CPRA クッキー承諾 – 知っておくべきこと | CookieFirstブログ
カリフォルニア・プライバシー権法は、2018年に制定された老舗のカリフォルニア消費者プライバシー法を引き継ぐ形で制定された著名な法案である。これは、クッキーの同意オプトアウトの枠組みの使用を通じて、前のものと非常によく似ており、データ主体が希望に応じてオプトアウトする権利と能力を与えられている限り、ウェブサイトはクッキーの使用についてユーザーの同意を得る必要は本来ないという概念を軸にしている。
CPRAは、主に既存のCCPAを強化するものと考えられており、主要な条項を拡張するためにいくつかの新しい修正と追加が加えられています。特に注目されるのは、同意や機密性の高い個人情報、未成年者の同意の定義が導入されたことです。また、企業が従うべき新たな義務を規定し、既存の執行システムにも適応しています。
CPRAは新しい法律ですが、一般的には、世界中の他のデータプライバシー規制と比較して、非常に優れています。例えば、EUのGDPRやブラジルのLGPDは、この新しい法律の概念と同様に同意を定義しています:
「同意とは、消費者、消費者の法定後見人、消費者のために委任状を持つ者または保佐人として行動する者が、声明または明確な肯定的行動によって、狭義の特定の目的のために自分に関する個人情報の処理に同意することを示す、自由に与えられた、特定の、情報に基づいた、明確でない意思表示のことをいいます。」
上記の定義が強調したいのは、データ処理が合法的であるためには、消費者からの情報提供、具体的、自由に与えられた、曖昧さのない同意が必要であるということである。もちろん、これはCPRA新法で同意を必要とする条件にのみ適用されるものであり、以下でさらに概要を説明します。
CPRAはCookieの使用について同意を必要とするか?
CPRAは、ほとんどの状況において、ウェブサイトにおけるクッキーの使用についてユーザーの同意を義務付けていません。ただし、未成年者の個人情報が含まれる場合など、いくつかの例外があります。このような特定の状況では、データ処理が行われる前に、親または保護者からの肯定的な同意が必要となります。
ユーザーの同意が法的に義務付けられていないその他のケースでは、オプトアウトの枠組みに関するCPRAの要件に従うことは、個々のウェブサイト運営者次第となります。つまり、ウェブサイト訪問者が希望する場合、クッキーの使用やデータ処理からオプトアウトするための明確で分かりやすい方法を提供しなければなりません。
ウェブサイト運営者がオプトアウトフレームワークを導入する方法はいくつかありますが、どの方法を選んでも、CPRAは以下の条件を満たすことを要求しています。
明確なオプトアウトの手段
CPRAに準拠しようとする企業は、何よりもまず、ウェブサイト訪問者がクッキーの使用をオプトアウトするための明確な方法を含める必要があります。ウェブサイトには、「個人情報を販売または共有しない」ボタンまたはリンクと、「機密個人情報の使用を制限する」というタイトルのリンクを簡単に見つけることができるように、目立つように表示する必要があります。
組織は、両方の機能を提供し、そのことを明確に示している場合、これら2つのリンクを1つにまとめることができます。
オプトアウトは無償でなければならない
CPRAに基づく企業にとってのもう一つの重要な要件は、クッキーの使用やより広範なデータ処理のオプトアウトは、無償でなければならないということです。つまり、ウェブサイト運営者は、オプトアウトの権利の行使を希望するユーザーの前に、何らかの金銭的な障壁を置くことはできないのです。
オプトアウトは使いやすくなければならない
企業は、ユーザーがクッキーの使用をオプトアウトすることを無料にしなければならないだけでなく、ユーザーがそれを容易に行えるようにしなければなりません。CPRAは、オプトアウト要求は「他の要求と同様に簡単に提出できる」ものでなければならないと述べています。これは、ウェブサイト運営者がオプトアウト要求を複雑な登録プロセスやログインウォールの背後に置くことはできないことを意味します。
言い換えれば、ウェブサイトの訪問者がアカウントやログインを作成することなくリクエストを送信できるのであれば、同じようにオプトアウトできるようにする必要があります。
機密性の高い個人情報の保護が必要
CPRAとCookieに関して企業が注意しなければならない最後の要件は、機密性の高い個人情報を保護する必要があることです。これには、個人の人種、民族、宗教、健康データなどが含まれます。
この種の情報を収集するウェブサイト運営者は、その情報が適切に保護され、ユーザーの希望に沿った形でしか使用されないように、細心の注意を払う必要があります。
消費者は、消費者プロファイリングのような自動意思決定プロセスにおける個人情報の使用をオプトアウトする権利を有しますが、これはCPRAにおいて以下のように定義されています: 「自然人に関する特定の個人的側面、特にその自然人の仕事上のパフォーマンス、経済状況、健康状態、個人的嗜好、興味、信頼性、行動、場所または移動に関する側面を分析または予測すること。」
CPRAがクッキーの使用についてオプトインによる同意を要求する場合
すでに取り上げたように、CPRAはクッキーの使用についてオプトインの同意を明示的に要求していません。しかし、ほとんどのデータプライバシー法と同様に、このルールにはいくつかの例外があり、最も顕著なのは未成年者のケースです。
CPRAは、16歳未満の未成年者の個人情報の販売および/または共有に関連する第三者のクッキーの使用について、オプトインによる同意を要求しています。つまり、あなたのウェブサイトが子供や青少年を対象としている場合、彼らの個人情報を第三者に販売したり共有したりする前に、親または保護者から明確な同意を得る必要があります。13歳以上の場合は、子ども自身がこの同意を与えることができます。
CPRAに準拠したウェブサイトを維持するには?
カリフォルニア州の消費者プライバシーに関するスタンスが今後変更されることを考慮すると、企業はCPRAへの準拠に向けた措置を開始することが重要です。ここでは、その第一歩を踏み出すためにできることをいくつかご紹介します:
1. ウェブサイトのプライバシーポリシーの見直し
ウェブサイトのプライバシーポリシーを見直し、CPRAのもとでの変更点を反映させるために更新する。特に、Cookieとその使用方法に関するセクションを含めるようにしてください。
2. 現在使用しているCookieを確認する
現在ウェブサイトで使用しているクッキーを見直し、新しい法律のもとでも許容されるかどうかを評価する。もしそうでない場合は、コンプライアンスに適合する代替案を検討する。
3. CMPを導入する
個人情報を第三者に販売または共有する前に、ユーザーから明示的な同意を得るシステムを導入する。これは、ウェブサイト上のポップアップやバナーを通じて行うことができます。無料トライアルはこちら
4. ウェブサイトの閲覧者を確認する
児童や青少年を対象としたウェブサイトを運営する場合、個人情報を第三者に販売または共有する前に、親または保護者の同意を得るシステムを導入してください。
5. 個人情報を分類する
ウェブサイト訪問者の個人情報を分類し、適切に保護すること。
6. 履歴を残す
オプトアウトの要求に簡単に対応できるように、同意の有効期限やユーザーの好みなどを記録しておく。
7.ウェブサイトを定期的に見直す
定期的にウェブサイトを見直し、刻々と変化するデータプライバシー法に準拠していることを確認しましょう。
結論
カリフォルニア州プライバシー権法は2023年1月1日に施行される予定で、企業が個人情報を収集し使用する方法に大きな影響を与えることになります。これらのステップを踏むことで、あなたのウェブサイトがCPRAや今後数年のうちに確実に続くであろう他のデータプライバシー法に準拠していることを確認することができます。
CookieFirstブログより引用
