こんにちは、IIJA Webinar 事務局です。
2023年6月6日と8日に開催したIIJAウェビナー『執行開始間近!CCPA改正点と新規則のポイント総点検~法務・IT両面の実務上の重要点について』で講演された中のIT編から、CCPAで求められるクッキーバナー対応をキャッチアップしました。
コーポレートウェブサイトを運用している方は、たとえオンラインで製品やサービスの販売を行っていなくても、ぜひ本ブログをご一読ください。
改正CCPAで求められるクッキーバナー対応について実務にすぐに役立つ情報を紹介しています!!
<<配信中>>
本講演の録画をIIJビジネスリスクマネジメントポータル ("BizRis") で配信中です!
動画視聴をご希望の方はこちらから。
☆BizRisの有料会員は無料で視聴が可能です(非会員は有料となります)。
クッキーのおさらい
クッキーは「Webサイトを利用するユーザのブラウザに保存される小さなテキストファイル」のことを指します。
オンライン上の識別子や顧客番号札のオンライン版と言われます。これはクッキーIDと呼ばれることもありますが、クッキーは、クッキーIDと一緒に、以下のような情報を保存しておくことができます。
利用者の認証情報
言語・フォント選択
買い物カゴに入れたアイテム
クリックした広告
読んだ記事 など
クッキー情報を保存しておくことによって、Webサイトは利用者のブラウザを一意に識別し、利用者一人一人にカスタマイズしたサービスを提供することができるようになります。
クッキーによる行動追跡
クッキーは第三者が発行することもできます。代表的なのは、広告エージェント等が発行するクッキーで「サードパーティ・クッキー」と呼ばれます。
いろいろなウェブサイトで、ある個人を同じクッキーIDで追跡し、その個人が見るサイトの情報を集め、その情報をもとにそのクッキーIDを持つ個人が、興味・関心を持つと思われる広告を表示することを「行動ターゲティング広告」と言いますが、クッキーはこういったことにも使われます。
クッキーとプライバシー
クッキー・クッキーIDでの追跡に関して、昨今では欧州をはじめとして非常に問題視され、EUでは2002年にクッキー規制が導入されています。
個人の追跡・プロファイルを行うため、場合によっては個人のプライバシーの重大な侵害になるとされ、プライバシー意識の強い欧州から問題視され、GDPR施行を機に全世界に広がり、米国にも入ってきました。
CCPA遵守のために実施すべきこと
CCPA上、クッキーも「個人情報」に該当するため、以下の一連の対応が必要となります。
1.プライバシーノーティス
個人情報が収集される時点、もしくは収集される前に行い、消費者が読み易く理解しやすい内容で、定められた内容を通知しなければなりません。
今回の改正で「個人情報の保持期間」の通知が追加されています。
2.オプトアウト機会の提供
クッキーで個人情報を収集して第三者へ「売却」又は「共有」する場合、オプトアウト機会提供の義務が発生します。
「共有」の概念が今回の改正で追加されました。例えば、Google Analytics等の外部サービスのアクセス解析用のクッキーの利用は、個人情報の「売却」と解され得るため、対応を行うのが安全です。サードパーティクッキーを利用した行動ターゲティング広告は、確実に「共有」になるので対応必須です。
オプトアウト機会の提供は「Do Not Sell or Share My Personal Information」というタイトルのリンクをウェブサイトのヘッダーかフッターに設置する必要があります。
リンクがクリックされたら、(1) 即座にオプトアウト処理を完了させるか、(2)「Notice of Right to Opt-out of Sale/Sharing」ページに遷移させ、そこでオプトアウト機会を提供する、という2つの方法が取れます。
3.Opt-Out Preference Signals への対応
Opt-Out Preference Signalsの代表は、Global Privacy Control (GPC) です。
“GPC “は一部のWebブラウザ (Mozilla Firefox、Duck Duck Go、Brave)で利用できるオプトアウト行使方法で、Chromeでもブラウザの拡張機能により利用できます。
Webブラウザを使う消費者がGPCでオプトアウトを設定すると、閲覧しているWebサイトに対してオプトアウト要求を自動で送信します。
個人情報の「売却」又は「共有」を行う事業者は「Opt-Out Preference Signals」を消費者の有効なオプトアウトの要求として扱わなければならず、こちらへの対応も必要になります。
5.”ダークパターン”の禁止
消費者からのオプトアウト要求を受ける際やオプトイン同意を取得する際に『ダークパターン』を用いてはいけない、と厳しく細かく定められました。
