ケベック州法律25号が実際に求めること

法律25号はケベック州の既存の民間部門プライバシー法（Act Respecting the Protection of Personal Information in the Private Sector）を改正し、欧州のGDPRに近づけながら、独自のカナダ的特徴を維持しています。出版事業者とデジタル事業者に影響を与える主な要件は次のとおりです：

• 元々開示された目的以外の目的で個人情報を収集または使用する前の明示的かつ詳細な同意。
• ウェブサイトに氏名と連絡先が公表されなければならない指定プライバシー責任者（正式に委任されない限り、デフォルトでは最高位の役員）。
• 個人情報を含むプロジェクト、特に国境を越えたデータ転送や新技術を開始する前の義務的なプライバシー影響評価（PIA）。
• その侵害が重大な損害のリスクをもたらす場合における、Commission d'accès à l'information（CAI）および影響を受けた個人への侵害通知。
• アクセス、訂正、削除、ポータビリティ、そして独自に自動意思決定について通知を受ける権利および人間によるレビューを求める権利を含む個人の権利。

執行機関はCommission d'accès à l'information du Québec（CAI）であり、2025年を通じて複数の国際的な出版事業者やプラットフォームに対して正式な調査通知を発行しています。一部の規制当局とは異なり、CAIはケベック州の居住者にサービスを提供する非カナダ企業を追う意欲を示しています。

クッキー同意の具体的事項：主要な領域でGDPRより厳格

法律25号は「クッキー」という単語を直接使用していませんが、個人を識別、特定、またはプロファイリングする技術の定義は、クッキー、ピクセル、フィンガープリンティング、およびSDKベースのモバイル識別子を捕捉します。セクション8.1が重要な条項です：デフォルトで有効化されたこのような技術はデフォルトで無効化され、有効化するためにアクティブな同意が必要です。

事前チェックのボックスなし、黙示の同意なし

この文言は特定の点でGDPRのePrivacyフレームワークよりも厳格です：同意がオプトインである必要があるだけでなく、基礎となる技術は同意が得られるまで技術的に無効化されなければなりません。バナー自体が技術的に正しくても、ユーザーが承諾をクリックする前に分析データを読み込むクッキーバナーは法律25号に違反します。出版事業者は、Google Consent Mode v2のアドバンスドモードに類似した真の同意ゲート付きスクリプト読み込みを実装する必要があります。ベーシックモードは一般的に不十分です。

プロファイルベースのパーソナライズには別途同意が必要

クッキーを使用してパーソナライズ広告のためのユーザープロファイルを構築する場合、法律25号はそれをクッキー配置の基本的な同意に加えて独自の同意レイヤーが必要な独立した目的として扱います。ストレージ、分析、パーソナライズをまとめた単一の「すべて承諾」ボタンはリスクがあります。ケベック州の規制当局は目的別の詳細なトグルへの好みを示しています。

国境を越えたデータ転送：PIA要件

ケベック州は、ケベック州外への個人情報の転送前に正式なプライバシー影響評価を求める唯一のカナダの州です。これにはカナダの他の地域、米国、および欧州のデータセンターへの転送が含まれます。PIAは以下を評価しなければなりません：

• 関係するデータの機密性。
• 転送の目的と必要性。
• 転送先の法的管轄の法的枠組み。
• 実施されている契約上および技術的なセーフガード。

出版事業者にとって、これは最も一般的に米国インフラに流れる分析、タグ管理、CDNログ、および広告サーバーデータに影響します。ケベック州適格PIAはこれらの転送を阻止しませんが、文書化された評価と、受信者がデータを同等の原則の下で保護することを示す書面による確認が必要です。標準的な米国ホスト型SaaS契約にはデフォルトでこの文言が含まれることはほとんどなく、修正が必要です。

自動意思決定通知

法律25号のセクション12.1は北米の法律において独自のものです：事業者が自動処理のみに基づいて意思決定を行うために個人情報を使用する場合、次のことをしなければなりません：

