目次
GDPRとは何か?
一般データ保護規則(GDPR)は、2018年5月25日に欧州連合(EU)で施行されたデータ保護法である。EUおよび欧州経済領域(EEA)内の個人に対するデータ保護を強化することを目的としている。また、EUおよびEEA域外への個人データの移転にも対応している。GDPRは、組織がプライバシーを守りながら個人データを取り扱い、透明性、安全性、説明責任を確保することを義務付けている。
GDPRの影響は広範囲に及び、EU居住者の個人データを処理する世界中の企業に影響を及ぼす。コンプライアンス違反は、企業の年間グローバル収益の4%または2000万ユーロのいずれか高いほうを上限とする高額な罰金につながる可能性がある。この規制はデータ保護に関する新たな基準を設定し、他の管轄区域の法律に影響を与え、企業にデータ保護慣行の改善を促している。
サイバーセキュリティにおけるAIの影響について詳しくはこちら:AIサイバーセキュリティ:サイバー脅威からAIシステムを守る。
このコンテンツは、GDPRコンプライアンスに関するシリーズの一部です。
クッキーの同意とは何ですか?
クッキーの同意とは、ユーザーのデバイスにクッキーを配置する前に、ユーザーの許可を得ることを指します。クッキーは、ウェブサイトがユーザーの行動を追跡し、好みを保存し、パーソナライズされたコンテンツを提供するために使用する小さなファイルです。GDPRの下では、クッキーの使用についてユーザーに通知し、必須ではないクッキーを有効にする前に明示的な同意を得なければなりません。
GDPRを遵守するためには、クッキーの同意を得るプロセスは明確かつ透明でなければなりません。ユーザーは、分析クッキーや広告クッキーなど、さまざまな種類のクッキーをオプトインまたはオプトアウトするオプションを持つべきです。これにより、ユーザーは自分のデータがどのように使用されているかを認識し、プライバシーを維持することができます。
GDPRによるクッキーの種類
GDPRにおけるクッキーは、その目的と必要性に基づいて分類されます:
- エッセンシャルクッキーは、ウェブサイトが正常に機能するために必要なもので、ユーザーが無効にすることはできません。これには、ログインセッション、ショッピングカート、またはセキュリティ機能を容易にするクッキーが含まれます。
- 機能性クッキーユーザーの好みや設定を記憶することで、ウェブサイトの使いやすさを向上させます。例えば、言語選択や表示設定を保存することができます。ユーザーは、自分の好みに基づいて、これらのクッキーを有効または無効にすることができます。
- アナリティクス・クッキー Cookieは、ユーザーがウェブサイトをどのように利用したかに関するデータを収集し、ユーザーの行動を理解し、ウェブサイトのパフォーマンスを向上させるのに役立ちます。これらのクッキーは、ユーザーの行動を追跡するため、ユーザーの同意を必要とします。
- 広告クッキーは、ユーザーの閲覧習慣に基づいてターゲット広告を配信するために使用されます。広告クッキーは、ウェブサイトを横断してユーザーを追跡し、その侵入的な性質のために明示的な同意を必要とします。
クッキーの同意に関するGDPRの要件
1.同意には積極的な行為が必要である。
GDPRの下では、同意は、承諾ボタンをクリックするなどの積極的な行動を通じて行われる必要があります。事前にチェックされたボックスやウェブサイトの継続的な使用による暗黙の承諾のような受動的な同意方法は、コンプライアンスに準拠していません。ユーザーは積極的に同意を確認する必要があります。
このアファーマティブ・アクションの要件は、同意が意識的な意思決定であるべきことを明確にしている。利用者は自分の選択を確認する機会を与えられなければならず、自分が何に同意しているのかを確実に認識しなければならない。
2.同意は自由に与えられるべきである
同意は、強制や不当な影響を受けることなく、自由に与えられなければなりません。ユーザーは、ウェブサイトにアクセスすることと引き換えに、同意を提供することを強制されていると感じるべきではない。例えば、ウェブサイトは、ユーザーがトラッキングクッキーに同意しない限り、アクセスをブロックすることはできません。
