メキシコLFPDPPPクッキー同意コンプライアンスガイド:2026年にパブリッシャーがすべきこと
メキシコはラテンアメリカで最も古いデータ保護制度の一つを持っています。民間が保有する個人データを管理する連邦法であるLey Federal de Protección de Datos Personales en Posesión de los Particulares(LFPDPPP)は2010年に施行され、2011年には詳細な規則、2013年にはプライバシー通知の拘束力のあるパラメーターが続きました。その存在期間の大半において、この法律はメキシコの行政法スタイルで解釈されてきました。通知内容については規範的であり、技術的な実装については柔軟でした。そのバランスが変わりつつあります。Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales(INAI)——2024年の改革まで規制当局——はデジタル追跡に関してますます直接的なガイダンスを公表し、データ保護当局の再編をめぐる政策論争は、特にオンラインパブリッシャーへの監視を鋭くしました。メキシコの居住者の個人データを処理するあらゆる企業にとって、クッキーバナーのコンプライアンスは今や理論的な問題ではなく、具体的な執行上の問題です。このガイドでは、LFPDPPPとその規則が要求すること、必要なクッキーと必要でないクッキーの境界線がどこにあるか、そして実際にクッキーバナーをコンプライアンスに適合させる方法を説明します。
法的枠組み
LFPDPPPは階層的な枠組みの頂点に位置しています。法律自体は、メキシコの立案者がヨーロッパのデータ保護の伝統から借用したコア原則——適法性、同意、情報、品質、目的、忠実性、比例性、説明責任——を定義しています。法律の下には、業務上の詳細を補充するLFPDPPP規則と、プライバシー通知に何を含めるべきかを指定するLineamientos del Aviso de Privacidad(プライバシー通知ガイドライン)があります。これら3つのテキストが合わさって、拘束力のある規制の実用的な力を持つ統一プライバシーコードのメキシコ版を形成しています。
オンラインパブリッシャーにとって最も重要な規定は、法律の第8条から第11条に基づく同意規則と、同意の求め方を管理するプライバシー通知要件です。メキシコの同意は段階的です。適切な通知が行われた場合、通常の個人データの一部の処理には黙示的な同意で十分ですが、機密データや法律が特に要求する処理には明示的な同意が必要です。クッキーバナーの解釈上の問題は、これらの制度のどちらが行動的および広告クッキーに適用されるかです。
メキシコ法がクッキーとオンライン識別子をどのように扱うか
EUのePrivacy指令とは異なり、LFPDPPPはクッキー固有の規定を含んでいません。代わりに、この枠組みは、識別可能な個人にリンクできる場合、オンライン識別子を個人データとして扱い、同意義務は専用のクッキー規則ではなく一般的な枠組みから生じます。INAIのガイダンスは以下を明確にしています:
- サイト機能に厳密に必要なファーストパーティクッキーは事前の同意を必要としませんが、その存在はプライバシー通知で開示する必要があります。
- アナリティクスクッキーは一般的にインフォームドコンセントを必要とし、データが収集される前にプライバシー通知に明確にアクセスできる場合は黙示的な同意が受け入れられます。
- 広告および行動クッキーは明示的な同意を必要とし、特にデータが第三者と共有される場合やクロスサイト追跡に使用される場合はそうです。
- 機密データを取得するクッキー——健康、性的指向、宗教的信念、政治的意見——はカテゴリに関係なく明示的な同意を必要とします。
実際的な効果として、準拠したメキシコのクッキーバナーは少なくとも必要なカテゴリ、アナリティクス、広告カテゴリを区別する必要があり、広告には肯定的なオプトインが必要で、アナリティクスには明確な通知が必要です。
コンプライアンスの基盤としてのプライバシー通知
メキシコのプライバシー法は、ヨーロッパの伝統とは異なる方法で通知中心です。プライバシー通知——aviso de privacidad——は単なる透明性文書ではなく、同意が構造化される法的手段です。Lineamientos del Aviso de Privacidadは、通知に特定の要素を含めることを要求しており、クッキーバナーはすべてをバナーポップアップに詰め込もうとするのではなく、基礎となる通知と一致していなければなりません。
