公開日:
佐藤菜摘
本記事のポイント
-
日本企業が海外の個人情報保護法も遵守すべきか?個別に適用有無を判断する
-
Cookie 同意バナーは「各国法律」と「マーケティング」両方の観点から、同意型・公表型を使い分ける
-
各国で個人情報保護法の内容はバラバラ。GDPR だけでなく各国に合わせた対応が必要
Wovn Technologies株式会社は、2025年2月13日に TMI総合法律事務所 パートナー弁護士で TMIプライバシー&セキュリティコンサルティング株式会社 代表取締役の大井 哲也氏をゲストに迎えセミナーを開催。「グローバルサイトにおける個人情報保護法と Cookie 規制 〜 Web 担当者が必ず押さえるべき法的リスクと対策を解説 〜」と題して、海外の個人情報保護法の適用ケースや Cookie 規制についてお話を伺いました。本レポートではその内容をご紹介します。
【登壇者】
大井 哲也 氏
TMI総合法律事務所 パートナー弁護士
TMIプライバシー&セキュリティコンサルティング株式会社 代表取締役
2001年弁護士登録。IPO、企業間紛争。クラウド、インターネット・インフラ/コンテンツ、SNS、アプリ・システム開発、アドテクノロジー、ビッグデータアナリティクス、IoT、AI、サイバー・セキュリティの各産業分野における実務を専門とし、ISMS認証機関公平性委員会委員長、社団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省の情報セキュリティに関するタスクフォース委員を歴任する。
|
目次 |
日本本社に海外の個人情報保護法が適用されるかは個別判断が必要
大井:
本日は、企業の海外に向けた情報発信と海外の法規制対応というテーマでお話をします。
まず、海外のユーザーに訴求するサイトに対して、どういった法的規制がかかるのかを見ていきましょう。
①日本本社が Web サイトを多言語化して海外に訴求するケースと、②海外子会社が Web サイトを構築して現地に訴求するケースの2つがあります。
1つ目のケースでは日本法に加えて海外現地法が適用されます。実際は海外の法律によって適用有無がわかれますが、海外向けのサイトは海外現地法の適用があり得ると捉えてください。例えば GDPR(EU の個人情報保護法)では、海外をターゲットとして Web サイトやサービスを提供しているかの観点から適用有無を判断します。
2つ目のケースでは海外向けに現地語で Web サイトが作られ、海外子会社が運営しているので、当然海外現地法が適用されます。
日本企業の設立や運営の際に従うのは日本の会社法です。EU やアメリカなど海外向けにビジネスをしていてもアメリカの会社法は適用されません。しかし Web サイトを通せば日本から海外にサービス提供ができます。この場合サービス提供の受け手は、EU やアメリカの個人です。サービスの受け手が海外にいれば海外の法令も考慮しなければなりません。その典型例が個人情報保護法です。
GDPR の適用対象について説明します。
まず EU 域内にある子会社では GDPR が現地法になるため当然適用されます。
続いて日本本社に適用されるのは、EU 域内に居住する個人をターゲットとして商品やサービスを提供する場合です。例えばアプリは配信地を設定できます。自社で構築したアプリの配信地を EU 各国に設定していれば、EU 向けのサービスだと明らかなため GDPR が適用されます。
Web サイトの場合は IP アドレスを識別して国ごとにブロックすることもできますが、基本的には配信地を設定しません。世界各国に訴求しているといえますが、単に Web サイトにアクセスできることや、連絡先を記載してコンタクトできる状態というだけでは GDPR が適用されません。適用の第一の基準は言語設定です。加えて、サービスをユーロで決済できるのであれば EU 向けにサービス提供していると捉えられます。他にも、コールセンターを EU 向けに設置している場合や、EU 居住者向けに商品を配送できる場合は適用対象となります。また、現地のメディアで広告を配信していれば EU 向けにターゲットを設定していると認定できます。こういった各種の要素を総合的に勘案して適用有無が決められます。
現地法が適用される場合には、その規制にあったプライバシーポリシーを定義する必要があります。日本企業の Web サイトには日本法に従ったプライバシーポリシーが当然あると思いますが、それを翻訳するだけでなく現地法への対応が必須になります。