自由に与えられた同意という概念は、ユーザーが同意を迫られたり誤解されたりすることなく、自分の個人データをコントロールできることを保証するものです。GDPRの下では、ウェブサイトはユーザーの選択を尊重し、必要に応じてサービスにアクセスするための代替手段を提供しなければなりません。
3.同意は具体的であるべき
GDPRは、同意が具体的であることを要求しています。つまり、同意はデータ処理の目的ごとに個別に取得する必要があります。複数の目的に対する包括的な同意は認められません。利用者はそれぞれの目的について知らされ、個別に同意を提供しなければなりません。
このように具体性を持たせることで、利用者は自分のデータがどのように利用されるかを明確に理解することができる。これにより、組織が曖昧で広範な許可声明を使用することを防ぐことができます。
4.同意はインフォームドであるべき
インフォームド・コンセントとは、収集されるデータ、収集の目的、誰がそのデータにアクセスできるかについて、利用者が詳細な情報を持っていなければならないことを意味する。この情報は、明確かつ簡潔に提示されなければならない。
透明性はインフォームド・コンセントの鍵である。自分のデータがどのように使用されるかを理解するために、ユーザーが複雑な法律用語を解読する必要はありません。
5.同意は曖昧でなく、平易な言葉を使用すべきである。
曖昧さのない同意には、ユーザーの同意を明確に示す行動や発言が必要です。同意が与えられたかどうかについて、誤解や疑念が生じる余地はあってはならない。曖昧さは、ユーザーのデータに対するコントロールを損なう。
さらに、同意バナーには、利用者が容易に理解できるシンプルで平易な言葉を使用しなければならない。組織は、ユーザーを混乱させるような専門用語や複雑な法律用語は避けなければなりません。平易な言葉は、ユーザーが同意している内容を十分に認識するのに役立ちます。
6.同意バナーはアクセス可能であるべき
GDPRは、障害者を含むすべてのユーザーが同意バナーにアクセスできることを要求しています。これには、スクリーンリーダーの互換性やキーボードナビゲーションのサポートなど、ウェブアクセシビリティのベストプラクティスを使用することが含まれます。
同意バナーにアクセシビリティを確保することで、能力に関係なく、すべてのユーザーが同意を理解し提供する同じ機会を得ることができます。これは、データ保護における公平性と平等性というGDPRの広範な原則に沿ったものです。
7.同意は記録されるべきである
組織は、利用者から得た同意の記録を保管しなければならない。これには、いつ、どのように、どのような目的で同意が与えられたかの詳細が含まれる。正確な記録を維持することは、GDPRの遵守を証明するために不可欠である。
同意を記録することは、コンプライアンスを確実にするために監査できる検証可能な証跡を提供する。また、有効な同意が得られたかどうかについての潜在的な紛争を解決するのに役立ち、それによって組織とユーザーの両方を保護します。
8.同意は取り消し可能であるべき
ユーザーはいつでも同意を撤回できなければならない。同意を撤回するプロセスは、同意を与えるのと同じくらい簡単であるべきです。利用者が同意を撤回しようとする際に、障壁や複雑さに遭遇すべきではない。
同意を取り消す能力は、GDPRの下での個人データに対するユーザーコントロールの基本的な側面です。これにより、ユーザーは自分の考えを変えることができ、プライバシーを管理し続けることができます。
GDPRクッキー遵守のための重要なヒント
クッキーの発見、分類、記録
GDPRクッキーのコンプライアンスを確保するための最初のステップは、ウェブサイトで使用されているすべてのクッキーの監査を実施することです。これには、各クッキーを特定し、その目的を理解し、必須クッキー、機能クッキー、分析クッキー、広告クッキーを含むGDPRの定義に従って分類することが含まれます。
クッキーを特定したら、クッキーの名前、プロバイダ、目的、有効期限、収集するデータなどの詳細を文書化する。この文書化は透明性のために極めて重要であり、同意を管理し、GDPRの要件を遵守するための明確な根拠となる。ウェブサイトとその機能が進化するにつれて、この情報を最新に保つために定期的な監査を実施する必要があります。
ウェブサイト・コードベースまたはタグ・マネージャーとの統合
