Global Reachグローバル展開する企業を支援

MENU

お客様が抱える課題|Challenge

【巨額制裁金リスクから自社を守れ】すぐにわかるCookie規制への対応ポイント

GDPR(EU一般データ保護規則)が施行開始になり対応が一段落した今、「Cookie法(クッキー法)」に関するご質問やお問合せが増えています。
本コラムでは、Cookie法とはどんな規制なのか、それに対して企業が"正しく"対応するためのポイントを、わかりやすく解説します。

1.はじめに

2018年5月にGDPRが施行されて1年以上が経過しました。大手企業の多くが人員と時間をかけて、ようやくGDPRへの一次対応を終えているなか、次に早めに対応に着手すべき法令があります。それが「Cookie法」です。

Cookie法とは、自社のWebサイトやモバイルアプリなどを通じて、利用者を識別するためのCookie(クッキー)やモバイルデバイスID(以下「Cookie等」)を取得・利用する際に、「利用者から事前に同意を得ること」や、「同意を得られない場合はCookie等を一切取得・利用しない」ことなどを定めた規則です。日本企業のみならず欧州企業でもまだまだ正しく対応できていないケースが多いようですが、なぜ企業は早くCookie法に対応するべきでしょうか?

2.Cookie法への対応が必要とされる背景

Cookie法とは?

IIJ ビジネスリスクコンサルティング本部
副本部長・プリンシパルコンサルタント
鎌田 博貴

はじめに、Cookie法とはどんな法令なのでしょうか?

Cookie法をはじめGDPRや欧州全般の法令に詳しい、IIJ ビジネスリスクコンサルティング本部 副本部長でプリンシパルコンサルタントの鎌田 博貴によると、「Cookie法は正式には『eプライバシー指令(e-Privacy Directive)』と呼ばれており、2002年に欧州委員会に採択されました。電子通信サービス分野におけるプライバシーに関するルールを定めた規則で、その中で特にCookie等の取り扱いについては、EU域内のユーザーに向けたWebサイトやモバイルアプリを公開しそれらの上でCookie等を取得・利用している場合は、取得したCookie等の利用目的を開示し、広告・マーケティングなど特定の目的で利用する場合は、事前にサイト訪問者・アプリ利用者から同意を得なければならないと定められています。
さらに現在、eプライバシー指令を一歩進めた形で「eプライバシー規則(e-Privacy Regulation)」が欧州委員会から提案されています。一般的にCookie法というと後者のeプライバシー規則を指すことが多いようですが、今後Cookieに関する規制は欧州でもさらに強化されていくことになります」と述べています。

GDPRとの違い

2018年5月に施行されたGDPRと比較するとCookie等に関する規制への認知度はまだ低いように思いますが、鎌田によると「欧州では非常に認知度が高まっている」と言います。
2018年5月に施行されたGDPRとの関係でいうと、「eプライバシー規則がGDPRの特別法という位置づけで、両規則は相互補完する関係になっています。GDPRではCookie等を含むほぼすべての個人情報が適応対象となっていますが、eプライバシー規則では電子通信サービスにおける個人情報を適応対象としていますので、特にCookie等の取り扱いなどについてはeプライバシー規則の施行によって、より厳格化されることになります。」

現時点でeプライバシー規則はまだ立法化されてはいませんが、eプライバシー指令によりCookie等に対する規制はすでに行われており、Cookie等も個人データとして規制するGDPRが施行された今、Cookie等の取り扱いについては企業側で法令に準拠した正しい対策を行わなければいけません。

3.企業が直面するリスク

ではCookie等を正しく扱わないと企業側にはどのようなリスクがあるのでしょうか?

未対応の場合は巨額の制裁金も

「まず一つ目のリスクは制裁金です。GDPR自体は違反すると最大で2,000万ユーロ 又は 年間売り上げの4%という高額な制裁金が課されます。eプライバシー規則でもGDPRと同様の制裁金が課される予定ですので、特に注意が必要です。」と鎌田は語ります。
ドイツのバイエルン州の監督機関が州内の40企業のWebサイトを対象にした調査によると、多くの企業でCookie情報をCookie法に従って正しく取り扱っていないことがわかり、今後Cookie等に関する取り締まりを強化していくという立場を明らかにしています。オランダでもCookie等の取得・利用の同意を拒否するとWebサイト自体が利用できなくなる”Cookieウォール”が明らかなGDPR違反だと明言しており、欧州全体でCookie規制に対する意識が高まっています。

「また二つ目のリスクはレピュテーションです。EU域内には個人情報保護をうたう団体が活発に活動していて、彼らから違反企業として監督機関に通報された場合、制裁金をはじめ、不買運動や株主からの追求など、事業活動に大きな影響が及ぶ可能性があります。」

