【イベントレポート:後半】Privacy Tech サミット 2022 夏 | 2022年7月27日開催

法律 2022.12.01
【イベントレポート:後半】Privacy Tech サミット 2022 夏 | 2022年7月27日開催

Priv Tech株式会社(以下、Priv Tech)は、LiveRamp Japan株式会社、株式会社インティメート・マージャー、Prighter Group、TMIプライバシー&セキュリティコンサルティング株式会社/TMI総合法律事務所と共催し、Webサミット【Privacy Tech サミット2022 夏】開催しました。

Priv Labでは、Privacy Tech サミット2022 夏の様子を、前半と後半に分けてお届けします。

後半となる本記事では、第二部で行なわれた、プライバシー関連サービスを提供するPrighter Group、TMI総合法律事務所およびPriv Tech社によるパネルディスカッションの内容をご紹介します。

イベント概要

●開催日時
2022年7月27日(水)14:00~18:00

●概要
改正個人情報保護法をはじめとした各国プライバシー関連法の概要から、同意取得・各種ポストクッキーソリューションについて解説しました。また、以下のテーマについて、有識者によるパネルディスカッションを実施しました。
<テーマ>
・ポストクッキー時代のデジタルマーケティング
・企業におけるプライバシー関連法対応の実態

●開催結果
お申込者数 :263名
参加者満足度 :87%(大変満足・おおむね満足と回答した方の割合)

本イベント開催の目的

2018年にはEU圏のプライバシー法であるGDPR(一般データ保護規則)が施行され、日本でも2022年4月に改正個人情報保護法が施行されました。企業においては、自社のプライバシー対策に関し、早急に守りと攻めの施策を考えていく必要があります。しかし、法律が施行されてもなおさまざまな情報が錯綜し、混沌としている状況です。

そこで、改めて企業における対応の実態とクッキーに依存しないこれからのマーケティングを知っていただき、アクションのきっかけになることを目的として本サミットを開催いたしました。

>>イベントレポート前半「ポストクッキー時代のデジタルマーケティング」はこちら

プロフィール

<第二部>プライバシー関連サービス提供企業

白井様プロフィール写真

Prighter Group 日本デスク 白井 薫平
提供サービス:代理人サービス、データ主体要求管理ツール 他

大井様プロフィール写真

TMIプライバシー&セキュリティコンサルティング株式会社 代表取締役
TMI総合法律事務所 パートナー弁護士 大井哲也
(https://tetsuyaoi.com/)
提供サービス:法分野、データ利活用支援サービス 他

中道プロフィール写真

Priv Tech株式会社 代表取締役 中道大輔
提供サービス:同意管理プラットフォーム「Trust 360」 他

第二部「企業におけるプライバシー関連法対応の実態」についてのパネルディスカッション

第二部では、Prighter Groupより白井様、TMIプライバシー&セキュリティコンサルティング株式会社より大井様、Priv Tech株式会社より中道が登壇し、「企業におけるプライバシー関連法対応の実態」についてのパネルディスカッションを行いました。

ここからはそのパネルディスカッションでの議論の内容をご紹介します。

企業のプライバシー関連法への対応状況について

中道

2022年4月に改正個人情報保護法が施行されましたが、実際のところ日本企業のプライバシー関連法への対応状況はいかがでしょうか?

大井

2022年4月に施行でしたので、当然ながらそのタイミングに合わせて対応された企業が多かったです。一方で、現在でも対応が完了していない企業も一定数あります。

そういった企業の中には、ひとまず外部から見えるプライバシーポリシーや開示書類等の整備を3月末までに行い、それ以外の内部体制の構築やデータの棚卸しなど外から見えない部分について、4月以降も継続的に対応されているというケースがあります。

社内に法務部がある企業だと3月末までに対応済というケースが多いのですが、法務部がいない企業では、デジタルマーケティングや情報システム部が主導となって対応を進めることが多く、そもそも法律について知るところから始まるので若干遅れ気味という印象があります。

中道

2018年にはEUでGDPRが施行されていますし、日本企業も対応が必要なケースがあると思いますが、施行から4年が経過してみて、各企業のGDPRの対応状況はいかがでしょうか。

白井

一概に言えない部分もあるんですが、まず、業種による対応状況への傾向が見受けられます。ヘルスケアや金融業界など規制の厳しい業界が、GDPRへの対応をしっかりされている印象です。

あとは、BtoBサービスを提供している企業からのお問合せも多々あります。理由としては、欧州で事業展開をするにあたり、新規顧客を獲得するためにはGDPRへの対応が基本要項となるからですね。EU圏の会社から、「GDPRに対応していなければお取引や契約は難しい」と言われて、慌てて弊社にご連絡いただくことも多くあります。

中道

日本の企業において、GDPRに対応しなければならない企業の数や対応状況はどんな感じなのでしょうか?

