2022年4月、改正個人情報保護法が施行された。ウェブサイトで使用されるクッキーは「個人関連情報」と位置付けられ、利用者の同意取得が必要な場合が明確化された。プライバシーポリシーを適宜改定する必要も生じた。だが、企業側の対応が迅速・万全とは必ずしも言えないようだ。
【調査概要】
実施 サイバーセキュリティ先端研究所
時期 2022年4月
対象 東証上場企業とその子会社および海外支社のコーポレートサイト合計●●●●件
内容 ①改正法施行直後における「クッキー使用同意バナー」の表示状況
②プライバシーポリシーの改定状況
③Consent Management Platform(CMP)注1の実装状況
④バナーへのダークパターン注2の適用状況
クッキー同意バナー表示、日本国内は5.4%とEU域の9分の1
調査対象ウェブサイトのクッキー同意バナー表示率(縦軸)を地域別(日本、米国、EU、その他)に示したものが図1である。
.jpg)
法施行直後の2022年4月時点で、日本国内サイトの表示率は5.4%にとどまっていた。1年前からの増加はわずか1.2ポイントだった。これに対して米国内サイトは20.9%、EU域内サイトにいたっては48.0%と高率である。特にEUでは2018年5月に施行された一般データ保護規則(General Data Protection Regulation, GDPR)が、ウェブサイト閲覧履歴を含む個人に関するあらゆる情報が個人情報であると定義している影響が顕著に表れている。
日本国内の表示率はEU域内の9分の1であり、個人情報保護に対する取り組みの差が鮮明に見て取れる。
プライバシーポリシーの8割に日付無し
また、法改正によって企業・組織が保有する個人データに関する公表事項が追加されたため、該当する場合、プライバシーポリシーを適時に改定しなければならない。国内ウェブサイトのプライバシーポリシーに関する調査結果を図2に示す。
まず、日本国内の調査対象ウェブサイトのうち、約8割にプライバシーポリシーをいつ制定したのか、いつ改定したのかという「日付」が無かった。さらには、改定日を明記しているサイトのうち「1年以上改定していない」サイトが半数(48.6%)にのぼった。
改正個人情報保護法への対応が後手に回っている面があるのではないかと推測される。
今回の調査から、改正個人情報保護法への企業・組織の対応は必ずしも迅速・万全ではないことが垣間見られた。個人情報をしっかりと保護しつつ正しく有効に活用するためには、先行するEUや米国と歩調を合わせる必要がある。彼我の差は大きく、対応の促進・加速が迫られている。
サイバーセキュリティ先端研究所の調査レポート全文はこちら
注1)Consent Management Platform(CMP)とは、クッキー制御や使用同意取得などを管理する仕組み。
注2)ダークパターンとは、利用者の意図に反して特定の行動を起こさせる(騙す)よう設計されたインタフェースのこと。Misdirection Size、Misdirection Color、Consent Wall、Bad Defaults、Bait and Switchなどの手法がある。