Cookie バナーは同意型と公表型を使い分ける
次に Cookie 規制、特に CMP(同意管理プラットフォーム)の導入についてお話しします。
日経新聞と共同で行った主要100社の Web サイト調査では、8割が Cookie 共有先を公表していました。Cookie 規制への対応が進んでいるといえますが、オウンドメディアに関しては非常に遅れていることがわかりました。
Cookie 規制への対応は2つの視点で考える必要があります。
まず、規制対象業者かという点です。Cookie 情報はユーザーの属性やリファラーの解析、広告配信などに利用されますが、この利用に対して規制をかけているのが Cookie 規制です。Cookie の取り扱いを規律しているのは改正電気通信事業法で、この法律が適用されるかをまず判断します。
そして適用対象となれば、Cookie 同意バナーや Cookie 同意ポップアップを実装します。このバナーやポップアップの裏側にあるのが CMP(同意管理プラットフォーム)というシステムです。
画像のようなタイプでは、ユーザーがチェックボックスで設定を選択できるようになっています。この裏側ではチェックボックスによる同意の有無をシステム上で管理し、Cookie データの利用を制御しています。これが「同意型」のバナーです。海外の個人情報保護法やプライバシー規制では Cookie の収集・利用において、目的(例えば広告配信など)によって同意を得なければならない場合があると定められているため、このような形式のバナーが必要となります。
一方で、データ収集の目的を表示するのみの「公表型」もあります。同意なく収集・利用できる必須 Cookie と呼ばれるものもあるため、それらに対して公表型のバナーが使用されるケースがあります。
なお、日本の電気通信事業法では、データ収集の目的を表示さえすれば良いとされています。ユーザーが同意の有無を選択しないため、全てのデータを取得でき、広告配信やアクセス解析に利用できます。デジタルマーケティングの観点からはより多くのデータが取得できる方が有効なため、日本企業では公表型の利用を推奨しています。
ただし、海外向けに訴求している Web サイトでは GDPR が適用されるかの確認が必要です。適用される場合には同意型を導入しましょう。したがって、Web サイトによって使い分けることを推奨しています。日本国内のみに向けた Web サイトにも同意型を設置しているケースをよく見かけますが、マーケティングの観点からはあまりお勧めしません。
ウェブアクセシビリティは合理的な配慮を求める施策
また、少しテーマが変わりますが、最近「ウェブアクセシビリティ」に関するお問い合わせが増えています。障がいのある方に対しての差別的取り扱いを禁止し、合理的な配慮をしましょうというものです。Web 上で考えると、コンテンツの音声読み上げが一つの例です。詳しくはガイドブックがあるのでご参照ください。
ガイドブックに記載されている内容について、全施策の導入を必須とするものではなく、実施に伴う負担が過重にならない程度での合理的な配慮を求める施策で、1つの参考指標とする位置付けです。
Q&A
WOVN:
ここからは参加者からの質問にお答えいただきます。
個人情報保護について、商業用の Web サイトだけでなく社内向けの Web サイトでも同じ考え方ですか?例えば、日本本社で作成して従業員だけがアクセスできる Web サイトで、海外現地の従業員が利用するケースです。
大井:
基本的には同じ考え方です。例えばドイツの子会社の従業員向けであれば、従業員への人事サービスや福利厚生サービスをドイツ向けに提供していると考えられます。もちろん各国の法律の要件も確認する必要はありますが、まずはこの考え方で構いません。
WOVN:
B2B 企業の日本本社が英語の Web サイトを公開し、問い合わせフォームを設置して法人担当者の個人情報を取得する場合、GDPR の域外適用はないと考えて良いですか?
大井:
はい、基本的に法人をターゲットとする場合には適用されません。EU 域内に居住する個人をターゲットとする場合に GDPR は適用されます。ただし、GDPR が適用される要件は他にもあるため、B2B サービスでも内容を確認する必要はあります。
WOVN:
B2B であっても適用される場合があるということですね。
日本本社の Web サイトの問い合わせ窓口に海外からのお客様が流入して個人情報が登録された。そのデータを実際にサービス提供する海外子会社に渡すことは禁止されていますか?
