同意管理システム「OneTrust」が選ばれる理由とは？日本でも厳格化が進むコンプライアンス規制！

年々、個人情報保護に対する意識が強まり、Webサイトでマーケティングを行う多くの企業は、自国のプライバシー保護法だけでなく、世界中の法令や規制に注意を払う必要が出てきました。

各国のプライバシー保護法やデータ規制法の多くは「Cookie規制」の項目が含まれます。これにより、Webサイトを扱う多くの企業でCookie規制の対策をとる義務が生じることになりました。

本記事では、プライバシー保護法やデータ規制法で定められているCookie規制と、各国で定められているCookie規制に対応可能な同意管理プラットフォーム「OneTrust」について解説していきます。

1. OneTrustとは

OneTrustとは、アメリカ・ジョージア州に所在を置くOneTrust社が提供する同意管理プラットフォームのクラウドサービスです。OneTrustでは、GDPRやCRPA（旧法CCPA）といった世界各国の個人情報保護規則へのマネジメント・モニタリングが一括で行えます。

2022年10月現在、日本企業を含め、世界中のIT・グローバル企業12,000社以上が導入を実施しており、豊富な導入実績を誇るツールです。

2. CMP（同意管理プラットフォーム）について

OneTrustは、CMP（Consent Management Platform）と呼ばれる、同意管理プラットフォームのことを指します。

​​現在、世界中でプライバシー保護の規制が厳しくなっており、「Cookieの取得も個人情報取得といえるため本人の許可が必要である」という風潮が強まってきました。そのため、Webサイトに訪れたユーザーの情報を取得するCookieに対して、ユーザー自身がCookieの受け入れを許可、または拒否の選択をさせることのできるCMPの導入が重要となってきます。

CMPは、各国の規制法に自動対応できるだけでなく、利用者に受け入れを選択させる場合も、「取得した情報をどのように扱うか」「なぜ取得が必要なのか」を、各国の言語に変換して表示でき、ポリシー提供の義務も果たせます。

Webサイトに表示される同意管理画面は、各社で設定したCMPの仕様によって異なり、Cookie受け入れの同意を許可する/許可しないの2択でシンプルに問うものもあれば、用途を詳しく表示し、項目ごとに許可を選択できるCMPもあり、OneTrustでは状況に応じて設定を変更することが可能です。

2-1. 改正個人情報保護法

国内では、2022年4月1日に改正個人情報保護法が施行（以下、改正法）されました。以下では、実務上重要度の高い、Cookieに関する例をご紹介いたします。

2-2. Cookieは個人関連情報に該当する

改正法では、個人情報とは別に、Cookieなどを個人関連情報として区別しています。

個人情報（2条1項）とは特定の個人を識別できるものを指します。一方で、個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報（2条5項）及び匿名加工情報（2条6項）のいずれにも該当しないもの」と定めています。

Cookieは、それ単体では特定の個人を識別することはできないですが、特定の個人に関する情報であることから、個人関連情報に該当します。改正法では、個人関連情報を、個人関連情報取扱業者が個人関連情報の第三者提供を行う場合に、第三者がその情報を個人データとして取得する可能性があるときに規制の対象としています（27、31条）。

例えば、特定のCookieやID等の識別子に紐付けられた閲覧履歴などの情報を、利用企業（第三者）に提供する場合が考えられます。基本的には、事前の同意と本人への通知（又は本人が容易に知り得る状態に置く）が必要となります。

詳しくはこちらの記事で解説しています。ご参照ください。

第三者提供とは？厳格化する個人情報の取り扱いと注意点

参考：令和4年改正個人情報保護法（e-Gov法令検索）

参考：個人情報の保護に関する法律についてのガイドライン（個人情報保護委員会）

2-3. Cookie規制

前項の改正個人情報保護法では、Cookieの取り扱いについても言及されています。

Cookieは、1st PartyCookieと3rd PartyCookieの2種類に分けられ、規制の対象となるCookieは「3rd PartyCookie」です。1st PartyCookieは自社がIDを発行するのに対して、3rd PartyCookieは第三者機関よりIDが発行されます。

