個人情報保護法改正に伴うウェブプライバシー対応の調査 ブックマークが追加されました
調査レポート
個人情報保護法改正に伴うウェブプライバシー対応の調査
個人情報保護法改正に伴うウェブプライバシー対応の調査
日本の個人情報の保護に関する法律 (以降、個人情報保護法とする)は、2003年に施行されて以降三年ごとに見直されており、直近では2022年4月に改正法が施行された。クッキー (Cookie) は個人関連情報として新たに規定され、第三者提供先で個人データと紐づく場合には、提供元が提供先による同意取得を確認する、または同意取得を代行することが求められる。加えて、企業組織が保有する個人データに関する公表事項が追加されたため、必要に応じてプライバシーポリシーの改定が求められる。そこで本稿では改正法の施行に伴い、クッキー使用の同意を取得するクッキーコンセントバナーの導入やプライバシーポリシーの改定がどの程度生じたかを調査し、その結果を報告する。
エグゼクティブサマリー
法改正後1年間でプライバシーポリシーの改定は半数程度にとどまった
2022年4月における個人情報保護法の改正法施行を受け、 2,654件のうち 959件 (36.1%) のプライバシーポリシーが改定された。1年間の定点観測を通じて、プライバシーポリシー改定の累計割合は51.4%で、残りの48.6%は改定されていなかった。改定自体は1年間に渡って発生していたため、各社プライバシー対応のタイミングが異なると考えられる。
海外と比較して日本のクッキーコンセントバナーの表示率は低かった
国内コーポレートサイト17,750件のうち 961件 (5.4%)のみがクッキーコンセントバナーを表示し、新しく個人関連情報と整理されたクッキーの使用に対するユーザ同意を取得していた。また、 1年間の定点観測を通じて、クッキーコンセントバナー表示率は、1.2%の微増にとどまり、クッキー単体では個人データではない日本においてその導入は限定的であった。
多くのバナーでダークパターン※3が適用されていた表示された
クッキーコンセントバナーを分析した結果、10%以上にダークパターンが適用されていることを確認した。特に、ウェブサイト全面にバナーを表示し、ユーザに操作を強制させる Consent Wall の適用率が最も高かった。ウェブサイトのユーザ体験を低下させてまでも、クッキーに対するユーザ同意を取ろうとするウェブサイトが多かった。
取るべきプライバシー対応
クッキーコンセントバナー実装者
- 法的要件として実施する同意取得では、ダークパターンが国によって規制対象となることを理解する。
- ダークパターン混入に十分気をつけて、ユーザ理解を促進する明快なバナーを実装・提供する。
ウェブサイト管理者
- ウェブサイトが使用するクッキーとその用途を特定し、クッキーを取捨選択する。
- プライバシーポリシーは改正法施行等のタイミングで最新化する。
- クッキーコンセントバナーを導入する場合、ダークパターンが混入しないよう注意する。
- さらなるユーザ理解獲得のため、透明性レポートの活用を検討する。
※1 調査した米国ウェブサイト 1,715件に対する割合
※2 調査した EU ウェブサイト 1,663件に対する割合
※3 ユーザの意図に反して特定の行動を起こさせるよう設計されたインターフェース
※4 分析したクッキーコンセントバナー数に対する Consent Wall の適用率
その他の記事
ソリューション開発
デロイト トーマツ サイバーセキュリティ先端研究所(DT-ARLCS)が提供するソリューションサービスを紹介します。
デロイト トーマツ サイバーセキュリティ先端研究所
デロイト トーマツ サイバーセキュリティ先端研究所(DT-ARLCS) は、「研究開発」をもって未来社会に貢献する新たな価値を創造する専門家集団です。サイバーセキュリティに関するさまざまな課題に対して、研究者の自由な発想、斬新なアイディア、そして深い知識に裏付けられた確かな研究開発力により解決へ導きます。