2026年版 香港PDPO クッキー同意コンプライアンスガイド(パブリッシャー向け)

香港のPersonal Data (Privacy) Ordinance(PDPO)は、1996年に施行されたアジアで最も古い包括的プライバシー法の一つです。その歴史の大部分において、PDPOは奇妙な位置を占めていました。構造的には堅固でありながら、改正ではなく解釈によって緩やかに進化してきたのです。Privacy Commissioner for Personal Data(PCPD)はその進化の積極的な推進者として、香港の運用基準を欧州規範に段階的に合わせるガイダンスノートを発行してきました。一方、根底にある法律はシンガポール、オーストラリア、またはMainland Chinaほど劇的には変化していません。2021年の改正はドックスシングを具体的に扱いましたが、より広範なプライバシー体制は、ほぼ3十年にわたるPCPDガイダンスを通じて解釈された元のPDPOフレームワークの下で引き続き運営されています。香港トラフィックを扱うパブリッシャーおよびSaaS事業者にとって、2026年のPDPOコンプライアンスの状況は、成熟した規制当局、適度に厳格な基準、そして異例に明確なガイダンス文書というものです。この記事では、PDPOが何を要求しているか、PCPDがオンライントラッキングにフレームワークをどのように適用してきたか、そしてクッキーバナー設計への運用上の影響について説明します。

PDPOの概要

PDPOは、個人データの収集、正確性、保持、使用、セキュリティ、および開放性を規定する6つのデータ保護原則(DPP)を中心に構成されています。これらの原則はGDPRより約2十年先行しており、やや異なる用語を使用していますが、実質的な基準は解釈を通じて収束してきました。DPP1(収集の目的と方法)、DPP3(個人データの使用)、DPP5(一般に入手可能な情報)は、オンライントラッキングに最も直接的に関連する原則です。

Ordinanceは、個人データの収集、保持、処理、または使用を管理するすべてのデータユーザーに適用されます。領域的範囲は争われてきた分野です。PDPOは域外適用の法理より以前に制定されており、PCPDはオフショア執行についてEDBPよりも保守的な見解を歴史的に示してきました。実際には、PCPDは香港居住者を対象とするか十分な関連性をもって香港データを処理するオフショア事業者に対して管轄権を主張しており、香港トラフィックを扱う事業者は域外適用が適用されるものとして計画すべきです。

PDPOがクッキーとオンライントラッキングをどのように扱うか

PDPOにはクッキー固有の規定が含まれていません。同意および情報義務はDPPと、オンライントラッキングおよび行動広告に関するPCPDの2022 Guidance Noteから生じています。このガイダンスはアジアのクッキーコンプライアンスに関する最も明確な文書の一つであり、EDBPクッキーバナータスクフォースの立場と密接に整合する期待を明確にしています。

非必須トラッキングに対する積極的な同意

PCPDの立場は、非必須トラッキングには明示的な同意が必要であるということです。黙示的な同意、継続的使用、および事前にチェックされたボックスは、オンラインコンテキストで解釈された場合、DPP1の「特定かつ情報に基づく」要件を満たしません。ガイダンスノートは、スクロール・アズ・コンセントを欠陥のあるパターンとして具体的に指摘しています。

詳細なカテゴリーコントロール

バナーは、ユーザーがカテゴリーを独立して承認および拒否できるようにする必要があります。ガイダンスは、同等の拒否なしに単一ボタンの「すべて承認」を構造的欠陥として扱い、マーケティングクッキーを厳密に必要なものとして誤ラベル付けすることを別の違反として特定しています。

プライバシー通知の内容

DPP5は歴史的に最も積極的に執行されてきた原則の一つです。プライバシー通知は、データユーザー、目的、受信者(転送受信者を含む)、DPP6(アクセスと訂正)に基づく権利フレームワーク、および問い合わせのための連絡先を特定する必要があります。PCPDは、一般的なボイラープレート通知はDPP5を満たさないと明確に述べています。開示は実際の処理を反映する必要があります。

国境を越えた転送(Section 33)

PDPOのSection 33は国境を越えた転送を規定しており、Ordinanceの歴史の大部分において、この体制の最も異例な特徴でした。このセクションは1995年に可決されましたが、長官によって施行されたことはありません。それにもかかわらず、PCPDはモデル契約条項を発行しており、非香港の法域への転送に対してSection 33スタイルの保護措置を実質的に必要と扱っています。法的地位は曖昧ですが、運用上の期待はGDPRのChapter Vに沿っています。

PCPDの執行姿勢

PCPDは、大規模な欧州DPAとは3つの観察可能な点で異なる独特の執行スタイルで運営されています。

コンプライアンス調査の多用

PCPDの主要な執行ツールはコンプライアンス調査であり、罰金ではなく執行通知で終結します。通知は定められた期間内の是正を要求し、通常は金銭的ペナルティなしに解決されます。民事罰則は存在しますが、控えめに使用されてきました。

執行シグナルとしての公開コメント

PCPDは、強力な先例設定的罰金がない状況で判例法として機能する注目度の高い事例の詳細な調査報告書を発行します。事業者はこれらの報告書を注意深く読みます。なぜなら、正式なガイダンスには記載されていない可能性のある具体的な期待を明確にしているからです。

本土との協調

香港と本土のデータフローを伴う国境を越えた調査は、Cyberspace Administration of Chinaとの協調手続きを通じてますます処理されるようになっています。PIPLの域外適用とGreater Bay Area経済フレームワークにおける香港の位置により、この協調はほとんどの法域よりも運用上の重要性が高くなっています。

実践的なコンプライアンスチェックリスト

香港トラフィックを扱うクッキーバナーについて答えるべき6つの具体的な質問。

多法域スタックにおける香港の位置

香港はGreater Chinaで最も成熟したデータ保護体制であり、Mainland Chinaと世界の他の地域との間の国境を越えたデータフローの事実上の入口として機能しています。汎アジア事業を構築しているパブリッシャーにとって、PDPOはシンガポールのPDPA、日本のAPPI、韓国のPIPAと並んで、運用上最も重要なアジアの4つの体制の一つです。PDPOは4つの中で書類上は最も寛容ですが、文書の品質において最も要求が高く、それはPCPDの調査主導の執行が適切に書かれたプライバシー通知を最強の防衛線とするからです。欧州標準に構築されたCMPアーキテクチャは、2つの追加によって香港コンプライアンスの大部分を処理します。Traditional Chinese言語サポートと、Section 33が正式に施行されていなくても示唆する国境を越えた転送文書化パターンです。香港をオフショアから提供する事業者にとって、実際的な姿勢は、PCPDの2022 Guidance Noteを権威ある文書として扱い、古いPDPOテキストだけではなく、その具体的な失敗パターンに対して設計することです。

← ブログ すべて読む →