ブラジルの新しいクッキー同意のガイドライン|CookieFirstブログ
今日もまた、国際的なデータプライバシー規制の状況に大きな変化がありました。今回は、ブラジルで起きている変化です。ブラジルで市民の個人データを処理している、または処理する予定がある場合、知るべきことがたくさんあります。
ブラジルのデータ保護当局がガイダンスを発表
2022年10月18日、ブラジルの中央データ保護機関である国家データ保護局(ANPD)は、同国のデータプライバシー法(LGPD)の解釈について待望のガイドラインを発表しました。このガイドラインは、まだ新しい法律の対象である企業に明確な情報を提供すること、また、法律への準拠を維持するためのベストプラクティスを概説することを目的として作成されました。
ブラジルでCookieなどのサードパーティ製トラッカーを使用することが他の地域よりも容易(または困難)になるような、データ処理に関するより寛大な解釈を期待する組織もあり、このガイドラインに対する期待は高かった。結局発表されたのは、多かれ少なかれ柔軟性と伝統のバランスで、正当な利益などの問題で譲歩しつつも、一般的な方針はGDPRなどの既存の主要法に沿ったものとなっています。
組織は何を知っておくべきなのか?
ブラジルが最近発表したガイドラインには、いくつかの重要な変更点と注意すべき事項があります。以下を通じて、最も重要なものを説明するとともに、それらがウェブサイト所有者にとってどのような意味を持つのかを解説します。
同意
ここで最初に整理すべき最も重要な問題は、「同意」です。幸いなことに、ANPDの解釈指針はGDPRやその他の著名な法律を具体的なモデルとしているため、バリエーションが少ない要素である。これらのフレームワークと同様に、同意はオプトインモデルを採用しており、目的を適切に開示した上でデータ主体が自由に与えることを求めています。また、Cookieバナーの使用も推奨しており、特に、不要なサードパーティスクリプトの使用を個人が簡単にオプトアウトできるようなトップレイヤーを持つバナーを推奨しています。
個人を特定できる情報
ブラジルの最新のガイドラインは、個人を特定できる情報に関して過去数年間に見られた増加傾向に乗っかっています。ブラジルや他のデータプライバシー法では、氏名や電話番号のような単純なものだけでなく、より間接的な特定可能情報、つまりデータセット間で相互参照可能な個々のユーザーに関する行動プロファイルや推論を「個人情報」の定義に含めることを検討しています。
法定ベース
ANPDは、組織がオンラインでサードパーティ・クッキーを使用できる法的根拠について、非常に明確にしています。ANPDは、2つの主な状況(1つ目は「同意」、2つ目は「正当な利益」)を特定します。
ここでは、それぞれの用語の意味について簡単に説明します:
同意 – 同意とは、個人または団体がクッキーを使用することを明示的に許可することを指します。
正当な利益 – 正当な利益とは、組織が合理的な目的を持っている場合、ユーザーデータの処理を許容することを規定する法的根拠です。
このアプローチは、他の主要なデータプライバシー法(特にEUのもの)に比べて、際立ってシンプルです。EUでは、ePrivacy規則の下で同意が必要かどうかを判断し、クッキーの使用を正当化するために2つではなく6つの法的根拠のうちの1つを選択するという、より複雑なプロセスを経ることを組織に求めています。
計測・分析
計測や分析を目的としたCookieは、これまでの国際的なデータプライバシー法では様々な捉え方がされてきました。GDPRのように、同意なしでの使用を全面的に禁止している規制もあります。また、LGPDのように、特定の状況下で自律的に使用することを認めているものもあります。ANPDの最近のガイダンスでは、サードパーティのスクリプトによる視聴者測定と分析は「正当な利益」と見なされ、必ずしもユーザーの同意を必要としないとしています。しかし、行動プロファイル、追跡、データの結合など、一部の状況においては、ユーザーの許可が必要であることを明確にしています。
モバイル
欧州の法律と同様に、ANPDの最近のリリースでは、そのガイドラインがCookie以外にも適用されることを指摘しています。他のトラッキング技術(Webサイトで使用されていないものも含む)も規制の対象となるとしています。当局は、ウェブページと同様に広く使われているアプリのようなツールが、消費者の個人データを違法に処理できる抜け穴を持たないようにしたいと考えているのです。
忘れないでください: このガイダンスは厳密には法律ではありません。
はっきり言って、ここ数週間でブラジルから発表された情報は、公式には拘束力を持たないものです。この情報は、同国のデータ・プライバシー法に関するANPDの解釈を示すだけで、新たな罰則を導入するものではありません。
しかし、これは重要でないことを意味するものではありません。このガイドラインは、規制当局が導光板をどのように理解し、同様にどのように適用されるかについて、重要な明確化を提供します。ブラジルのプライバシーポリシーに準拠し、導光板のような法律の罰則を回避したいと考える組織にとって、不可欠な情報です。
お忘れかもしれませんが、これらは以下の通りです:
- ブラジルにおける企業の年間売上高の2%、1回の違反につき最高5,000万レアルまで
- ANPDによるデータ処理活動の禁止。
- ANPDによる既存個人データのブロックまたは削除の命令
ANPDの権限は、今後数年間も拡大する可能性があります。最近、ブラジル連邦上院で可決された新しい暫定措置により、ANPDは独立機関としての地位を獲得し、導光板を適用する能力が実質的に強化されました。
結論
国際的なデータ・プライバシー環境の変化に対応することは、それがどこであろうと、今日のオンライン世界におけるビジネスの成功に極めて重要です。ブラジルの最新のガイダンスは、物事がいかに早く変化するかを示す一例であり、コンプライアンスを後回しにすることは決してできないということを組織に思い起こさせるものであるはずです。
CookieFirstブログより引用