必要な通知要素
通知はデータ管理者を特定し、収集される個人データをリスト化し、処理の目的を説明し、データが第三者に転送されるかどうかを指定し、データ主体の権利(acceso, rectificación, cancelación, oposición——いわゆるARCO権利)を特定し、それらの権利を行使する方法を説明しなければなりません。オンラインパブリッシャーにとって、クッキーバナーは完全な通知への階層的なエントリーポイントとして機能する必要があり、その代替品であってはなりません。
簡略、簡易、完全
規則は3つの通知形式を認識しています:完全版、簡易版、簡略版。クッキーバナーは通常、完全版への明確な経路とともに簡略または簡易通知を提示します。クッキーのカテゴリと同意トグルはこの階層構造の中にあります。
INAI改革とその後
2024年後半、メキシコ政府は連邦データ保護機能を再構築する改革を推進しました——自律的なINAIは行政府下の新しい制度的取り決めに吸収されます。法的枠組み(LFPDPPP、規則、lineamientos)は引き続き有効ですが、監督の継続性は未解決の問題です。パブリッシャーにとって、保守的な姿勢は、移行期間中の執行強度が不確かな一方で、実質的な基準は一定のままであると仮定することです。改革前にINAIが明示した基準——詳細なカテゴリ、広告への明示的なオプトイン、完全なARCO権利サポート、正確なaviso de privacidad——に従って構築することは、監督アーキテクチャがどのように安定するかに関わらず正しい戦略です。
実践的なコンプライアンスチェックリスト
メキシコのトラフィックを提供するクッキーバナーのために答えるべき6つの具体的な質問。
1. カテゴリ分け
バナーは少なくとも必要、アナリティクス、広告カテゴリにクッキーを分け、広告には肯定的なオプトインを設けていますか?詳細なカテゴリ分けなしにすべての非必須クッキーを単一の「すべて受け入れ」にまとめることが最も一般的な欠陥です。
2. プライバシー通知へのリンク
バナーは完全なプライバシー通知にリンクしており、その通知はすべての必要な要素(管理者、データ、目的、転送、ARCO権利)を含んでいますか?適切に作成された裏付け通知がないバナーは、薄いコンプライアンス面です。
3. スペイン語(メキシコ)
バナーはスペイン語で表示されており、ヨーロッパのスペイン語と異なる場合にメキシコのスペイン語の慣例を使用していますか?適切な言語レジスターはユーザーと監督者の両方に真剣さを示します。
4. 撤回経路
ユーザーが同意の選択を再確認し修正できる永続的な制御がありますか?取消権はARCOの「oposición」権利の一部であり、バナーはこれに対応しなければなりません。
5. 第三者転送の開示
通知は、クッキーを通じて個人データを受け取る第三者のカテゴリ(広告ネットワーク、アナリティクスプロバイダー、CDP)を、ユーザーがデータフローを理解するのに十分な詳細で特定していますか?
6. ログ記録
システムは各同意決定をタイムスタンプとバナーバージョンとともに記録し、苦情が発生した場合にパブリッシャーが決定が自由かつインフォームドに行われたことを証明できますか?
これがラテンアメリカの状況にどう当てはまるか
メキシコはブラジルに次いでラテンアメリカで2番目に大きなデジタル市場であり、そのデータ保護制度は地域で最も影響力のある制度の一つです。現在進行中の改革論争は何年にもわたって解釈の方向性を形成しますが、実質的な基準は安定しています:通知中心、ARCO権利に基づく、広告への詳細な同意、第三者転送の完全開示。ラテンアメリカ全体で運営するパブリッシャーは、一度より高い基準に合わせて構築することで恩恵を受けます——アルゼンチンの改革された枠組み、ブラジルのLGPD、チリの改革された法律、コロンビアの保留中の法案はすべて同様のベースラインの期待に収束しています。メキシコのスペイン語をサポートし、カテゴリレベルの同意を取得し、完全なaviso de privacidadにクリーンにリンクし、監査グレードの形式で決定を記録するCMPは、地域コンプライアンスを処理する同じインフラを通じてメキシコのコンプライアンスを処理します。