訪日外国人の急増に伴い、インバウンド関連企業が扱う個人データは急速に多様化している。予約情報や購買履歴、パスポート情報、Webサイト上の行動履歴など、扱うデータの範囲は拡大する一方で、プライバシー保護への対応が追いつかない企業も少なくない。日本の個人情報保護法や電気通信事業法はもちろん、海外の利用者にサービスを提供する場合には、GDPRやCCPAといった各国・各地域の法規制にも準拠する必要がある場合がある。しかし現実には、特に中小企業を中心に「知らないうちに法令違反となっている」ケースも散見される。こうした課題を踏まえ、2025年9月25日に開催されたインターネットイニシアティブ(以下、IIJ)・MATCHA共催ウェビナーでは、プライバシー法制の最新動向と、ビジネスリスクを最小限に抑えるための実践的な対策を専門家が詳しく解説した。パネルディスカッションとセッションの模様をレポートする。

  • 加藤博一氏、青木優氏、石川智也氏の写真

    (左から)株式会社インターネットイニシアティブ ビジネスリスクコンサルティング本部 加藤 博一氏、株式会社MATCHA 代表取締役社長 青木 優氏、西村あさひ法律事務所・外国法共同事業 パートナー弁護士 石川 智也氏

知らないうちに海外法規制違反も!インバウンド業界のプライバシーリスクとは?

パネルディスカッションの最初の論点となったのが、インバウンド向けWebサイトで収集する情報は何が個人情報に当たるのか、また、自社はGDPR(EU一般データ保護規則)など外国法の適用対象なのかというテーマである。

まず、西村あさひ法律事務所・外国法共同事業 パートナー弁護士の石川 智也氏が、法律家の視点から実務の要点を掘り下げた。

同氏は、インバウンドでは多様な場面で個人情報を扱うと指摘する。会員登録時の入力情報はもちろん、来日後にアカウントへ紐づけて蓄積する行動情報、問い合わせ内容の保存なども対象だという。さらに「特定の誰かがわからなくても、IPアドレスやクッキー、アプリのSDKから送信されるデータが端末を特定できる場合、海外法では個人データと評価され規制の対象になります」と説明した。

適用範囲については「GDPRはEU域外にも及びます。EU向けに商品・サービスを提供する意図が明白な場合や、アプリなどでEU域内の行動を追跡する場合は適用されます。世界に向けて発信し、その中にEUの人が含まれればターゲットに含まれる、という整理が採られています」と述べ、他国法にも域外適用があり得るため、各国のデータ保護法への対応が課題になると強調した。

  • 石川智也氏の写真

    西村あさひ法律事務所・外国法共同事業 パートナー弁護士 石川 智也氏

続いて、IIJ ビジネスリスクコンサルティング本部の加藤 博一氏が、同社コンサルタントとしての視点から、インバウンド関連企業からWebサイトの法対応で寄せられる相談の上位を紹介。同氏は「予約・問い合わせで取得した個人情報の保存・利用・削除のルール」「プライバシーポリシーや利用規約の多言語・他法域対応」「自社サイトにクッキーバナー対応が必要かの判断」の三点を挙げ、「まずは簡易でもデータマッピングなどで、何をどの目的でどう処理しているか整理するのが第一歩です」とアドバイスした。

インバウンド業界の現場からは、株式会社MATCHA 代表取締役社長の青木 優氏が次のように発言した。「ヨーロッパを狙わずとも、フランスやドイツから自然にアクセスがあります。このため、まずはGDPRのスタンダードを知ることが重要だと感じています」。そのうえで、ユーザー情報の取得・保管・削除の基本ルール整備と、プライバシーポリシーなどGDPRに準拠した英語での情報提供、国内外の事業者と連携する際のスタンス共有の必要性を指摘し、「何から始めるべきか迷う方も多いと思いますが、必要性を認識し一歩ずつ進めることが大事です」と結んだ。

  • 青木優氏の写真

    株式会社MATCHA 代表取締役社長 青木 優氏

GDPRからCCPAまで──海外法の波及と制裁事例に学ぶインバウンド事業者が押さえるべき要点

議論の2つ目のテーマは、「配慮すべきプライバシー保護規制とその制裁事例」。まず、石川氏が法律専門家の立場から各国の規制動向と留意点を解説した。同氏は、「日本の事業者であれば、まず個人情報保護法の適用を受け、遵守が求められます」と前置きし、続いて電気通信事業法の関係にも言及した。「自社のビジネス目的でWebサイトを運営するだけでは適用されませんが、外部にデータを送信するようなサイトの場合、情報提供の義務が生じるケースがあります」と説明する。

