毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。
- 配信日:2024年5月23日
- タイトル:「Cookie規制」という規制はない
- メインスピーカー:データサイン ビジネスディベロッパー 宮崎洋史
- MC:データサイン 代表取締役社長 太田祐一
日本企業の多くが気にしていることは?
近頃、当社(データサイン)には「クッキー規制に対応しないといけない! どうすればいの?」というお問い合わせが増えています。でも実は「クッキー(Cookie)規制」という名前の法令はありません。なぜ多くの企業がこのことを気にしているのでしょうか?
「実務担当者の懸念は主に、次に挙げる3つの法律や規制に関連するものに集約されます」(データサイン ビジネスディベロッパー 宮崎洋史)
その3つとは、
- 電気通信事業法(日本)における外部送信規律
- GDPR(EU一般データ保護規則)におけるゼロクッキーロード
- 個人情報保護法(日本)における個人情報の第三者提供、個人関連情報の紐づけ
です。この日のランチタイムトークでは各法規制の対象者および対応すべき内容、注意点などを解説しました。
英語ページを開設・運営しているから「即GDPR適用」ではない
電気通信事業法(日本)における外部送信規律
本規律で対象となるのは、総務省のサイトに公表されている4類型に該当するサービスを提供している事業者です。4類型とは、「メッセージ媒介サービス」「SNS」「検索サービス」「ホームページの運営」です。
「注意点は、第4類型です。こちらはニュースサイト、まとめサイト等各種情報のオンライン提供などを意味し、『自社商品等のオンライン販売』や『企業等のホームぺージ運営・個人ブログ』は対象外です。対象者がすべきことは、『法定項目の通知・公表』『同意の取得』『オプトアウト手段の提供』のいずれかです」(宮崎)
なお、データサインが提供する外部送信管理ツール「webtru(ウェブトゥルー)」が、主要全国紙(朝日新聞、産経新聞、日本経済新聞、毎日新聞、読売新聞)のデジタル版に導入されています。こちらは第4類型に該当するメディアの外部送信規律への対応に基づくものです。
GDPR(EU一般データ保護規則)におけるゼロクッキーロード
本規則で対象となるのは、欧州の個人に対して商品やサービスを提供するといった、端的には「欧州に対してマーケティングを行っている」ケースです。対象者がすべきことは、個人データの処理に対して同意を取得することです。
「とはいえ、『英語ページを開設・運営しているから即GDPR適用』というわけではありません。ただ、日本では個人情報に該当しないIPアドレスやCookieを含むオンライン識別子がGDPRでは個人データと見なされるので注意しましょう。しかし、正当な利益のためにそれらを利用している場合は同意の取得は不要です」(宮崎)
実は個人情報をやりとりしていないケースもあり冷静に対応を
個人情報保護法における個人情報の第三者提供、個人関連情報の紐づけ
本規制で対象となるのは、個人情報を第三者に提供している、または個人関連情報を第三者から取得して個人情報と紐付けているケースです。対象者がすべきことは、ユーザーから同意を得ることです。
「注意点は『貴社が本当に個人情報を取得していますか?』ということです。必ずしも個人情報をやりとりしたり、第三者に提供したりしているとは限りません。法務担当者などを交えてぜひ確認してみてください」(宮崎)
この日のランチタイムトークでは、個人情報保護法における安全管理措置とスキミング対策における注意点についても説明しました。トーク後半では視聴者の方から寄せられたご質問にもお答えしました。
