ブラジルのクッキーと個人情報保護
2023年6月15日
毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。
- 配信日:2022年11月24日
- タイトル:ブラジルのクッキーと個人情報保護
- 発表者:データサイン 代表取締役社長 太田祐一
「ブラジル版GDPR」に基づくガイドラインを読む
個人データの保護法制といえば、EUを含む欧州経済領域(EEA)域内で収集した個人データを域外に移転することを原則禁じるGDPR(一般データ保護規則)をご存知の方も多いはず。実は、同様の法令やガイドラインは他の国や地域でも制定、適用されています。この日のランチタイムトークでは、ブラジルの事例をデータサイン 代表取締役社長 太田祐一が取り上げました。
*本レポートでご紹介する内容は、ブラジルの国家データ保護当局であるANPD公式サイトに記載された文書を無償のウェブ翻訳ツールで和訳したものです。本レポートにおける記述の正確性はデータサインで保証しかねる点をご了承ください。
今回ご紹介するのは、ANPDのサイトに公開されている文書「ブラジルのCookieガイドライン Cookieと個人情報」(以下、本ガイドライン)です(原文はこちら)。
ブラジルには、日本の個人情報保護法に相当する法律として、LGPD(Lei Geral de Protecao de Dados、和訳すると「一般データ保護規則」)があります。本ガイドラインの前提には、このLGPDがあります。CookieはLGPDにおける規制対象です。
本ガイドラインの目次は、次のようになっています。
- はじめに
- コンセプトと分類
Cookieとは何ですか?
Cookieの種類 - CookieとLGPD
一般的な側面
法的根拠 - Cookieポリシー
- Cookieバナー
デザインするときに気をつけること
デザインで避けるべきこと
Cookieバナーの例 - おわりに
オンライン識別子やフィンガープリントも対象
GDPRとLGPDには共通点が多い、という指摘はプライバシーテック界隈でもたびたび聞かれます。
「本ガイドラインにおいても、Cookieの説明や取り扱いの仕方、データ対象者に対する望ましい対応など随所にGDPRとの類似性がありました」(太田)
本ガイドラインでは、Cookieをメインに取り上げていますが、対象はそれだけではありません。「はじめに」には次のような一文があります。
ここに示されたガイドラインは、それぞれの状況の特殊性に応じて、モバイル機器(例えば、携帯電話やタブレット)を含む同様のトラッキング技術の使用による個人情報の収集にも一般的に適用されます。
「ガイドラインが示す適用対象には、アップルが提供するIDFAなどのオンライン識別子や、フィンガープリントなども含められることが読み取れます」(太田)
「ダークパターン」は御法度
本ガイドラインの「CookieとLGPD」には、「スーパーマーケットサイトにおけるCookieの収集」という事例が掲載されています。
スーパーマーケットのサイトにアクセスして商品を購入する際、「このサイトは、お客様の体験を向上させ、利用統計を取得し、お客様に関連する広告を配信するためにCookieを使用しています」というバナーが表示されます。追加情報は表示されず、選択肢は「同意する」ボックスのみです。
この事例に対して本ガイドラインでは、
- データ対象者が、必須ではないクッキーの使用を拒否する選択肢がなく、単一の選択肢(同意するのみ)を提供することは、同意が自由であるべきという要件に矛盾する。
- 処理の具体的な目的およびデータの保持期間について、明確で正確かつ容易にアクセス可能な情報がない。
- データ対象者がいつでも同意を取り消すことができる簡便かつ自由なメカニズムを提供しないことも、LGPDと相容れない慣行である。
と問題点を指摘しています。
「望ましい対応の具体例が、後半の『Cookieバナー』の『デザインするときに気をつけること』や『Cookieバナーの例』に図解されています。たとえば、Cookieを同意するボタンを強調し、拒否するボタンを見えづらくするのはダメ、という内容も記されています。ダークパターンもNGということです」(太田)
ANPDのドキュメントは、ポルトガル語のみですが、ウェブ上に一般公開されています。日本企業がCookieバナーを検討する際のヒントになりそうです。
