スリランカPDPAクッキー同意コンプライアンスガイド:2026年のパブリッシャー向け2022年第9号法律の施行

スリランカは個人データ保護法が最終的に2022年第9号法律として制定されるまでに10年以上の立法過程を経ており、議長により19 March 2022に認証されました。同法はGDPR以来のグローバルスタンダードとなっている広範な枠組み――目的制限、適法根拠、データ主体の権利、説明責任、越境移転管理、侵害通知、行政罰権限を持つ独立規制機関――を採用しつつ、南アジアの商業的・憲法的現実に適した制度に組み込んでいます。同法は17 March 2023から段階的に施行され、実質的な義務は18ヶ月後に発動し、執行規定は2025年から2026年にかけて段階的に導入されました。スリランカの個人を対象に個人データを処理するパブリッシャーやその他の事業者にとって、影響は直接的です:従来の業種別規制の寄せ集めに対応したクッキー同意態勢はもはや十分ではなく、GDPRに対応した態勢は、二つの制度が異なる具体的な点に対してインテグレーションが設定されている場合にのみPDPAにも適合します。

スリランカPDPAが実際に求めること

PDPAは、管理者または処理者の所在地に関わらず、スリランカにいるデータ主体の個人データの処理に適用され、また、データ主体の所在地に関わらず、スリランカに設立された管理者および処理者にも適用されます。域外適用はGDPR第3条を反映しており、スリランカにオフィスを持たないが、スリランカの読者、アプリインストール、または有料顧客を持つパブリッシャーも明確に適用対象となることを意味します。個人データは、識別された、または識別可能な生存している自然人に関するあらゆる情報として広く定義されており、生体認証、遺伝子、財務、健康、人種、民族、宗教的信念、政治的意見、犯罪歴データを含む特別カテゴリーデータは、より厳格なルールの下で扱われます。

同法は七つの核となるデータ保護原則、六つの処理の適法根拠、標準的なデータ主体の権利――アクセス、訂正、消去、制限、異議申し立て、および技術的に実行可能な場合のデータポータビリティ――と、Data Protection Authority of Sri Lankaである規制機関を設立しており、同機関は指令の発令、違反ごとに最大LKR 1,000万の行政罰の賦課、重大な案件の刑事訴追への付託の権限を持ちます。

PDPAがクッキー同意を具体的にどのように扱うか

PDPAには、EUのePrivacy指令のようなクッキーに関する独立したePrivacy条項はありません。代わりに、クッキー処理を一般的なGDPRスタイルの同意フレームワークに組み込んでいます:適法根拠として同意に依存する個人データの処理は、データ主体が自由に、特定的に、情報に基づき、明確に同意を表明する明確な積極的行為に基づいて取得されなければなりません。DPAはグローバルなトレンドと一致して、事前チェックのボックス、閲覧継続の言語、一括同意バナーは法律の下で有効な同意形式ではないと一貫して示しています。

実際の効果は、EEAで運営するパブリッシャーがすでに維持している態勢と同じです:サービス提供に厳密に必要でないクッキーや類似の保存・アクセス技術は、ユーザーが積極的に同意する前に設定してはなりません。厳密に必要なクッキー――セッション識別子、カート内容、セキュリティトークン、ロードバランシングクッキー――は、ユーザーが積極的に要求したサービスに紐付く正当な利益根拠の下に入るため、同意なしに設定できます。それ以外のすべて、アナリティクス、広告、パーソナライゼーション、A/Bテスト、セッションリプレイ、サードパーティタグは事前同意が必要です。

PDPAとGDPRの違い

インテグレーション層にとって三つの違いが重要です。第一に、PDPAの適法根拠カタログには公益根拠と法的義務根拠が含まれており、これらはGDPR第6条に近いですが、欧州のパブリッシャーが広告測定処理に利用する独立した正当な利益根拠はその形式では含まれていません。PDPAの同等規定はより狭く、管理者の処理記録に記録され、要求に応じてDPAに提供される文書化されたバランシングテストを要求します。第二に、PDPAの越境移転規則は、DPAが移転先管轄区域を指定することを要求し、未指定の管轄区域への移転には明示的な同意、DPAが承認した契約上の保護措置、または狭い除外事項の一つが必要です。第三に、PDPAの侵害通知期限は高リスク侵害についてはGDPRの一律72時間ルールより短く、低リスク侵害については長く、管理者は不当な遅延なく通知しなければなりません。

