データ活用に求められる、法律面とテクノロジー面の対応

　データに関わる規制は、大きく分けると法律面での規制とテクノロジー面での規制があります。GDPRやCCPAなどに代表される海外の法律や個人情報保護法は、法律面でのデータ収集やデータ活用に関する規制であり、国ごとに異なるルールが敷かれています。一方、AppleのITPやGoogleのChromeによる3rd party Cookieの規制などはテクノロジー面の規制になります。

　また、その対応方法についてもCMPなどの同意管理ツールを入れることによって解決できる課題やポストCookieソリューションの導入によって解決できる課題など、規制への対応方法や対処方法も法律面での規制とテクノロジー面での規制によって異なることも多いです。

　そこで今回の記事では、混同しがちな法律面・テクノロジー面での規制について具体的なユースケースをしながら解釈の方法をご紹介できればと思います（※）。

（※）本記事における法律面での解釈は2022年7月7日に実施したセミナー「【フルVer.】7/7（木）、弁護士×データの専門家が語る公開ディスカッション～個人情報保護法、GDPR、Cookie規制の視点から読み解くユースケース～セミナー」の内容をもとに記載しています。

CMPを入れた場合、すべての規制に対応できるか？

　2022年4月に施行された改正個人情報保護法の対応として、サイト内にCookieの同意取得を行うためのバナーを設置した企業もあったかもしれません。GDPRの対象の国においてはCookieを個人情報として扱っており、Cookieの同意取得をするためにCMPを入れているケースも多いのではないでしょうか？

　ただし、Cookieについての扱いは国や法律ごとに異なります。そのため、日本の個人情報保護法などを遵守できているかどうかについては、サービスを提供する国の法律を確認する必要があります。また、同意を取得する場面に関しても各国によってどの地点で何の同意を取得するべきかが異なるので、同様にサービスを提供する国によって注意が必要です。

　一言でCMPの導入と言っても、サービスを提供している国や取らなくてはいけない同意情報の種類によってCMPの導入・活用方法が異なるのです。

　また、テクノロジー面ではCMPがCookieやLocal Storageなどの情報をベースに同意情報を管理しているという点に課題点があります。仮に同意情報を取得してもITPなどを利用しているブラウザによっては、同意情報が数日しか保持できないという点も課題となるケースが多いです。