エジプト個人データ保護法第151号(2020年)クッキー同意コンプライアンスガイド:パブリッシャー向け2026年プレイブック

エジプト個人データ保護法第151号(2020年)—一般にエジプトPDPLと呼ばれる—は2020年7月15日に公布され、2020年10月14日に施行されました。その後の大部分の期間、施行規則の不在により、この法律は執行可能な制度ではなく原則の宣言として機能していました。Personal Data Protection Centre—法律の下に設立された規制機関で、Ministry of Communications and Information Technologyに附属—が運用枠組み、ライセンス要件、および法律が留保していた施行規則を公表したことで状況は変わりました。2026年までに制度は完全に稼働し、データ管理者および処理者のライセンス審査が進行中であり、エジプトで運営またはエジプトを対象とするパブリッシャーは、GDPRよりも旧来の地域モデルに近い国内同意基準に従う必要があります。クッキー同意への影響は直接的です。旧来の制度下でエジプトで機能していたバナーは今や不十分であり、GDPRに適合するバナーは、二つの枠組みが乖離する点を統合が考慮している場合にのみPDPLを満たします。

エジプトPDPLが実際に求めること

この法律は、管理者または処理者の所在地を問わずエジプト居住者の個人データの処理に適用され、また、データ主体の所在地を問わずエジプトに設立された管理者および処理者に適用されます。この域外適用はGDPR第3条を反映しており、エジプト国外に本拠を置くがエジプト人読者、アプリインストール、有料顧客を持つパブリッシャーが明確に適用範囲内であることを意味します。個人データは、識別済みまたは識別可能な自然人に関するあらゆるデータとして広く定義されており、機微な個人データ—健康、生体認証、遺伝、精神健康、財務、宗教的信念、政治的意見、犯罪歴データを含む—はより高い同意基準と追加の保護措置の対象となります。

この法律は、処理の適法根拠、標準的なデータ主体の権利一覧—アクセス、訂正、消去、制限、異議申し立て、ポータビリティ—、管理者・処理者の説明責任枠組み、侵害通知義務、越境データ移転規制、および軽微な違反に対するEGP 10万から重大または反復違反に対するEGP 500万に及ぶ行政制裁制度を定めています。無許可の越境移転や無許可の機微データ処理を含む最も重大なカテゴリには刑事制裁が適用されます。

PDPLがクッキー同意を具体的に扱う方法

EUのePrivacy指令とは異なり、PDPLはクッキーに関する個別規定を含みません。クッキーおよび類似の保存・アクセス技術は一般的な同意枠組みの下に入ります。同意を適法根拠として依拠する個人データの処理はすべて、データ主体からの明示的、自発的、具体的かつ文書化された合意表明に基づいて取得されなければなりません。Personal Data Protection Centreは、規則の段階的施行時に発行したガイダンスで、事前にチェックされたチェックボックス、継続閲覧から推測される黙示的同意、および一括同意バナーが法律の基準を満たさないことを確認しています。これによりエジプトはグローバルな方向性と一致し、パブリッシャーがEEAのために既に維持している実際の姿勢がエジプトのトラフィックの正しい出発点であることを意味します。

実際の影響は、サービス提供に厳密に必要でないクッキーおよび類似技術は、ユーザーが積極的に同意する前に設定してはならないということです。厳密に必要なクッキー—セッション識別子、カート内容、セキュリティトークン、負荷分散クッキー—は、ユーザーがサービスを積極的に要求したという根拠に基づいて同意なしに設定できます。それ以外のすべて—アナリティクス、広告、パーソナライゼーション、A/Bテスト、セッションリプレイ、サードパーティタグ—は事前同意が必要です。

PDPLが実際にGDPRと異なる点

統合レイヤーで重要な違いが三つあります。第一に、PDPLは機微な個人データの処理に対する同意を、書面または管理者が要求に応じて提示できる文書化された電子的同等物を通じて取得することを要求しています。これはGDPRの明示的同意要件より高い証拠基準です。第二に、PDPLはライセンス制度を課しています。管理者と処理者はPersonal Data Protection Centreに登録しなければならず、越境移転や直接マーケティングを含む特定の処理カテゴリには個別の運用ライセンスが必要です。第三に、PDPLの越境移転規則は、Centreの充足性認定、承認された契約上の保護措置、またはデータ主体の明示的同意のいずれかを必要とします。認定や保護措置のない管轄への移転は、受信者自身のコンプライアンス状況に関わらず制限されます。

