓也は、「Cookie同意(クッキー同意)を管理をするうえで一番簡単な方法は、クラウド型の管理ツールを利用することです」と言います。「クッキーポリシーの管理や、クッキー同意取得、同意撤回の機能がクラウド上で提供されているため、簡単に導入することができます。無料のものから有料のものまで様々なツールが存在しており、導入時も短期間で導入することが可能です。」
一方で、多数ある管理ツールの中からどれが自社にあっているのか選定するのは非常に時間がかかります。また、自社のどのサイトでCookie同意管理を行うべきかの見極めや、プライバシーポリシー内のクッキーポリシーをタイムリーにアップデートするなど、付随する業務は多数あります。さらに、同意管理ツールの多くが海外製であることもあり、自社だけで対応を行うには負荷が高いため、「その点については、クッキー同意管理ツールの導入に慣れた事業者に、まずは相談してみることをお勧めします」と語ります。
Cooki法への対応は法律を正しく解釈して、それを正しくWebサイトに実装することが求められるため、お客様が事業者を選ぶ際は、「『技術的な知見が豊富か』と『法的な解釈にも詳しいか』の2面で検討されることをお勧めします。」
IIJがお手伝いできること
「IIJでは、Cookie同意(クッキー同意)管理ツールの選定や設定などの技術的なお手伝いはもちろんのこと、クッキーポリシーの内容や、利用同意を得るまでクッキー情報を一切取得しない“ゼロクッキーロード”の実現など、法令にあった実装と、法的観点からの的確なアドバイスやご提案が可能です。IIJはこれまでGDPRの対応コンサルティングで多くの実績があり、自社でもBCR取得を目指すなど、欧州のプライバシー法制に関して知見を高めてきました。その経験を活かして、技術的な実装と法的解釈の両面から、お客様にあった施策をご提案ができます。」
同じくビジネスリスクコンサルティング本部のシニアコンサルタントである金子 英俊によると、「お客様のご要件やご要望に応じた提案が可能」と言います。
特に、海外子会社も含めて自社で管理するWebサイトが多い場合に、どのサイトでどんなクッキー情報を取得しているか、Cookie利用の同意を得ているかなど本社が正しく把握できていないケースも多いですが、「お客様がお持ちのサイトの調査や、実装方法などのコンサルティングをはじめとした各種サポートも行っています。さらに弊社のビジネスリスクマネジメントポータルではCookie規制に関する様々な情報をタイムリーに提供しています」。
距離の近いアジアと違い、欧州は日本との時差も大きく、日本本社からコントロールすることが難しいと言われています。法人が分かれていて本社からコントロールしづらい、海外子会社のWebサイト主管である現地のマーケティング担当者とのコミュニケーションが難しいなど様々な事情がある中で、特にWebサイトという最も多くの人の目に触れるものであるからこそ、正しく法令に対応しないのは非常にリスクが高いと言えると思います。 クッキー法への取り締まりが強化される前に、ぜひ一度対応を検討されてみてはいかがでしょうか?
※記事中の各種情報は2019年7月4日現在のものです
