ニュース
» 2020年09月18日 07時00分 公開

変わる「Cookie規制」 対応のポイントは【後編】:欧米や日本でも進むCookie規制 グローバル対応をスムーズにする「3つのアドバイス」

個人データを巡り、欧米や日本でCookieに関する規制が厳格化している。Webサイトが多くの組織にとって不可欠になった今、各国の規制に無理なく対処する方法とは何か。欧州の動向を解説した前編に続き、後編では米国と日本の動向に触れ、対応のポイントを探る。

[高橋睦美,ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 ここ数年で、組織や企業が個人データをどう扱うべきかを定めた法規制が、さまざまな国や地域で厳格化している。そのうち最も身近なトピックが、Webサイトからユーザーの情報を収集するCookieに関連する規制の変化だ。Webサイトを通じた取引が国境を越えて活発化する中、今日本の組織が押さえておくべきポイントとは何だろうか。

オンラインで講演した、IIJの鎌田博貴氏(ビジネスリスクコンサルティング本部 副本部長)

 ITmedia エンタープライズ編集部は2020年8月データガバナンスのオンラインイベントを実施。イベントでは、個人情報に関する規制の専門家であるインターネットイニシアティブ(IIJ)の鎌田博貴氏(ビジネスリスクコンサルティング本部 副本部長)が、Cookie規制をテーマに講演した。その内容を基に、前編では、Cookieを巡ってプライバシーの懸念が増した背景を解説し、先陣を切って規制強化を進める欧州の動向を紹介した。

 後編では、欧州とは異なる形で規制を強める米国と日本の動向を解説し、日本企業にとって重要な対策は何かを改めて探る。

3つの法律が関連する、米国のCookie規制

 鎌田氏によれば、米国のCookie規制には、主に3つの法律が関連している。

 1つ目は、米連邦取引委員会法(FTC法またはFTCA:Federal Trade Commission Act)だ。この法律は、不公正または欺瞞(ぎまん)的な取引行為を摘発し、制裁を科すためのものだ。

 同法に従い「サードパーティーCookieを利用して得た情報をターゲティング広告に利用する場合、その点をきちんとプライバシーポリシーに明記し、誰にその情報を開示するのか、どういう目的で使うのかを説明する必要がある」と、鎌田氏は話す。

 2つ目は、2020年7月に施行されたカリフォルニア州消費者プライバシー法(CCPA:California Consumer Privacy Act)だ。CCPAは、端末を一意に識別できるCookieなどの情報を「個人データ」と捉え、第三者への提供を厳しく規制している。ターゲティング広告のように、何らかの経済的な動機(利益)を目的にしてCookieを設定し、取得した情報を第三者に提供する場合には、ユーザーに「オプトアウト」、つまり拒否する権利を提供する義務があると規定している。

CCPA自体はカリフォルニア州の法律だが、大手IT企業の本社が集結する同州で施行されたことから、米国のみならず広い範囲に影響を与える可能性がある(出典:IIJ)

 3つ目は、連邦児童オンラインプライバシー保護法(COPPA:Children's Online Privacy Protection Act)だ。本拠地の所在に関係なく、オンラインサービス事業者が米国内の13歳未満の子供のデータを取得する場合には、事前に親に説明して同意を得る必要があると定める。同法はサードパーティーCookieを含む「継続的なクロスサイト追跡を可能とする端末識別子」を規制対象に含む他、Webサイトやアプリだけでなく、インターネットに接続できる玩具などにも適用される。

COPPAのうち、Cookie規制に当たる部分の概要(出典:IIJ)

気になる日本の規制は? 改正個人情報保護法やガイドラインにヒント

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