大井:
データを収集した法人から海外の別法人に渡すことを越境移転といいます。越境移転規制というものがあり、データの移転元の国の法律が適用されます。収集した個人情報を海外に渡すことは原則禁止です。例外は①本人の同意がある場合、②受け手側で一定の個人情報の管理措置を取っている場合、③日本からヨーロッパに渡す場合の3つのケースです。ほぼ全ての国の個人情報保護法に越境移転規制があります。
WOVN:
例外①のケースで本人の同意がある場合ですが、具体的な対応策としては、例えば問い合わせフォームに「ドイツへデータを渡す」といったような文言を入れておくことでしょうか?
大井:
おっしゃるとおりです。
WOVN:
インバウンド旅行客や日本に住む外国人をターゲットにして情報発信する場合、GDPR は適用されますか?
大井:
例えば大阪万博にインバウンド旅行客を呼ぶため Web サイトを構築して海外に訴求する場合、EU 消費者向けの広告・プロモーションを行っていると考えられます。EU にターゲティングをしたサービス提供をしているので GDPR が適用されます。
一方、ドイツ人旅行客がヨーロッパから日本に旅行に来てアプリで新幹線を予約する場合、日本国内のデータ収集になるため GDPR は適用されません。ただし、ヨーロッパから日本への旅行を一連のヨーロッパ向けサービスと捉えると、日本での商取引も GDPR が適用される場合があるため、弁護士の個別判断が必要です。
日本に住んでいる外国人は EU の居住者ではないので GDPR が適用されません。
WOVN:
アクセスしてきたユーザーを識別する際、IP アドレスで判別する方法と、自分で居住地を選ぶなどの申告をする方法のどちらが適切ですか? VPN などもあり、IP アドレスだと実際の居住地と異なる場合もあるかと思います。
大井:
使い分けが良いですね。IP アドレスが国を100%識別できるわけではないため、居住地を入力する欄があればベターです。しかし、多くの情報を取得しようとすれば離脱率が高まるため、リスクとユーザーの利便性のバランスかと思います。
WOVN:
EU 以外の各国の法律にはどのようなものがありますか?GDPR の基準が最も厳しく、それをクリアしていれば問題ありませんか?
大井:
GDPR だけが取り上げられやすいですが、同様の個人情報保護法は世界各国全ての国にあります。大局を見れば GDPR に似た法制度もありますが、詳細はかなり違うため、各国に合わせて対応が必要です。
また、GDPR が最も厳しいとは限りません。国によって厳しい領域と緩い領域がバラバラです。GDPR に対応しておけば他の国の法律にも対応できるという関係には全くなっていません。
WOVN:
ウェブアクセシビリティに関して、EU やアメリカのような先進国の方が法的規制が強いかと思います。日本の Web サイトで海外向けに情報発信する場合、例えばアメリカのウェブアクセシビリティに準拠していないと違反になりますか?
大井:
各国の法律が海外企業へ適用されるかは法律ごとに定められているので、個別判断が必要です。基本的に企業は所在する国の法律を守れば良いというのが大原則です。ただし、一部特殊な法律は海外企業にも適用される場合があるため、その法律に域外適用があるのか、自社が域外適用を受けるケースなのか、個別に判断する必要があります。
WOVN:
大井先生、本日はありがとうございました!
(右から、大井氏、WOVN 佐藤)
<大井弁護士 公式サイト>
会社
●https://www.tmi.gr.jp/people/t-oi.html
●https://tmiconsulting.co.jp
本セミナーの全編は下記アーカイブ動画をご覧ください。
Web サイト多言語化のご相談は WOVN へ
Wovn Technologies株式会社は Web サイト多言語化ソリューション「WOVN.io」を提供しています。多言語化についてご興味のある方は、ぜひ資料をダウンロードください。
.webp "webinar")