白井

GDPRの施行から4年が経った現在においても、大手企業であってもGDPRにしっかりと対応できているかというと、そうは言えない企業が多い印象があります

また、そもそも何をもって対応済みとするかというところもポイントになってくると思います。誤解が多い点なのですが、GDPR対応とは「チェックリストを満たすことではなく、継続的に取り組むこと」であります。

以前は「GDPRコンプライアンス対応済」という証明書のようなものを発行していた団体がヨーロッパにあったのですが、現在はそのような団体はなくなりました。GDPRが一過性の対応ではなく、継続的な対応である一方で、それに関する誤解を生まないためにこのような証明書の発行が廃止されたのではないかと思っています。

日本企業がGDPRや改正個人情報保護法に関して罰せられた事例の有無について

中道

GDPRは日本法と比べて罰則金も高いですし、EUをみていると各国の個人情報保護当局が日常的に罰則を課しているニュースをみるのですが、日本企業や日本企業の子会社・グループ会社が過去に罰せられたことはあるんでしょうか?

白井

弊社では、現時点で日本企業に罰則が課された事例は把握していないですね。基本的には、Googleなどの大きな企業が罰せられるケースが多いです。

中道

日本の個人情報保護法も、改正以降、何か罰せられたり指摘を受けたりした事例はないのでしょうか?

大井

社名公表されるケースとされないケースがあり、公表のあるケースは今のところ出てきていないですね。

中道

改正法施行後に限らず、日本の個人情報保護法において何か行政指導を受ける等のリスクは頻度で言うとどのくらいあるんでしょうか?

大井

データ利活用企業においては、しばしば調査や、指導が入ります。調査や指導が入るきっかけは色々あり、同業他社からの告発やユーザーからの苦情などから調査に至るというケースが多いです。

中道

GDPRだと、その辺りが結構オープンになっている印象なんですが、日本法だと公表しないケースが多いんでしょうか。

大井

GDPRについても同じで、GDPRの違反事例は無数にあるのですが、その中から公表されているのはGAFAを中心とする制裁金の金額の大きな大規模事案です。制裁金の金額が大きくない小規模の事案はニュースになりませんし、各国の個人情報保護当局が全ての事案を公表するわけでもありませんので、世に出てこない公表されないものがたくさんあります。

プライバシー対応に関する日本と海外の温度感の違いについて

中道

日本と海外の温度感の差はどんな感じですか?

大井

日本企業でもグローバル企業であればしっかりと対応している企業はかなりアンテナを高く持っており、温度感が高い印象です。逆に、そうでない企業は、GDPR対応を何もしていないというように、二極化しています。

中道

白井さんはいかがですか?

白井

アメリカや英国、イスラエル、インド、オーストラリア、ニュージーランドからの問い合わせが多く、意識が高いと感じています。これらの国々に共通するのは、英語が母語もしくは主に話されている国であるということです。

やはりGDPRでは、判例や文書が基本的に英語が多いので、英語に慣れ親しんでいる国は情報にアクセスしやすいという理由から、意識の高さや違いが生まれてくるのかなと思っています。

中道

日本の個人情報保護法の考え方は、GDPRや他国のプライバシー関連法とはかなり異なりますが、なぜ日本はこれほど独自色が強いのでしょうか?

大井

こちらに関しては、わからないです(笑)とはいえ令和2年の改正個人情報保護法もかなりのGDPRの影響を受けていますよ。GDPRの内容をかなり取り込んではいるので、日本法にしっかり対応するためにはやはりグローバル法の知見が活きてきます

GDPRに関してよくある課題や勘違いについて

白井

これはGDPRに限った話ではないですが、世界では色々なデータ保護法があり、GDPRがグローバルスタンダードになりつつある一方、各法律で若干違う部分もあるので、GDPRと他の法律の規制を誤って理解してしまっていることがあります

例えば、他の法律ではデータ管理者だけが規制の対象になっているものもあるので、GDPRについても「データ処理者は規制対象とならないので、弊社は関係ないです」と主張する会社があったりします。