Cookieを効果的に管理し、コンプライアンスを確保するには、Cookie管理システムをウェブサイトのコードベースと統合するか、Google Tag Managerのようなタグ管理システムを使用します。この統合により、ユーザーの同意に基づいてクッキーをいつ、どのように展開するかを制御することができます。
タグマネージャまたはウェブサイトのコードを設定することで、明示的な同意を得た後にのみクッキーが有効になるようにすることができます。このステップは、ユーザーが同意する前に本質的でないクッキーが設定されるのを防ぐために不可欠であり、それによってGDPRのアファーマティブ・コンセントの要件と一致します。
クッキーの同意バナーの展開
明確でユーザーフレンドリーなCookie同意バナーは、GDPRコンプライアンスの重要な部分です。これらのバナーは、クッキーの使用に関する簡潔な情報を提供し、必須ではないクッキーを受け入れるか拒否するかのオプションを提供する必要があります。バナーには、ユーザーが各クッキーの目的やデータの使用方法について詳しく知ることができる詳細なクッキーポリシーへのリンクが含まれていることを確認してください。
同意のバナーは、簡単にアクセスでき、重要なウェブサイトコンテンツを隠すものであってはならない。Preferences」オプションを提供することで、ユーザーはクッキーの設定をカスタマイズすることができ、データの透明性とユーザーコントロールが強化される。
安全な同意の記録
ユーザー同意の正確な記録を維持することは、GDPRコンプライアンスを実証するために不可欠です。同意の日付、時間、範囲など、各ユーザーの同意の詳細を安全に記録するシステムを導入する。これは、サーバーログまたは専用の同意管理プラットフォームによって実現できます。
保存された同意記録は、不正アクセスを防止し、データの完全性を確保するために保護されるべきである。これらの記録は、適切な同意が得られたという明確な証拠を提供し、監査や紛争の際に非常に貴重なものとなる。
クッキー同意管理プラグインの活用
多くのウェブサイトは、クッキーの同意管理プラグインを使用して、コンプライアンスの取り組みを合理化しています。これらのツールは、バナーの作成、同意の記録、ユーザー嗜好の管理など、クッキーのコンプライアンスのさまざまな側面を処理するために使用されます。人気のあるプラグインには、Cookiebot、OneTrust、TrustArcなどがあります。
これらのプラグインには、自動クッキースキャン、カスタマイズ可能な同意バナー、レポート機能などの機能が付属していることがよくあります。これらのツールを活用することで、組織はクッキーのコンプライアンス・プロセスを効率的に管理し、GDPRの要件を確実に満たすことができます。
GDPRコンプライアンス・チェックリストについての詳しい説明をお読みください。
エクサビームによるGDPR対応
エクサビームは、企業がGDPRの技術的要件と運用要件の両方を満たすことを支援します:
- 外部脅威の削減: Exabeamは既存のセキュリティ・ソリューションと連携し、機械学習と行動分析を使って、敵がデータを見つけアクセスしようとしていることを示す可能性のある異常な行動を特定します。Exabeamの脅威タイムラインは、異常と相関ルールのイベントを組み合わせ、ユーザーやデバイスごとにイベントをグループ化します。
- 内部脅威の削減: Exabeamは、IDおよびアクセス管理ソリューションと連携し、割り当てられた権限の偶発的または悪意ある乱用に起因するセキュリティ・インシデントを防止します。特定のユーザーにとって標準から外れたアクティビティにフラグを立てることで、Exabeamはデータ盗難につながる可能性のあるインシデントを検知するのに役立ちます。ユースケースにマッピングされた理想的なログソースと、MITRE ATT&CK Ⓡフレームワークは、どのセキュリティツールを組み合わせれば、イベントの最も明確な全体像を示すことができるかを示しています。
可視化とダッシュボード: Exabeamは、GDPRの義務化とデータプライバシー担当者のニーズをサポートするために、コンプライアンスに基づいた明確なGDPRダッシュボードを提供し、簡単にダウンロード、エクスポート、または電子メールで定期的に送信します。
エクサビーム・コンプライアンスについてもっと読む。