第三者がIDを発行する際に、利用者の個人情報送信が行われるため、個人情報保護、およびプライバシー保護の観点から規制の対象となっています。

また、3rd PartyCookieでは、利用者の意図しない場所でもWebサイトを横断して行動履歴を収集していることもあるため、注意が必要です。

Cookieは、企業側ではマーケティングやリターゲティング広告の打ち出し時に役立ちますが、一方では情報収集を行うことに対する危険性も含みます。

• 情報の盗難や共有デバイスによる情報漏えい
• 利用者のプライバシー侵害
• Cookie情報の盗聴による不正ログイン

こういった危険性があることを踏まえ、改正法では3rd PartyCookieが保存する利用者の「識別情報利用を制限する」規制を設けました。

具体的には、Cookieなどの個人関連情報を第三者に提供することで、個人データとして取得されることが想定される場合には、提供先の企業において、事前に本人の同意を得ることが義務付けられています。また、提供元の企業においても、提供先の企業が同意を得ているかどうかを確認する義務が発生します。

3. システムの規制対象となる世界的な法案

日本では、2022年4月施行された改正個人情報保護法によってCookie規制の項目も設けられましたが、他国では日本よりも個人のプライバシーに関する法整備が進んでいます。

プライバシー保護とデータ保護規則の代表的な法令に、GDPRとCCPAという保護法が存在します。個人プライバシーの保護を目的としたこれらの法令は、すべての国や地域に適用されるケースがあり、日本も例外ではありません。

3-1. GDPR

GDPRは、「General Data Protection Regulation」の頭文字をとったもので、EUにおける個人情報保護のための規則です。日本語では「EU一般データ保護規則」と訳されます。

2018年5月に施行されたGDPRは、個人データ保護やその取扱いについて定め、EEAに属する30カ国で適用されている法令です。

※GDPR適用範囲は厳密に言えばEEA域内ですが、以下本稿では「EU圏」とします。

以下に該当する企業はGDPRの対策を取る必要があります。

• EU圏内に子会社や支店、営業所などを置く企業
• 日本からEU圏内に商品やサービスを提供する企業
• EU圏内から個人データの処理について委託を受けている企業

対象となる個人データは以下のような情報です。

• 利用者の氏名
• 利用者の識別番号
• 所在地データ
• メールアドレス
• IPアドレス、Cookie
• 身体的、生理学的、遺伝的、精神的、経済的、文化的、社会的固有性に関する要因

ただし、上記に該当しないデータでも場合によっては、個人を識別できるデータと判断されることもあります。

GDPRではデータ主体の権利を侵害する行為や、域外移転の手続きに反する行為を行った場合、下記のいずれか高い金額の制裁金の支払いを命じられる可能性があります。

• 2,000万ユーロ以下
　
• 全世界の年間総売上の4％以下

さらに、GDPRの手続き違反に関する行為に対しても制裁金の制定がされており、以下のいずれか高い金額の支払い義務が生じます。

• 1,000万ユーロ以下
• 全世界の年間総売上の2％以下

2022年10月現在の価値では2,000万ユーロは29億円超という莫大な金額で、半額の1,000万ユーロでも14.5億円です。中小の企業であればこの制裁金だけで、倒産を余儀なくされる可能性があるのです。

詳細は以下の記事で解説しております。合わせてご参照ください。

GDPRとは？概要や日本企業が対策すべき項目を解説

3-2. CPRA

CPRAは、「California Privacy Rights Act」の頭文字をとったもので、日本では「カリフォルニア州プライバシー権法」と呼ばれます。

2020年1月よりカリフォルニア州民の個人情報の保護を目的として施行された旧法CCPA（カルフォルニア消費者プライバシー法）が大幅に改正される形で、新法CPRAは2023年1月より有効になります。

基本的な個人情報保護の義務内容はGDPRと似ていますが、GDPRと決定的に異なる点は、事業所等がカルフォルニア州に所在していなくとも、カリフォルニア州在住のユーザー情報を扱えば適用対象となるという点です。

日本企業の場合、例えば以下の企業は、CPRAへの対策を行う必要があります。

• 年間50,000件以上のカリフォルニア州の消費者の個人情報を収集・処理している企業
• カリフォルニア州に在住する従業員や顧客（クライアント）情報を持つ、年間総売上2,500万ドル以上の企業

CPRAではカリフォルニアの消費者（サービス利用者）の権利として、以下を定めています。

• どのような個人情報が収集、利用、共有、販売されたのかを知る権利
• 事業者が収集した自身の個人情報削除を要求する権利
• 自身の個人情報の販売を拒否する権利
• 規定されるプライバシー権を行使した際に不当な扱いをされない権利