ダークパターンの例;
オプトイン手続きに比べてオプトアウト手続きにより多くのステップが必要
「Do Not Sell or Share My Personal Information」の横に「Yes or No」の選択肢 (どちらを選べばオプトアウトできるか不明確)
トグルやボタンに「on or off」と書いてあるだけ (どちらを選べばオプトアウトできるか不明確)
サービス利用に必要のない個人情報の売却への同意をサービス利用の条件と抱き合わせる
「Do Not Sell or Share My Personal Information」リンクをクリックした後、プライバシーポリシーページ等を検索・スクロールして実際にオプトアウト要求を提出する方法を探し出さないといけない
クッキーバナー実装ポイント
CCPAの細かい要件をクリアためには、クッキーバナーツールの導入が適していると思います。
クッキーバナーをCCPA向けに実装する際のポイントを以下にリストします。
プライバシーノーティス文面をクッキーバナーに表示して情報提供を分かり易く行う
「Do Not Sell or Share My Personal Information」リンクを設置する
そのリンクを押すと、売却・共有に使用されるクッキーのオプトアウトを可能にする
OneTrustのクッキーバナーツールは「GPC: Global Privacy Control」や「DNT: Do Not Track (トラッキング拒否)」に対応しており、管理画面でチェックを入れたカテゴリーのクッキーは、ブラウザ側の要求を優先するように設定が可能です。
また、ヘッダーやフッター等、ウェブサイトの任意の場所にバナーを呼び出すリンクの設置ができるので、「Do Not Sell or Share My Personal Information」リンクを設置し、そこから売却・共有に使用されるクッキーの一括オプトアウトを可能にすることもできます。
OneTrustのクッキーバナーツールの導入コンサルテーション、導入サポート、ライセンス提供などをワンストップで行っていますので、クッキーバナーツールの導入にご興味・ご質問のある方は、いつでもご気軽にWebフォームからお問合せください。
IIJはグローバル対応可能なクッキーバナーツールの最大手であるOneTrustの代理店です。IIJ自身がOwned Media (BizRis) を長年運用してきている中で、デジタルマーケティングを自社サービスのために行ってきており、デジタルマーケティングの効果を可能な限り損なわずに、法対応やダークパターンにならない実装の実務的なアドバイスが行えることが最大の強みです。
詳しくは、こちらのWebサイトをご参照ください。
まとめ
いかがでしたでしょうか? ウェビナーをご視聴いただいたみなさまも、視聴できなかったみなさまも、ウェビナーキャッチアップで、改正後CCPAのIT実務上の重要ポイントを掴んでいただけましたでしょうか。
IIJAウェビナーキャッチアップ:執行開始間近!CCPA改正点と新規則のポイント総点検~法務・IT両面の実務上の重要点についての4つのブログはこちらから!
IT編
法務編
IIJでは、世界のプライバシー規制に関する最新情報や、実務上のお悩みポイントへのアドバイスを以下のポータルサイトで総合的に発信していますので、ぜひ情報収集にお役立てください!
<<配信中>>
本講演の録画をIIJビジネスリスクマネジメントポータル ("BizRis") で配信中です!
動画視聴をご希望の方はこちらから。
☆BizRisの有料会員は無料で視聴が可能です(非会員は有料となります)。
講師の紹介
外資系IT企業において営業・マーケティングを経験後、2007年より渡米。現地のシステムインテグレーターにて営業マネージャーとして数多くのITインフラ構築・運用案件やBCP、セキュリティ対策案件を指揮する傍ら、夜間ロースクールに通い、ニューヨーク州弁護士資格を取得。
2020年1月より現職。企業の情報システム部と法務・コンプライアンス部の両方の立場を踏まえ、法律が求めるITセキュリティについて具体的なアドバイスの提供を行っている。
石村 卓也
株式会社インターネットイニシアティブ
ビジネスリスクコンサルティング本部
シニアコンサルタント/ニューヨーク州弁護士
IIJ Americaでは、毎月様々なトピックを取り上げてウェビナーを開催しています。
IIJ America ニュースレターへご登録いただくと、ウェビナー開催のお知らせをお届けします。ニュースレターご登録はこちらから!
CCPA対応をはじめとした、世界のプライバシー規制対応に関するご質問やご相談は、いつでもご気軽にWebフォームからお問合せください。お待ちしております。
最後までお読みいただきまして、ありがとうございました!