???????????? Cookie???????????Amendment 13 ??????????
イスラエルのPrivacy Protection Lawは長い歴史を持つ。原法は1981年に遡り、同国のデータ保護規制当局であるPrivacy Protection Authorityは2006年に設立され、EUは2011年以来イスラエルを個人データ移転に関する十分性を有する管轄区域として認めている。このステータスを持つ国は数カ国しかない。この期間の大半において、実質的な基準はGDPRと広く整合していたが、執行体制は軽量で技術的な詳細は発展途上であった。2025年8月に施行されたAmendment 13はこの状況を変えた。この改正は同意基準を近代化し、権利の枠組みを拡大し、国境を越えるデータ移転規則を明確化し、Privacy Protection Authorityの執行権限を大幅に強化した。イスラエル国内で運営している、またはイスラエルのトラフィックをターゲットとするパブリッシャーにとって——世界で最もデジタルに関与度の高い人口を持つ市場の一つ——実質的な効果は、クッキー同意とオンライントラッキングのコンプライアンスが欧州基準に大きく近づいたということである。本ガイドでは、何が変わったのか、現在の運用基準は何か、パブリッシャーが是正作業に集中すべき点はどこかを説明する。
2026年のPrivacy Protection Law
イスラエルの枠組みは三層で構成されている:Privacy Protection Law本体(主要法令)、Privacy Protection Regulations(運用上の詳細を補完するもので、最も重要なのは2017年のData Security Regulations)、そしてPrivacy Protection Authorityが発行する指令とポジションペーパーである。Amendment 13は第一層を修正し、第二層の更新を促した。第三層——当局の解釈指針——は改正施行以降継続的に更新されている。
GDPRに取り組んでいる者にとって、中核原則は馴染み深いものである:適法性、目的制限、データ最小化、正確性、保存制限、完全性、そしてアカウンタビリティ。イスラエル法における適法根拠には、同意、契約履行、法的義務、公共の利益、正当な利益が含まれ、それぞれ独自の範囲を持つ。オンライントラッキングにおいて関連する根拠は同意と、限定的な状況における正当な利益である——これは大半の事業者がすでに知っている枠組みと同じである。
Amendment 13が実際に変更した内容
この改正はクッキー同意よりも広範だが、オンラインパブリッシャーにとって最も重要なのは四つの変更である。
強化された同意基準
改正により同意の定義が厳格化され、自由に与えられ、特定的で、情報に基づいた、明白なものであることが求められるようになった——これはGDPR Article 4(11)と密接に追随する文言である。黙示的同意や継続利用を同意とみなす解釈は、古い解釈では曖昧に容認されていたが、現在は非必須トラッキングには明確に不十分とされている。
拡大されたデータ主体の権利
アクセス、訂正、削除、異議申し立ての権利が明確化され拡大された。改正により応答の明示的な期限が導入され(45日、複雑なケースでは30日延長可能)、権利行使のための明確な経路を提供するパブリッシャーの義務が明確化された。
明確化された国境を越えるデータ移転の枠組み
十分性認定のない管轄区域への移転には、現在明示的な保護措置——モデル契約条項、拘束的企業準則、または特定の例外——が必要とされる。この枠組みは古いイスラエル方式よりもGDPRのChapter Vに近く、当局はEU SCCに類似したモデル条項の公開を開始している。
強化された執行権限
行政罰金が大幅に引き上げられた。最大罰則額は組織収益の一定割合に紐づけられ、高い絶対上限が設定されている。これはGDPRの段階的構造に類似している。当局には文書提出の強制や現地検査の実施を含む拡大された調査権限が付与された。
改正基準下のクッキー同意
Privacy Protection LawにはEUのePrivacy Directiveのようなクッキー固有の規定は含まれていない。代わりに、同意要件は一般的な同意基準と当局の解釈指針から導かれる。Amendment 13施行直後に公開された2026年のオンライントラッキングに関する指針は、EDPBクッキーバナータスクフォースの基準と密接に整合する期待を明示している。
必須のバナー要素
当局は、バナーに第一層での明示的な拒否オプション、厳密に必要なクッキーと分析用および広告用を分離する詳細なカテゴリー制御、そして明確な撤回メカニズムを含めることを期待している。事前チェック済みボックスや欺瞞的なリンクデザインは明確な欠陥である。期待は欧州規範との収束であり、EU審査を通過するバナーは当局を満足させる。
ヘブライ語要件