海外法については、インバウンドビジネスではGDPRなどの海外規制が適用される場面が多い点を指摘。GDPRが制定されたことで「その内容が各国のデータ保護法に波及し、タイやブラジル、アフリカ諸国や中東でも、ほぼ同様の仕組みが採用されています。いわゆる“ブリュッセル効果”によって世界的にGDPRの考え方が広がっています」と述べた。さらに「対応のベースラインとしてGDPRを理解することが有効です」と強調した。

また、米国カリフォルニア州のCCPA(カリフォルニア州消費者プライバシー法)についても「同州の居住者の個人データを扱う場合に適用され、2020年から施行されています」と説明。加えて、インバウンドでは韓国や中国など近隣国の旅行者数も多い点に触れ、「これらの国も執行リスクが高く、言語対応も重要です。中国語や韓国語サイトを運営しながら、各言語でのプライバシーポリシーを未整備のままにしていると、法的リスクが生じるおそれがあります」と注意を促した。

続いて、加藤氏が制裁事例を紹介した。「欧州では2025年9月、フランスのデータ保護監督機関CNILがGoogleに3億2,500万ユーロ、SHEINに1億5,000万ユーロの制裁金を科しました。Gmailのスマート機能や、SHIENでの見せかけのクッキーバナーにおける同意取得不備が問題視されています」と説明。また、米国では「カリフォルニア州当局が本田技研工業の現地法人に対し、クッキーの同意バナーで“拒否”よりも“同意”を選びやすい設計を問題視し、約63万ドルの制裁を科しました。いわゆる“ダークパターン”への厳しい対応姿勢が示されています」と述べた。

これを受けて青木氏は「共通するのは、クッキーの取り扱いや同意の透明性に対して当局が非常に厳しい姿勢を取っている点ですよね。インバウンド事業者も、海外のプライバシー意識に配慮したサービス提供が求められます」と締めくくった。

自社をどう見直すか?リスク評価で問われる「体制」と「認識」の成熟度

3つ目のテーマは「自社をリスク評価する際の重要ポイント」。まず石川氏が、法的な視点から自社の体制整備と実務上の留意点を解説した。

「プライバシー対応でまず重要なのは、社内に担当者がいるかどうかです。誰もデータ保護や各国の個人情報保護法に対応していない状況では、取り組み自体が難しくなります」。社内で担当を明確にし、セミナーなどを通じて知識を深める体制を整えることが第一歩だとした。

また「GDPR対応をしたいが、最低限どこまでやればいいか」という質問を多く受けるという。「問題になることが多いのは権利行使への対応やデータ漏えいのリスクです」と説明する。

特に「データの保存期間を短く設定することで漏えい時の影響を抑えられます。目的に沿った最小限のデータのみを取得・保持することも重要です」とし、形式面だけでなく内部運用の徹底を重視すべきと強調した。

話題はセンシティブデータにも及んだ。石川氏は「通院歴や宗教、食事制限、宿泊時の特別な要望などはセンシティブデータに該当します。家族旅行であれば子どもの情報も含まれることがあります」と具体例を挙げた。その上で「分析によって本人の嗜好や属性を推測するようなデータ処理ほど慎重な取り扱いが求められます」と述べ、ターゲティング広告などではより高い配慮が必要だと指摘した。

続いて青木氏は、インバウンド業界の立場から「何がリスクになるかは国や文化によって異なり、予測が難しい部分があります」と語る。そして「仮に情報漏えいや対応の不備があれば、口コミや評判の低下につながりかねません。自社の情報の中で何を重要とすべきかを明確にし、社内でラベリングすることが大切だと思います」とまとめた。

優先順位の判断基準とは……リスクベースで進める実践的な法対応

4つ目のテーマは「優先的に実施すべき対策」。まず石川氏が、法規制対応の考え方と国際的な制裁事例から得られる教訓について解説した。

「まずはプライバシーポリシーやクッキー同意など、見た目の部分から着手する企業が多いですが、本当に重要なのはデータ処理の中身です」と石川氏は強調。実際の現場では「自社のデータがどう取り扱われているのか」といった海外ユーザーからの質問が増えており、「グローバル基準に合った実務運用が求められています」と指摘した。

