2020年6月12日に改正個人情報保護法が公布され、日本でも個人データの取り扱いの問題が注目されるようになってきました。
この記事では、webメディアに関わる方がどのように個人データの取り扱いに対応するべきかご紹介します。
1. 今回の法改正で一体何が変わるのか
今回の法改正によって、データ提供先でCookieが個人情報と突合して「個人データ」として取得される場合、本人の同意が必要になりました。つまり、webメディアはユーザーからデータ利用の同意を取得しなければならなくなりました。
ただし、今回の改正法の条文において、同意の形式は明示されておりません。したがって、webメディア個々によって対応の仕方を判断する必要があります。
2. 対応方法の種類
ユーザーの同意を取得するには、どのような種類があるのかご紹介します。
2-1. ツールなし
ツールを使用せず、オプトアウトをするパターンです。 ※オプトアウトとは、拒否していないユーザー全員を同意したとして扱う「黙示的な同意」のことです。
コストをかけずに同意を取得できる点がメリットです。
2-2. Cookieバナー
比較的低コストで同意を取得できるのがCookieバナーです。
2-3. CMP導入
コストはかかりますが、CMPの導入を行うとGDPRやCCPAに準拠した運用が可能になります。日本においても、次期改正でオプトインの対応が必須になることは十分考えられます。 ※オプトインとは、許可したユーザーのみを同意したユーザーとして扱う「明示的な同意」のことです。
3. webメディアはどのような対応をするべきか
では、webメディアはどのような対応をすれば良いのでしょうか。対応フローを作成してみました。
EU市民のデータを扱う場合は、GDPR(一般データ保護規則)に準拠する必要があるため、CMPなどの同意取得ツールを使用することが推奨されます。
EU市民のデータを扱わない場合は、次期法改正に向けて先手を打ちたいか、様子見をしたいかで対応を変更できます。
いずれにせよ、最低限オプトアウトでの対応が必要になりますので、webメディアを運営している方は確認していただければと思います。
4. まとめ
改正個人情報保護法によって、ユーザーによる個人データの取得について同意が必要になりました。
直近はオプトアウトでの対応で十分ですが、いずれ日本でもGDPR(EU一般データ保護規則)やCCPA(カリフォルニア消費者プライバシー法)のようにオプトインの対応が必要になる可能性が十分に考えられます。
webメディアを運営している方は、自社の状況を確認しながら対応方針を決めてみてください!