PDPLに基づくコンプライアンスなクッキーバナーの外観

技術的要件はすべての最新CMPがすでに生成するものと一致しますが、ラベリング、文書化、および同意ログはエジプト固有の内容を反映しなければなりません。第一層バナーは、ユーザーに実際の選択肢—承認、拒否、管理—を提示しなければならず、拒否オプションは承認オプションと少なくとも同じくらい目立つ必要があります。一括同意は禁止されているため、第二層は少なくともアナリティクス、広告、および越境移転に依存する処理をカバーするカテゴリ別オプトインを可能にしなければなりません。カテゴリはデフォルトでオフでなければならず、バナーはユーザーが積極的にオンにするまでタグをロードしてはなりません。

バナーから表示されるプライバシー通知は、管理者、該当する場合は管理者のPDPLライセンス番号、収集される個人データのカテゴリ、各処理目的の適法根拠、データ保存期間、エジプト国外に所在する副処理者を含む受信者のカテゴリ、法律に基づくデータ主体の権利、苦情のためのPersonal Data Protection Centreの連絡先を特定しなければなりません。GDPR第13条の基準を満たす通知は大部分で重複しますが、エジプトのライセンスとCentreの連絡先の行は明示的に追加しなければなりません。

Personal Data Protection Centreの審査に合格する統合パターン

参照実装には四つの可動部分があります。第一は、カテゴリ別、デフォルトオフのオプトインをサポートし、パブリッシャーが保持できる構造化された同意文字列を通じてユーザーの選択を公開するCMPです。第二は、非必須クッキーが設定される前に同意状態を厳格に執行するタグローディングレイヤー—サーバーサイドタグマネージャーまたはCMPネイティブゲート—です。第三は、サーバーサイドに保存された同意ログで、各同意イベントについてカテゴリ別のユーザーの選択、タイムスタンプ、バナーバージョン、管理者がCentreの要請で記録を提示できるように切り詰められたまたはハッシュ化されたIP識別子を記録します。第四は、元の付与と少なくとも同じくらい簡単な撤回パス—通常はフッターに永続的なバナー再開リンク—です。

2026年に向けた検証、ライセンシング、監査姿勢

2026年の防御可能なエジプト展開は四つの技術的チェックに合格しなければなりません。第一に、エジプトのIPアドレスから提供されるクリーンなブラウザセッションは、バナーが操作される前にゼロの非必須クッキーを生成しなければなりません。第二に、すべて拒否のパスは無操作セッションと同じ姿勢—アナリティクスタグなし、広告タグなし、セッションリプレイスクリプトなし—をもたらさなければなりません。第三に、すべて承認のフローはユーザーが同意したタグのみを生成しなければならず、同意ログに一致するレコードが含まれていなければなりません。第四に、撤回フローはタグのさらなる起動を直ちに停止し、同意セッション中に設定されたクッキーを期限切れにし、受信者パートナーが必要とするダウンストリームの削除またはオプトアウトシグナルをトリガーしなければなりません。

技術的チェックを超えて、ライセンシングと監査姿勢が展開を防御可能にするものです。施行規則が定めた閾値を超えてエジプト居住者の個人データを処理する管理者はPersonal Data Protection Centreに登録しなければならず、登録記録—同意ログ、プライバシー通知、高リスク処理のデータ保護影響評価結果、および越境移転承認とともに—はCentreがコンプライアンスレビュー中に要請する可能性のある文書を構成します。サーバーサイドログを持つ適切に設定されたCMP、同意状態を執行するタグローディングレイヤー、各越境移転先を明示するプライバシー通知、およびファイルに保存されたライセンス文書は、エジプトPDPLを規制上の未知数からパブリッシャーのMENAリージョン同意姿勢の防御可能な部分に変えるものです。

← ブログ すべて読む →