The CHEQ-Up | DPDPAの現実：Cookieバナーだけでは守れない理由

The CHEQ-Up Vol. 5 | Video Podcast

（原文：2025年10月27日）

Cookieバナーを表示していればコンプライアンスは万全だと思っていませんか？実は、そう簡単な話ではありません。Jason Patel（CHEQ）とSanyogeeta Rananaware（Privacient）が、インドのDPDPAの要件、その本質的な意味、そして企業がどう備えるべきかを解説します。

インドのデジタル個人データ保護法（DPDPA：Digital Personal Data Protection Act）は、近年のプライバシー関連法規の中でも最も重要な動きの一つです。2023年に成立し、2025年に施行が予定されているこの法律は、インド居住者のデータを取り扱う企業に対する新たなアカウンタビリティの時代の到来を告げるものです。

8億人を超えるインターネットユーザーを擁するインドは、デジタル大国です。DPDPAは、データ保護がもはや「任意」ではないことを明確に示しています。欧州のGDPR、カリフォルニア州のCCPA/CPRA、ブラジルのLGPDなど、複数のプライバシー規制への対応にすでに追われている企業にとって、この法律はまた一つ対応すべき項目が増えたように映るかもしれません。実際、多くの企業がすでに最も手軽な方法を選んでいます。サイトにCookieバナーを設置して、「コンプライアンス対応完了」とするやり方です。

しかし問題は、その戦略では精査に耐えられないということです。Cookieバナーだけでは、DPDPAの要件を満たすことはできません。むしろ、対応が十分だという危険な錯覚を生み出しかねないのです。

Cookieバナーという幻想

Cookieバナーは今やどこにでも存在します。グローバルなプライバシー法への対応として、デフォルトの手段となっています。ロジックは単純に見えます。ユーザーにバナーを表示して同意を求めれば、コンプライアンスは達成できるという考え方です。

しかし、ここに大きな問題があります。多くのバナーは、個人ではなく企業を守るために設計されています。 曖昧で分かりにくい、あるいは意図的に誘導するようなものが少なくありません。「当サイトではCookieを使用しています。続行するには同意してください」とだけ表示するものもあれば、「拒否」ボタンを極端に小さくしたり目立たない場所に配置して、選択肢があるように見せかけるものもあります。

DPDPAの下では、こうしたアプローチは通用しません。同意は自由意志に基づき、十分な情報提供のもとで、具体的かつ撤回可能でなければならないと、法律は明確に定めています。一度だけ表示されて「はい」をクリックさせるバナーでは、この基準を満たすことはできません。さらに悪いことに、バナーが消えた後、ユーザーが同意を撤回する明確な方法が用意されていないことがほとんどです。

バナーは、いわば玄関の「ウェルカムマット」のようなものです。その先に家があることを示してはいますが、壁も配管も屋根もなければ、家とは呼べません。DPDPAにおいて、バナーはあくまでも出発点に過ぎないのです。

DPDPAが企業に求めるもの

DPDPAは、プライバシーをゼロから再発明するものではありません。欧州のGDPRやその他のグローバルな法律から得た教訓を踏まえつつ、企業を単なるデータ収集者としてではなく、データ受託者（data fiduciary）として位置づけています。この言葉の選択には重要な意味があります。受託者には注意義務があり、自社の都合よりも個人の利益を優先する義務を負います。

つまり、企業が個人のデータを処理する場合、以下のことが求められます。

• 何を収集し、なぜ収集するのかを本人に伝える
• 本人が理解し、実際に同意していることを確認する
• いつでも同意を撤回できる手段を提供する
• その撤回を、最初の同意と同等の重みで扱う

これは一度きりのやり取りではありません。個人とそのデータとの間に続く関係性を尊重することが求められているのです。

なぜこれが企業にとって重要なのか

リスクは決して抽象的なものではありません。DPDPAの下では、罰則が数千万ドル規模に達する可能性があります。しかし罰金以上に大きなリスクがあります。それは信頼です。