• 決定がなされる時点またはその前に個人に通知する。
• 要求に応じて、使用された個人情報、理由、および決定に至った主な要因を説明する。
• 人間のレビュアーに意見を提出する機会を提供する。

アドテクの場合、これは入札要求に対するプログラマティックな意思決定、ダイナミックプライシング、不正スコアリング、およびAI支援コンテンツランキングを捕捉します。出版事業者がこれらのアルゴリズムを直接制御することはほとんどなく、SSPとDSPに依存しています。しかし法律25号は、意思決定が出版事業者が収集したデータを使用する場合、出版事業者を共同責任者として扱います。プライバシー通知に短い自動意思決定開示を追加することが、最低限の実現可能なコンプライアンスステップです。

2026年のための実践的なコンプライアンスチェックリスト

ステップ1：ケベック州のトラフィックとデータフローをマッピングする

分析ツールのIPジオロケーションを使用して、ケベック州からの訪問者数を推定します。ケベック州が対象者の5%未満であっても、売上高の4%のペナルティにより、無視することは不釣り合いなリスクとなります。ケベック州ユーザーに対して起動されるすべてのクッキー、ピクセル、SDKと、そのデータがどこに蓄積されるかをマッピングします。

ステップ2：同意ゲート付きCMPを導入する

CMPは、装飾的なバナーの却下ではなく、真のスクリプトレベルのブロッキングをサポートする必要があります。FlexyConsentおよびその他のGoogle認定CMPは、法律25号のロジックをより広いConsent Mode v2およびGPP US-nationalシグナルと組み合わせるケベック州固有の地域ルールを提供しています。事前設定されたケベック州モードは、すべての非必須カテゴリをデフォルトでオフにする必要があります。

ステップ3：プライバシー責任者を任命して公開する

組織にカナダの拠点がない場合、書面で正式に委任しない限り、CEOまたはそれに相当する人物がデフォルトのプライバシー責任者となります。氏名とメールアドレスをプライバシー通知に公表してください。CAIは最初の検査でこれを確認します。

ステップ4：新しいプロジェクトの前にPIAを完了する

すべての新しいベンダー、すべての新しい国境を越えたデータ転送、すべての新しいトラッキング技術には文書化されたPIAが必要です。CAIのテンプレートPIAは受け入れられます。通常の分析またはCDN契約に対してカスタムの法的意見は必要ありません。

ステップ5：プライバシー通知を更新する

ケベック州は具体的な開示を要求しています：プライバシー責任者の連絡先、収集する個人情報のカテゴリ、保持期間、第三者の受信者、国境を越えたデータ転送の転送先、および自動意思決定の慣行。一般的なGDPR通知は、実質的な追加なしにほとんどの場合、法律25号を満たしません。

ケベック州法律25号とPIPEDAの関係および法律25号の将来

カナダの連邦プライバシー法であるPIPEDAはカナダ全土の商業活動に適用されます。しかし、ケベック州の法律25号はケベック州内で優先されます。これはケベック州が民間部門のプライバシーの目的で実質的に類似していると宣言されているためです。実際には、ケベック州の事業はデフォルトで法律25号に従い、PIPEDAは州境を越える活動にのみ適用されます。

カナダはまた、提案されているConsumer Privacy Protection Act（CPPA）を通じてPIPEDAを近代化しています。CPPAが現在の形で可決されれば、カナダの他の地域をケベック州のモデルに近づけることになります。明示的な同意、意味のあるペナルティ、命令発令権を持つ連邦プライバシー委員、および自動意思決定の透明性です。今日ケベック州法律25号を中心にスタックを構築する出版事業者は、明日の連邦レベルの変化に向けて有利な立場に立てるでしょう。

要約すると：ケベック州法律25号は単なる州の特例ではありません。これはカナダのプライバシーが向かう方向のテンプレートであり、アメリカ大陸で最も積極的なプライバシー規制です。カナダのトラフィックにサービスを提供する出版事業者、広告主、SaaSベンダーは、法律25号のコンプライアンスを将来のプロジェクトではなく、2026年の優先事項として扱う必要があります。