イスラエルのトラフィックに配信されるバナーはヘブライ語で利用可能であるべきである。当局はこれを厳格な要件として正式化していないが、ヘブライ語話者向けの同意基準の「情報に基づいた」要素の一部としてヘブライ語の利用可能性を指針で言及している。
文書化とアカウンタビリティ
イスラエル法におけるアカウンタビリティ原則はGDPRのそれと一致する。パブリッシャーは要求に応じて同意決定を実証できなければならない。監査レベルのログ記録——タイムスタンプ、バナーバージョン、選択、訪問者の管轄区域——が実質的な要件である。
EUの十分性認定に関する問題
イスラエルのEU十分性認定は、同国のプライバシー体制の最も戦略的に重要な特徴の一つである。2011年の認定により、個人データは追加の保護措置なしにEUからイスラエルへ流れることができ、イスラエルの事業者は十分性認定のない管轄区域の事業者よりも欧州企業にとって大幅に魅力的なパートナーとなっている。欧州委員会の定期的な十分性審査プロセスは、イスラエルの枠組みが欧州基準に遅れないことを要求する。Amendment 13は、次の審査サイクルを通じて十分性を維持することを重要な動機として制定された。
パブリッシャーにとって実質的な意味は、改正されたイスラエルの枠組みへのコンプライアンスは国内執行を回避するだけでなく、同国の十分性ステータスとそのステータスが提供する欧州データフローへの特権的アクセスを維持することでもある。当局の執行優先事項はこれを反映している——イスラエルサイトのバナーデザインの欠陥は、十分性認定のない管轄区域における同じ欠陥よりも当局により深刻に受け止められる。なぜなら、システム全体の十分性への影響があるためである。
Privacy Protection Authorityの執行姿勢
当局は法務省内で運営されているが、実質的な運営独立性を持つ。その執行姿勢は歴史的に抑制的であった——能力構築、セクター協議、そして大量罰金ではなく標的を絞った注目度の高いケース——しかし、Amendment 13の拡大されたツールキットはこのパターンを顕著に変化させた。
調査の引き金
当局は主に三つのチャネルを通じて調査を開始する:データ主体からの苦情、侵害通知、そしてセクター別レビュー。オンラインパブリッシャーは最初のチャネルを通じて浮上する傾向がある——バナーデザインやトラッキング行動に関する苦情がしばしば入口となる。
制裁実務
当局のAmendment 13以降の罰金はパターンに従っている:まず是正期間が提供され、金銭的罰則は是正が不完全または拒否された場合にのみ課される。シグナルは、欠陥が存在する場合でも誠実なコンプライアンス姿勢が重要であるということである。
EU規制当局との調整
当局は十分性認定管轄区域が関与するArticle 29スタイルの調整メカニズムに積極的に参加している。執行立場はEDPB指針を追跡する傾向があり、EUとイスラエルのトラフィックが関係する国境を越える苦情はますます調整された手続きを通じて処理されている。
実践的なコンプライアンスチェックリスト
イスラエルのトラフィックに配信されるクッキーバナーについて答えるべき六つの具体的な質問。
- 明示的な第一層拒否ボタンがあるか? 拒否パスは承諾と同じ表面に、同等の視覚的な目立ち方で配置されなければならない。
- カテゴリーは詳細か? 必要、分析、広告は個別に制御可能でなければならない。詳細度のない一括承諾は欠陥である。
- ヘブライ語が利用可能か? ヘブライ語話者を含む聴衆に対しては、バナーとポリシーはヘブライ語をサポートすべきである。
- 撤回は同意と同じくらい容易か? 任意のページから到達可能な永続的な制御が運用上の期待である。
- 国境を越えるデータ移転は文書化されているか? どの送信先が十分性認定のない管轄区域にあり、どの保護措置が各移転を認可しているかを特定する。
- 同意ログは監査レベルか? タイムスタンプ、バナーバージョン、選択、決定時の管轄区域は回復可能でなければならない。
イスラエルが世界的な状況の中でどこに位置するか
イスラエルのAmendment 13はより広いパターンを反映している:GDPR以前から存在する管轄区域は、欧州基準との整合を維持するために枠組みを近代化している。日本、英国、韓国、ブラジルはすべて類似の軌跡をたどってきた。これらの市場で運営するパブリッシャーにとって実質的な意味は、欧州基準に基づいて構築された単一のCMPインフラストラクチャが規制環境の大部分を処理するということである——イスラエルの枠組みは改正後、この範囲にしっかりと含まれている。戦略的価値は二重である:国内コンプライアンスと、十分性ステータスが提供するEUとの特権的なデータフロー関係への継続的参加。欧州コンプライアンスがすでに正当化している適切なバナーアーキテクチャと同意ログへの投資は、イスラエルにおいては、大半の十分性認定のない管轄区域よりも直接的に防衛可能な投資である。