Cookie規制では欧州の関係法令が域外適用される場合があるので、欧州域内に拠点がなくても欧州域外で管理・運用しているWebサイトやアプリを通じて何らかのCookie情報を取得している企業は、Cookie規制の対象となる場合があります。
一般企業だけでなく、地方公共団体なども対象となります。特にインバウンド目的で欧州圏内からの観光客向けに、観光情報やエンターテインメント情報を提供している場合は注意が必要ですが、日本企業にCookie規制への対応状況を聞いても「同業他社が対応していないから」という理由で、様子見をされている企業が多いように思われます。2019年2月に発表された日経企業の調査でも、対応の遅れの実態が明らかになっています。

4.Cookie規制に正しく対応するためのポイント

では、日本企業はどのような対応するべきなのでしょうか?

Cookie規制への対応のポイント

IIJ ビジネスリスクコンサルティング本部
シニアコンサルタント
(右から)金子 英俊、槙 拓也、新村 僚

同じくビジネスリスクコンサルティング本部のシニアコンサルタントである新村 僚と槙 拓也は、「Cookieの同意管理について一番簡単な方法は、クラウド型のCookie同意管理ツールを利用することです」と言います。「Cookieポリシーの管理や、Cookieの同意取得、同意撤回の機能がクラウド上で提供されているため、簡単に導入することができます。無料のものから有料のものまで様々なツールが存在しており、導入時も短期間で導入することが可能です。」

一方で、多数ある管理ツールの中からどれが自社にあっているのか選定するのは非常に時間がかかります。また、自社のどのサイトでCookie同意を行うべきかの見極めや、プライバシーポリシー内のCookieポリシーをタイムリーにアップデートするなど、付随する業務は多数あります。さらに、同意管理ツールの多くが海外製であることもあり、自社だけで対応を行うには負荷が高いため、「その点については、Cookie同意管理ツールの導入に慣れた事業者に、まずは相談してみることをお勧めします」と語ります。

特にCookie規制への対応は法律を正しく解釈して、それを正しくWebサイトに実装することが求められるため、お客様が事業者を選ぶ際は、「『技術的な知見が豊富か』と『法的な解釈にも詳しいか』の2面で検討されることをお勧めします。

IIJがお手伝いできること

「IIJでは、Cookie同意管理ツールの選定や設定などの技術的なお手伝いはもちろんのこと、Cookieポリシーの内容や、Cookieの利用同意を得るまでCookie情報を一切取得しない“ゼロクッキーロード”の実現など、法令にあった実装と、法的観点からの的確なアドバイスやご提案が可能です。IIJはこれまでGDPRの対応コンサルティングで多くの実績があり、自社でもBCR取得を目指すなど、欧州のプライバシー法制に関して知見を高めてきました。その経験を活かして、技術的な実装と法的解釈の両面から、お客様にあった施策をご提案ができます。」

同じくビジネスリスクコンサルティング本部のシニアコンサルタントである金子 英俊によると、「お客様のご要件やご要望に応じた提案が可能」と言います。

特に、海外子会社も含めて自社で管理するWebサイトが多い場合に、どのサイトでどんなCookie情報を取得しているか、Cookie利用の同意を得ているかなど本社が正しく把握できていないケースも多いですが、「お客様がお持ちのサイトの調査や、実装方法などのコンサルティングをはじめとした各種サポートも行っています。さらに弊社のビジネスリスクマネジメントポータルではCookie規制に関する様々な情報をタイムリーに提供しています」。

距離の近いアジアと違い、欧州は日本との時差も大きく、日本本社からコントロールすることが難しいと言われています。法人が分かれていて本社からコントロールしづらい、海外子会社のWebサイト主管である現地のマーケティング担当者とのコミュニケーションが難しいなど様々な事情がある中で、特にWebサイトという最も多くの人の目に触れるものであるからこそ、正しく法令に対応しないのは非常にリスクが高いと言えると思います。

Cookie規制への取り締まりが強化される前に、ぜひ一度対応を検討されてみてはいかがでしょうか?

Cookie規制に対応するための5つのポイント

  • Cookie等の同意取得や撤回が、簡単にできるか
  • Cookie等の取得・利用を説明したポリシーは誰にでもわかりやすいところに掲載されているか
  • Cookie等の取得・利用に関する同意が得られない限りCookie等を取得・取得しないようになっているか
  • Cookie規制に関する最新情報を入手できているか
  • 対応を依頼している事業者がいる場合、法的解釈と技術的実装の両面で知見のある事業者に依頼 できているか

※記事中の各種情報は2019年7月4日現在のものです