GDPR・改正個人情報保護法
GDPRとは
GDPR(EU一般データ保護規則)は、EU(厳密にはEEA)すべての個人情報保護を強化する法律です。
GDPRは制裁金が多額であることが特徴であり、GDPR要件を満たすために、技術的・組織的な対策をしなかった場合、軽度の罰則で1,000万ユーロ(約12億円)、または前年売上高の2%のいずれか高い方が制裁金として求められます。
また、GDPRの対象範囲はEUに所在する個人データ(個人の国籍は不問)であるため、日本の企業でもGDPRの対策が必要な場合があります。
WebサイトにおけるGDPR対応
GDPR第6条1(a)"個人データの取り扱いには同意が必要"であるという点はWebサイト運用に関わりが深く、注意が必要です。
なお、GDPRにおける「個人データ」の中にはWebサイトで使用されるクッキーも含まれるため、クッキーを取得する際に同意が必要になる場合があります。
そのため、WebサイトにおけるGDPR対応としては、サイト来訪時にクッキー取得に対しての案内を表示し同意を得る、クッキー同意取得バナーを設置することが有効な手段です。
しかしながら、GDPRは「同意」に対しても細かく定義および要件が設定されているため、単にクッキー同意取得バナーを設置するだけでなく、適切なクッキー同意取得バナーを設置する必要があります。
例えば、
・クッキー取得に対して「同意」に誘導するような文言・デザインのバナー
・Webサイト閲覧者がクッキー取得に同意する前にクッキーが取得されてしまうサイト
・クッキー取得の同意が管理されていないサイト
等はGDPRのガイドラインに則していません。
その他にも、細かな規定があるため、正しい知識を持って対応する必要があります。
改正個人情報保護法
日本では、2022年4月施行の個人情報保護法において、個人関連情報の提供についての規定が新設されました。
個人関連情報
個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものを指します。
例えば
・クッキー情報
・IPアドレス
・端末等の識別子
が当てはまります。
個人関連情報提供に関する同意確認義務
個人関連情報が提供先で識別される個人データとなることが想定される場合、提供元が本人に識別される個人データとして取得することに対して同意を得る必要があります。(法第31条)
Webサイトにおける改正個人情報保護法対応
Webサイトで取得しているクッキーが提供先で識別される個人データとなることが想定される場合、GDPRと同様クッキー同意取得バナーの設置が効果的です。
しかし、改正個人情報保護法はGDPRと異なり、オプトアウト(初期設定で取得拒否)である必要はないため、クッキー同意取得バナーを、サイト閲覧者の地域によって出し分ける等の工夫により、サイト閲覧者およびサイト運用者の双方にとって使いやすいサイトにすることが可能です。
当社では、CMSを導入時にクッキー同意取得バナーを導入いただいた実績がございます。
当社では、Webサイトリニューアル、CMS導入に合わせて、適切なクッキー同意取得バナーの導入をいたします。簡易な対応から、コンサルサービスのご紹介まで、お客様のニーズに合わせてご提可能です。