インドのユーザーは、世界中のユーザーと同様に、自分のデータがどのように使われているかに対する意識を高めています。誘導されたり、誤解させられたりしていることを見抜く力もあります。プライバシーを形式的なチェックボックスとして扱う企業は、顧客離れのリスクを抱えることになります。一方で、真摯にコンプライアンスに取り組む企業は、競争の激しい市場で差別化を図ることができます。

考えてみてください。インドのデジタル経済は、Eコマースからフィンテック、ヘルスケアプラットフォームまで、急速に拡大しています。競争は激しく、ブランドロイヤルティは脆弱です。プライバシーは差別化要因になり得ます。ユーザーの権利を尊重する姿勢を示すことで、企業は信頼を獲得し、より長期的な関係を構築できるのです。

バナーの先にあるもの

では、「バナーを超える」対応とは、実際にはどのようなものでしょうか。

まず必要なのは透明性です。曖昧な表現の裏に隠れるのではなく、データをどのように扱っているのかを明確に説明すべきです。たとえば、商品レコメンドのパーソナライゼーションのために位置情報を収集しているなら、そのことを率直に伝えましょう。ユーザーが求めているのは、法律用語の解読ではなく、誠実さです。

また、同意を継続的に尊重する仕組みも必要です。ユーザーが今日トラッキングをオプトアウトした場合、明日からは直ちにそのデータ収集を停止できる技術基盤が求められます。Webサイト、アプリ、サードパーティツールのすべてにわたって同意シグナルを管理できるインフラの構築が不可欠です。

そして重要なのが、アカウンタビリティへの備えです。DPDPAは個人に対して、自身のデータへのアクセス、修正、削除を求める権利を付与しています。規制当局やユーザーから問い合わせがあった場合、その選択を尊重したことを証明できる監査証跡が必要になります。

つまり、コンプライアンスとはバナーのことではなく、エコシステム全体のことなのです。

他市場からの教訓

中途半端な対応がもたらす落とし穴は、すでに他の市場で目に見える形で現れています。欧州では、「すべて同意する」に誘導する操作的なCookieバナーを使用した組織が規制当局から罰金を科されています。カリフォルニア州では、ユーザーの権利を通知する前にデータを収集していた企業が処罰を受けています。ブラジルでは、LGPDが施行された際に、バナーだけでは不十分であることに気づき、同意フローの再構築に追われる企業が相次ぎました。

インドも同様の道をたどる可能性が高いでしょう。その規模とデジタル普及率を考えると、インドは単なる「もう一つの管轄区域」ではありません。新興市場において企業がプライバシーとどう向き合うかが問われる時代になっています。早期に適応した企業は、インドだけでなく、アジアやその先で今後制定される法律に対しても、より有利な立場に立つことができます。

コンプライアンスを超えて：プライバシーを競争優位に変える

多くの企業が見落としているポイントがあります。それは、真摯なコンプライアンスへの取り組みがビジネスにとってプラスになり得るということです。

ユーザーがあなたを信頼すれば、より積極的にエンゲージし、自発的にデータを共有し、ロイヤルティを維持する可能性が高まります。透明性と尊重は、より良い関係を築きます。使い勝手の悪いバナーはフラストレーションを生みますが、思慮深い同意プロセスは、企業が個人を大切にしていることを示すシグナルとなります。

ここで、先見性のある企業は規制を優位性に変えています。プライバシーを法的負担ではなく戦略的資産として位置づけることで、消費者に豊富な選択肢がある市場において差別化を実現しているのです。

結論

Cookieバナーがなくなることはありません。同意を求めるための有用な入口として機能します。しかし、インドのDPDPAの下では、バナーはあくまでも入口に過ぎません。バナーだけに頼る企業は、法律と顧客の双方から取り残されることになるでしょう。

成功するためには、権利を尊重し、ユーザーにコントロールを提供し、アカウンタビリティを証明できるシステムを構築する必要があります。それを正しく実行できれば、単なるコンプライアンスではなく、世界で最も急成長しているデジタル経済の一つにおいて信頼を獲得するチャンスとなるのです。