個人データに該当する情報はGDPRで定めるものと大きな差はありませんが、CPRAでは個人データだけでなくカリフォルニアに在住する「世帯」情報も対象です。個人を「識別」できる情報だけではなく、「関連」「説明」する可能性、合理的に結び付く可能性がある情報も含まれ、対象となる範囲が広くなっているといえるでしょう。

事業者は、消費者からの開示・削除等の問い合わせがあった場合（直近12カ月の期間に収集、販売、処理された情報が対象）、45日以内に対応することが求められています。消費者が事業者に対して情報の開示・削除等の問い合わせをした場合、事業者は45日以内に対応しなければなりません。

これに違反した場合、以下の罰金が科せられる恐れがあります。

• 消費者からの請求1件あたり、最大2,500ドル

（故意による違反の場合、最大7,500ドル）

従業員がCPRAを知らずに消費者からの開示要求を無視してしまった場合も違反対象となるため、企業内全体で認識する場を設けることも重要です。

また、上記の制裁金以外にも情報の消費者個人が、企業に対して民事裁判を起こし、損害賠償請求することも認められています。

詳細は以下の記事で解説しております。合わせてご参照ください。

CPRA（カルフォルニア州プライバシー権法）とは？ CCPAからどう変わった？

4. OneTrustの機能

各国で施行されているCookie規制やプライバシー保護法について解説してきましたが、これらの法令に準拠したCookieバナーをOneTrustでは自動生成することが可能です。

ここからは、OneTrustで実現できる4つの機能についてご紹介いたします。

4-1. Cookieの自動検知や分類が可能

OneTrustでは、Cookie、タグ、ビーコン、トラッキングピクセル、HTML5やローカルオブジェクトなどのトラッカーを特定できます。

さらには、プライバシーポリシーなどから、該当Webサイトのコンプライアンス対応状況を確認し、サイトに合わせた対応が可能です。

特定された情報は、1,500万以上のCookieと、その発行元であるベンダーが登録されている世界最大規模のCookieデータベース「Cookiepedia」と照合され、自動で分類されます。

4-2. バナー作成・カスタマイズ

Cookie同意のバナーやテンプレートは各国法規制ごとに作成が可能です。

自社のブランドイメージに合わせて色や形などバナーのカスタマイズが可能なため、他社との差別化を図れます。

また、自社のWebサイトを訪問した利用者が、Cookieやトラッキング技術の種類ごとに、同意・拒否を選べるようにすることや、各国の法規制や自社の同意設定の方針に基づき同意タイプの設定が可能です。

【カスタマイズ可能な表示や通知】

• オプトアウト
• オプトイン
• 明示的同意
• 暗黙の同意
• 通知のみ

4-3. 世界各国の規制に対応可能

OneTrustでは、100ヵ国以上の多言語に対応できるため一つのスクリプトの作成のみで、利用者の言語設定を自動検知し、適切な言語でCookie同意のテンプレートを表示可能です。

ジオロケーション技術により、Web閲覧者のアクセス元IPアドレスを検知し、GDPR・CCPAなど法規制ごとの適切なテンプレートを自動的に表示させられます。

なお、日本法にはまだまだ対応しきれておらず、注意が必要です。

4-4. 自動化による工数の削減

多くの企業では、スクリプトを本番環境に実装する前にテスト環境のサイトで試運転しています。

OneTrustでは、Webサイトにバナーを実装する為のスクリプトが自動生成されますが、テスト環境用・本番環境用の2種類のスクリプト取得が可能です。

また、サイト閲覧者が未同意の際は、Cookie取得を防ぐ「ゼロクッキーロード」にも対応しています。

5. まとめ

2022年4月に令和2年改正個人情報保護法が施行され、これまで以上に企業のプライバシー対策が求められるようになりました。

また、世界的に施行されたプライバシー法や個人情報保護法を見ると、多くの国が日本よりも早い段階で規制を行っています。

• 2018年施行 「GDPR（EU一般データ保護規則）」
• 2020年5月施行 「CCPA（カリフォルニア州消費者プライバシー法）」
• 2021年11月施行 「中国個人情報保護法」

Priv Techでは、2022年7月にGDPRをはじめとした世界各国のプライバシー関連法に対応したプライバシーテクノロジープラットフォーム「OneTrust」を提供するOneTrust社と協業いたしました。

またPriv Techでは同意状況に基づき、他システムとの連携を可能にする自社CMP「Trust 360」の提供も行っており、各々のケースに合わせて提案・提供する準備が整っております。

公開日：2023年3月30日