更新日:

【最新版】広報が押さえるべき Web サイトの海外法規制対応

Image of 堀江 真里子
堀江 真里子

2022年4月26日、当社は「2022年 広報が押さえるべきグローバルサイトのトレンド」というテーマでセミナーを開催しました。TMI総合法律事務所 パートナー弁護士 大井哲也氏をお招きし、日本のグローバル企業が Web サイトを運用する上で留意すべき法規制対応についてお話いただきましたので、本記事では、その内容をみなさまにお届けします。

※同セミナーで WOVN 森山が解説したグローバルサイトのトレンドについては「【独自調査】世界900社の実例からみるグローバルサイトの類型とは?」にてご紹介しています。

 

世界の個人情報保護規制とその適用範囲とは

あらゆる情報がインターネットに集約される現代において、企業が取り扱う個人データの量は増加の一途を辿っています。個人データに対する人々の意識も高まっていることから、世界各地で規制強化の動きが見られています。

規制の中で有名なものに GDPR (General Data Protection Regulation:一般データ保護規則)があります。これは EU が2016年に制定し、2018年から適用されるようになった規制ですが、個人データの利用や移転について定めているもので、インターネットユーザーが自らの個人データをコントロールできるようにすることを目的として施行されています。違反した企業・組織には数十億円の罰金が科せられるケースもあり、厳格な運用がなされています。

GDPR 以外にも、世界には個人データに関する様々な規制がありますが、実はこれらはその地域内に存在する企業・組織だけが遵守すればよいものではありません。グローバルに事業展開している日本企業においては、その現地拠点だけでなく、日本本社までもが世界の規制に準拠しなければならないケースが存在するのです。

 

グローバルサイトを運用する際に留意すべき海外の法規制

運営主体を軸にグローバルサイトを分類すると、日本本社が運営している場合現地法人が運営している場合の2つに分けることができます。このそれぞれにおいて、規制の準拠法がどのようになっているかをみていきましょう。

大井先生によると、海外の個人情報保護規制に準拠する必要があるのは、原則として、その域内に存在する現地法人だそうです。つまり、グローバルに事業展開している日本企業の場合、現地法人が運営する Web サイトは現地の規制に準拠する必要がありますが、日本本社が運営する Web サイトは海外の規制に準拠する必要はなく、日本の個人情報保護法にさえ則っていればよい、ということになります。

しかし例外として、海外の規制が域外適用され、日本本社が海外の規制に準拠しなければならないケースが存在するそうです。

法規制が「域外適用」されるケース

具体的な例をみていきましょう。たとえば、EU 圏内に子会社をもつ日本企業 A 社があるとします。
A 社の子会社が現地で独自に運用する Web サイトは GDPR に準拠する必要がありますが、A 社の日本本社が Web サイト上で EU 居住者向けにサービスを提供している場合、日本本社の Web サイトであっても GDPR に準拠しなければならなくなる、と大井先生はいいます。

Web サイト上で EU 居住者向けにサービスを提供しているかどうか、というのは、たとえば次のようなことを指します。

  • サービスの提供先として EU 域内に居住する個人をターゲットとしていること
  • アプリの配信地を EU の各国に設定していること


これらは実際の Web サイト上で扱われている言語、決済通貨、サービス、広告などの観点から総合的に判断されることとなっているため、もしも A 社の日本本社が GDPR の対応を行わないまま「EU 居住者向けにサービスを提供している」とみなされてしまった場合、高額の罰金を請求されるだけでなく企業のブランディングを毀損してしまう恐れもあります。
このことから、海外に子会社をもつ企業は、現地の法規制をしっかりと理解しておく必要があることがわかります。


0016_slide1

次に、米国カリフォルニア州に現地法人をもつ日本企業 B 社の場合をみていきます。
カリフォルニア州には、CCPA(California Consumer Privacy Act:カリフォルニア州 消費者プライバシー法)という独自の法規制があります。これは2018年に制定され、2020年1月1日から施行されているもので、米国の中では包括的な個人情報保護法であるといわれています。

B 社の日本本社にも、A 社の場合と同様、CCPA が域外適用されるケースがあります。ただしその条件は GDPR が適用される A 社の場合とは異なり、次の3つだそうです。

  • 年間売上総利益が2,500万ドル超であること
  • 毎年5万人以上の州住民・世帯・デバイスの個人情報(Cookie 含む)を取得していること
  • カリフォルニア州の住民の個人情報を販売したことによる年間収入が50% 以上を占めること

GDPR では、EU の居住者をターゲットとしてサービスを展開しているかどうかが論点でしたが、CCPA ではその点は重視されていないことがわかります。このように、どのような条件で規制が域外適用されるかは地域によって異なりますが、そのすべてを把握して個別に対応するのは容易ではありません。

0016_slide2

Cookie 規制への対応に重要な役割を果たす『CMP』

Cookie 規制への対応に重要な役割を果たすのが CMP(Consent Management Platform:同意管理プラットフォーム)だと大井先生はいいます。

CMP とは、企業とステークホルダーとが個人データの利用に関する同意形成を行えるようにするツールです。海外の Web サイトを閲覧したとき、画面上にポップアップが表示され「すべての Cookie を受け入れる」「すべて拒否する」などの選択肢を迫られることがありますが、この仕組みを提供するのが CMP です。