また、「プライバシーポリシーの細部を理由に制裁される事例は多くありませんが、権利行使やデータ漏えいの際には運用面の不備が露呈しやすいです」と述べ、体制の継続的な見直しの必要性を訴えた後「プライバシー対応はローンチ時の一度きりではなく、サービス追加や機能改修のたびに追随できる仕組みを整えることが重要です」と語った。

さらに、制裁金が発生した事例に触れ、「クッキーバナー対応が不十分でも巨額制裁につながることがある」としつつも、「日本企業が直ちに同様の制裁を受ける可能性は高くない」と説明。そのうえで、「制裁金よりも、権利行使や漏えい対応といった“日々の面倒ごと”こそ現実的なリスクと認識すべきでしょう」と述べた。

最後にリスクベース・アプローチの是非について、「リスクを十分に理解したうえで優先順位を決めること自体は正しいものの、“リスクが低いから対応しない”という判断は誤りです」と強調。「実際に漏えいが発生した際、海外ユーザーにも通知義務を負う可能性があります。対応を割り切るなら、そのリスクを本当に受け入れられるかを考えるべきです」と注意を促した。

加藤氏も、コンサルタントの立場から石川氏の発言に強い同意を示した。

現場のリアルと国際基準──「クッキー同意」をめぐる課題と向き合い方

最後のテーマは「現場が語るクッキー同意の本音」。まず加藤氏が、「ダークパターン」と呼ばれる不適切なクッキーバナー設計の具体例を紹介した。

「みなし同意」「拒否ボタンがない」「同意ボタンだけを強調」「コンテンツ閲覧の前に同意を強制する“クッキーウォール”」などが典型的な例だという。「ユーザーが実質的に拒否できない構造や、目立つボタンで同意を誘導する設計は問題視されています。欧州ではこうした“同意の見せかけ”がガイドラインなどでも禁止されています」と説明。さらに米国でもカリフォルニア州(CCPA)など複数の州で「ダークパターンを用いた同意は無効」と明記されていると述べた。

  • (スライド)クッキーバナーにおけるダークパターン実装例
  • (スライド)クッキーウォールについて

続いて、「オプトアウトの導線がわかりにくい」「再同意の際に不均衡な設計になっている」といったケースにも注意を促した。「IIJのクッキー同意管理ツール『STRIGHT(ストライト)』には、こうしたダークパターンを回避するテンプレートを標準実装しており、迷わず適切な対応ができるよう設計されています」と紹介した。

  • (スライド)STRIGHTについて

次に青木氏が、インバウンド業界の現場視点から実情を語った。「観光の現場は業務が多忙で、法対応の優先度を下げざるを得ない企業や自治体も多いと思います。理想はGDPR準拠でも、煩雑すぎるとユーザー離脱につながるおそれがあります」と指摘。そのうえで「できるだけシンプルに、わかりやすい説明と選択肢の提示を心がけるのが現実的でしょう。段階的に改善を重ねる姿勢が重要です」と述べた。

最後に石川氏が法律家の立場から補足した。「ヨーロッパではクッキーバナーの不備による制裁が実際に発生しています。クッキーバナーを検討する際は、なぜ導入するのかという目的を明確にし、法務部門とそれ以外のWebサイトの制作担当者、マーケティング担当者といった現場で視点を合わせて意思決定することが重要です」と締めくくった。

インバウンドの未来を支える「誠実なデータ活用」とは

ディスカッションの最後は、各パネリストからインバウンド業界へのメッセージが寄せられた。

青木氏は「インバウンドは日本が世界に開かれる絶好の機会であり、同時に日本企業がグローバルに広がるきっかけでもあります」と語り、「一過性の対応ではなく、旅行者との関係を継続的に育てる姿勢が重要です」と強調した。

石川氏は「プライバシー対応は単発のプロジェクトではなく、継続的な実践が求められる」と述べ、「データの保存期間や取得目的を常に見直し、必要最小限の範囲で丁寧に運用することが、リスク低減につながります」と助言した。

最後に加藤氏は、「透明性の確保と本人関与機会の提供は、法対応にとどまらずビジネスマナーでもあります」と述べ、「誠実な企業の姿勢は長期的にブランド価値を高めることにつながるのです」と締めくくった。

インターネットイニシアティブが取り組む、
クッキー同意とプライバシーの管理ツール「STRIGHT」の解説はこちらから

STRIGHTをもっと知るにはこちら

関連リンク

[PR]提供:インターネットイニシアティブ