同意取得について、同意なしの場合、サービス提供やwebサイトへのアクセス不可というのは法的に問題ないのか

大井

「プライバシーポリシーへの同意について、同意を得ない場合その後のサービス提供不可、同意を得ない場合にホームページにアクセス不可というのは問題ないでしょうか」という質問がありました。

必ず同意しないとサービス提供を受けられない、もしくはwebサイトが見られないという状態をクッキーの壁(ウォール)という意味で、クッキーウォールと言います。

GDPRにおいては、そういったものは違反になります。一方で、日本法においてはそこまで厳密にこの論点について指摘されている事例はありません。よって、今はまだグレーゾーンなので、同意しないと先に進めないというサービスは非常に多いです。

中道

この論点に関しては、同意を取るタイミングの話も関係すると思っています。例えば、サービス利用にあたって会員登録をする場合は、そのタイミングで利用規約とかプライバシーポリシーに同意すると思います。ただ、「このクッキーの使い方嫌だな」と思っていても、サービスを使うためには仕方ないので同意するしかないですよね。法律的には問題がなくても、ユーザー心理上良くないですよね。

大井

一応、日本でも法的な論点にはなり得ます。同意するか否かは自由意志で決めて良いわけですが、サービス提供を受けるためには同意せざるを得ないんですよね。なので、同意の任意性があるかどうかという論点では日本法でも問題になり得ます。

ただ、GDPRは明確に個人情報保護当局が見解を出している一方で、日本ではあまり裁判になった事例もありませんし、個人情報保護委員会の指導も行われていませんので、ある種、放任されているという印象ですね。

域外適用を受けることと越境移転規制を受けることの違いについて

白井

GDPRについて、「域外適用を受けることと越境移転規制を受けることの違いはなんでしょうか」という質問がありました。

EU域外に拠点のある企業でもEUの対象となるのが「域外適用」です。域外適用の対象となると、GDPRが全面的に適用され対応が必要になります。

一方、越境データ移転に関する規定というのは、GDPRの中の規定の一つでEU域外に域内のデータを移転する際のルールを定めたものです。

GDPRが定める標準契約条項にあたるSCC、またはその他の一定のメカニズムを用いることで域外へのデータ移転が可能になるんですが、データ保護の水準がEUから認められて「十分性認定」が与えられている国に関しては、一般的なデータ移転のための措置が不要になります。日本は2019年から十分性認定を与えられています。なのでEU域内から日本へのデータ移転に関しては、追加の措置が不要となっているのが現状です。

ただ、ここで注意が必要なのが、十分性認定による追加措置の免除というのはあくまでデータ移転におけるものなので、GDPRの他の規定には対応が必要となっています。

大井

域外適用と越境移転は、言葉は似ていますが意味は全く違うんですよね。域外適用というのはGDPRの全条文・全規制が日本企業にそのまま適用される、言い換えると日本企業がGDPRの全要求・指導に対応するのが域外適用です。

域外移転というのはEUの個人データをEUの外に持ってくる場合の移転規制、一局面の規制なんですよね。

ここで注意しておいていただきたいことが一点あります。これまで日本企業や日本の海外子会社へのデータ移転はSCCという契約でもって適法化している実務が定着していたのですが、このSCCを利用している企業においては対応が必要となります。このGDPRのSCCが2022年12月末までに改訂が必須とされます。対象となる企業は古いデータ移転契約である旧SCCを締結している企業となりますが、これを直して、新SCCというものに切り替えなければならないんです。つまり、GDPRの中の条文は改正されていないのですが、越境移転規制に関しては実質的な改正がなされ、GDPRよりも厳しくなっています。このことに気づいていない企業が結構多くあるので、注意していただきたいです。

多言語サイトを設置する場合、それぞれの国の法律に対応したプライバシーポリシーが必要なのか

中道

「企業のサイトで多言語のグローバルサイトを構築している場合、各言語やアクセスもとに従って対応した法律の同意やプライバシーポリシーの用意をする必要があるのか」という質問がきています。

大井

韓国語のサイトを構築した場合に直ちに韓国の個人情報保護法の適用を受けるかというと、それはまた別問題です。域外適用を受けるかどうかの判断は、各国毎の個人情報保護法の要件をチェックする必要があるからです。