CMP を理解する上で重要な Cookie とは

CMP は、Cookie の受け入れに関する同意を得ることにより、規制に則って個人データを利用できるようにするツールですが、そもそも Cookie とは Web サイトに訪問したユーザーの情報を一時的にユーザーのブラウザに保存する仕組みのことを指します。

Cookie には 1st Party Cookie と 3rd Party Cookie の2つがありますが、このうち 1st Party Cookie を活用することで、ユーザーは過去にアクセスした Web サイトに再度アクセスした際の操作を便利にすることができます。
たとえば、一度ログインした Web サイトに再度アクセスするときにパスワードを入力せずともログインできたり、一度 EC サイトで買い物かごにいれた商品が、再びアクセスしたときにもかごに残っていたりといった経験はないでしょうか。これらを可能にしているのが 1st Party Cookie なのです。

1st Party Cookie は、Web サイトの運営元によって発行されており、運営元はユーザーがその Web サイト内でアクセスしたページについての情報を取得することができます。たとえば、誰が、いつ、どのページを、どのくらい閲覧したのか、などの情報を解析できるようになるため、データをマーケティングに活かせるようになるのです。

Cookie と改正個人情報保護法の関わり

2022年4月1日から施行された改正個人情報保護法では、Cookie は『個人関連情報』に含まれるものとされ、新たに規制の対象となりました

なお、個人関連情報とは「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」と定義されており、具体的には、個人データの提供先において、他の情報を照合することで容易に個人を特定できるような情報のことを指しています。

これに対処するため、自社が取得した Cookie データを第三者に提供したり、第三者が個人関連情報を個人データとして取得したりする場合には、事前にユーザーの同意を得る必要性が生じています。ここで役に立つのが CMP です。

CMP の実例

大井先生が代表を務める TMIプライバシー&セキュリティコンサルティング株式会社でも、CMP を導入しているそうです。
「すべての Cookie を受け入れる」「すべて拒否する」「Cookie 設定」の3つの選択肢を用意して、Web サイトを訪問したユーザーに、個人データの取り扱いに関する判断を委ねています。「Cookie 設定」をクリックすると、「プライバシー優先設定センター」に遷移し、ユーザーが Cookie に関する細かい設定を選べるようになっています。このように、同社は CMP をうまく活用しながらユーザーのプライバシーを尊重しているとのことです。


0016_slide3


EU 圏内で活動する企業の多くが実装している CMP ですが、日本ではまだマイナーな存在です。その背景には、GDPR と日本の個人情報保護法とで個人情報に対する考え方が違うことが関係している、と大井先生はいいます。

GDPR は Cookie データ単体を個人情報とみなしており、Cookie を含む個人データを収集・利用・編集・提供・保存する際には法的根拠が必要だとしています。その法的根拠の一つとして「ユーザーの同意を得ること」が要求されているため、EU ではCMP の実装によりこの規制をクリアする企業が多くなっています。

一方で、日本の個人情報保護法においては、Cookie は単体では個人情報とみなされておらず、Cookie データを収集する際にはその利用目的を公表しさえすればよいとされています。そのため、日本ではまだ CMP を利用している企業が少数派となっている状況です。
なお、CCPA も GDPR と同様に Cookie データ単体を個人データとみなしており、CMP の利用が求められています


日本企業が目指すべきグローバルサイトのあり方とは

日本の個人情報保護法は、まだ GDPR や CCPA ほど厳格ではありません。では日本企業は自国の個人情報保護法にのみ則っていればよいかというと、そうではない、と大井先生はいいます。
CMP の実装が必要ない場合であっても、真にユーザーフレンドリーな Web サイトを目指すには、グローバル標準のサイト構築・運用を行うことが望ましいといえます。

そのため、グローバルサイトの運用を担う日本企業は「その Web サイトは海外の規制が適用される対象か?」という事実と「海外の規制が適用されるかどうかを問わず、グローバル標準の Web サイトを目指すべきか?」という理想像との2つの観点で考えることが重要である、と大井先生は締めくくりました。

本記事では法規制対応について解説しましたが、グローバルサイトを運用する上では多言語対応も必須となります。内容をもっと詳しく知りたい方は、ぜひ以下の問い合わせ先までご連絡ください。


お問い合わせ

法規制対応について

E-mail:toi@tmi.gr.jp
URL :http://www.tetsuyaoi.com 
    https://www.tmi.gr.jp/people/t-oi.html


大井 哲也(おおい てつや)
TMI 総合法律事務所パートナー弁護士、TMI プライバシー&セキュリティコンサルティング株式会社(https://tmiconsulting.co.jp)代表取締役。情報セキュリティの各産業分野における実務に精通し、情報セキュリティマネジメントシステム(ISMS)認証機関公平性委員会委員長、一般社団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省の情報セキュリティに関するタスクフォース委員を歴任。ビッグデータ利活用、情報管理体制の整備、情報漏えいインシデント対応を専門とする。


多言語対応について

E-mail:marketing@wovn.io
URL :https://mx.wovn.io/contact



c3_01_manufacture_media_cta_1080x1080 50_global_site_media_cta_1080x1080 media_cta_seminar_event_1080x1080