PDPAの下で準拠したクッキーバナーの外観

技術要件はすべての最新CMPがすでに実現していることと一致しますが、ラベリングと同意ログはスリランカの固有事項を反映しなければなりません。第一層バナーは、拒否オプションが承諾オプションと少なくとも同じくらい目立つ形で、承諾・拒否・管理という実際の選択肢をユーザーに提示しなければなりません。一括同意は禁止されているため、第二層は少なくともアナリティクス、広告、越境移転依存の処理をカバーするカテゴリー別オプトインを可能にしなければなりません。カテゴリーはデフォルトでオフに設定しなければならず、ユーザーが積極的にオンにするまでバナーはタグを読み込んではなりません。

バナーから表示されるプライバシー通知は、管理者、収集される個人データのカテゴリー、各処理目的の適法根拠、データ保持期間、スリランカ国外で運営する副処理者を含む受領者のカテゴリー、PDPAの下でのデータ主体の権利、苦情のためのDPAの連絡先を特定しなければなりません。GDPR第13条の基準を満たす通知は実質的に重複しますが、DPA連絡先と越境移転管轄区域の行を明示的に追加する必要があります。

DPAレビューに合格するインテグレーションパターン

参照実装には四つの構成要素があります。第一はカテゴリー別、デフォルトオフのオプトインをサポートし、パブリッシャーが同意ログに保持できる構造化された同意文字列を通じてユーザーの選択を公開するCMPです。第二はタグ読み込み層――通常はサーバーサイドタグマネージャーまたはCMPネイティブスクリプトゲート――で、非必須クッキーの設定を許可する前に同意状態を厳格に執行します。第三はサーバーサイドの同意ログで、各同意イベントについてカテゴリー別のユーザーの選択、タイムスタンプ、同意バナーバージョン、IPアドレス(管理者がデータ最小化分析を満たすと判断した場合は切り捨てまたはハッシュ化)、付与されたカテゴリーと拒否されたカテゴリーを記録します。第四は元の付与と少なくとも同じくらい簡単な撤回パスで――フッターの永続的なバナー再開リンクは、DPAが国際的なベストプラクティスへの言及により暗黙的に承認したパターンです。

2026年の検証と監査態勢

2026年に防御可能なスリランカへの展開は四つのチェックを通過しなければなりません。第一に、スリランカのIPアドレスから提供されるクリーンなブラウザセッションは、バナーが操作される前にゼロの非必須クッキーを生成しなければなりません。第二に、全拒否パスはアクション無しセッションと同じ態勢を生じさせなければなりません――アナリティクスタグなし、広告タグなし、セッションリプレイスクリプトなし、厳密に必要なセットのみ。第三に、全承諾フローはユーザーが同意したタグを生成し、同意ログには対応する記録が含まれていなければなりません。第四に、撤回フローはそれ以上のタグ発火を即座に停止し、同意されたセッション中に設定されたクッキーを失効させ、受領パートナーが必要とする下流の削除またはオプトアウトシグナルをトリガーしなければなりません。

監査証跡の要件は、PDPAが2026年に最も独特な点です。DPAは、管理者が要求に応じて特定の処理活動を承認した特定の同意記録を提出できるべきであることを示すガイダンスを発行しました。つまり、同意ログはユーザー識別子またはセッション識別子で照会可能でなければならず、管理者が保持スケジュールに文書化した期間保存され、構造化された形式でエクスポート可能でなければなりません。サーバーサイドログを備えた正しく設定されたCMP、同意状態を執行するタグ読み込み層、そして各越境移転先を指名するプライバシー通知の組み合わせが、スリランカPDPAを規制上の未知数からパブリッシャーのグローバル同意態勢の防御可能な部分へと変えるものです。

← ブログ すべて読む →