従って、法的には多言語でグローバルサイトを作成したからといって、現地法の域外適用を受ける場合を除き、必ずしも、それぞれの国の法律に従ったプライバシーポリシーや同意の取得方法を取る必要はありません。その一方で、消費者目線で考えると、これまで慣れ親しんだ国内のサイトと様子が異なると違和感を感じますよね。我々が文法が誤っている日本語のサイトを見ると買いたくないなと思うのと同じように、各国のウェブサイトやECサイトのフォーマットがあります。それらのインターフェースに関してはその国の法律のフォーマットや必要的な記載事項、書きぶりに沿った方が消費者の理解を得られますので、ユーザー目線としては、各国法を睨んでサービス設計をすることをお勧めしています

EU圏からのアクセスを遮断していない限りは同意バナーを出すなどの対応が必要なのか

白井

「EU圏からのアクセスを遮断しておらず、クッキーを使ったEU域内の個人の行動の監視がある場合、同意バナーを出すなどの対応が必要なのか」という質問がきています。

Cookie関連の規制は、EUではGDPRではなく「eプライバシー規制」という別の規制のもとで定められており、Cookieが使用されている場合は対応が必要となります。また、その場合はCookieバナーを介して同意がされて初めて、対象となる情報が取得されるというシステム要件が必要です。

ただ、唯一の例外として「必須Cookie」においては、同意取得前に利用可能となっています。必須クッキーとは、一言で言うと「webサイトが機能するために必要なCookie」のことを指します。例えばECサイトの買い物かごのCookieは、どのサブページにアクセスしても買い物かご内に選択した商品が入っている状態を可能にするためのものなので、必須Cookieに該当します。また、言語設定に関するものについても必須クッキーとみなされます。

大井

私からも補足すると、IPアドレスの設定によってEU圏からのアクセスを遮断することは技術的に可能です。そうすれば完全にGDPR適用の対象から外れることが明確になりますので、GDPRに基づく同意バナーを出す必要はなくなります。もちろん任意で同意バナーを出しても構わないですし、むしろそれが望ましいです。

他方で、アクセスを遮断しなくとも「そのサイトの性質がEU居住者をターゲットにしているか」という観点で該当しなければGDPR適用はされません。まずは、GDPRが適用されるかどうかを判断する必要があります

中道

そうですね。この辺りはケースバイケースでもあると思うので、ご不明点があれば我々にご連絡いただくのが良いかと思います

まとめ

2018年のGDPRの施行に始まり、2022年4月には日本でも改正個人情報保護法が施行されており、各国プライバシー法への対応が急務です。

また、ただ法律に対応する守りの姿勢のみでなく、法律に対応した上で、さらにデータを活用していく攻めの姿勢を構築していくことも重要になってきます。

Priv Techでは、代理人サービスをはじめとする海外プライバシー関連法への対応を効率化するサービスを提供するPrighter社やOneTrust社とも提携しています。プライバシー関連法対応でお困りの方はぜひお気軽にご相談ください。

>>Priv Techの「プライバシーコンサルティング」はこちら

登壇各社提供サービスのご紹介

【Prighter Group】

IT・知的財産・データ保護を専門とするオーストリアの法律事務所 iuroの適法性確認に基づき、GDPRをはじめ各国のデータ保護法に対応するための代理人サービスやデータ主体要求管理ツール(DSRツール)、データ侵害発生時のサポートツールを提供し、各国プライバシー関連法遵守の効率化を支援。

【TMI総合法律事務所】

国内業務と渉外業務の双方の領域で豊富な経験を積んだ弁護士、弁理士およびスタッフで構成される法律事務所。さまざまなバックグラウンドをもつ弁護士が在籍しており、幅広い対応ができるのが強み。弁護士・弁理士の企業に投資・創業支援を行うTMIベンチャーズ株式会社を設立するとともに、日本初のデータ活用におけるプライバシー保護とセキュリティに専門特化したコンサルティングファーム「TMIプライバシー&セキュリティコンサルティング株式会社」も設立。

【Priv Tech株式会社】

改正個人情報保護法に対応した同意管理ツール「Trust 360」を提供。そのほかに、プライバシー関連法やポストクッキー時代への対応を支援するコンサルティングサービスも提供しており、企業のデジタルマーケティングにおける攻めと守りの体制構築をサポートしている。

公開日:2022年12月1日

パーソナルデータの取扱いにお悩みの方に

  • 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
  • 誰にどこまで同意を取ったか管理するのが大変…
  • ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
  • 同意は管理できても他社システムを上手く連携して使えないと…

Trust 360で、すべて解決!