個人データを、ビジネスを守る、IIJ

【PR】クッキーのみなし同意はダメ


近年、個人データの利活用が盛んに行われる一方で、プライバシー保護への関心が高まっています。

特に、規制の対象としてCookie(クッキー)や、それに類似する技術(以下「Cookie等」)の取り扱いが注目されています。これらの技術はPC、スマートフォン等の端末にテキストファイルなどの情報を保存し、その情報に外部からアクセスすることを通じ、セッションの維持等Webサイトの閲覧に不可欠な機能を提供する一方で、ターゲティング型広告など、単一もしくは多サイト間での閲覧者の行動(閲覧、クリックなど)に基づいた処理を可能にします。

Webサイトの管理者が閲覧者に対して、Cookie等の利用を通知するにあたっては、利用目的などが記述されたバナー(以下、「クッキーバナー」)を表示するという方法が採用されるケースが多く存在します。その中で以下のような文言が示されたバナーに遭遇することはないでしょうか。

「当Webサイトの利用により、Cookie等を配置することに同意したことになります。」

「本サイトは、Cookieを使用しています。閲覧を続ける場合、Cookieの使用に同意したものとします。」

Webサイトを閲覧していると、度々表示される上記のような、いわゆる「みなし同意」のクッキーバナー。実は、Webサイトの利用や閲覧をしたことをもってCookie等を取得することを規制する動きがグローバルにおいて見られます。今回は欧州における個人データ保護規則であるGDPR(General Data Protection Regulation)と、関連する指令であり電子通信分野における個人データ処理に関して規定するePrivacy指令の要求事項と照らし、みなし同意の問題点についてご説明いたします。

GDPR、ePrivacy指令における同意

GDPRにおける同意の定義は第4条11項に示されており、以下の要件を満たすことが求められています。

  • Freely given (自由に与えられた)
  • Specific (対象となるデータ処理の目的が特定されている)
  • Informed (十分な情報提供を受けている)
  • Unambiguous indication of wishes (曖昧でない意思表示である)
  • by a statement or by a clear affirmative action (陳述又は明確な肯定的行為による)

各要件の詳細については、本稿では割愛しますが、総じて同意とは、強制的に個人から取得されるものではなく、個人の自由に委ねられるものであり、説明がなされた上で、明確な行為による意思表示が必要となります。

またePrivacy指令第5条3項は、Cookie等を設定し、処理するにあたっては、原則として明確で包括的な情報提供を行った上で、利用者から事前の同意を取得することを義務づけています。(ただし、単に通信の伝達を目的とした端末における情報の保存・アクセス、または、利用者が明確に要求した情報社会サービスの提供者が当該サービスを提供するにあたり必須である場合、同意取得は不要)

上記より、GDPR、ePrivacy指令の要求事項に沿ってCookie等を利用するにあたっては、利用するCookie等に関して情報提供を行い、Webサイトの閲覧者から同意を取得することが求められます。

みなし同意の有効性に関する検討

改めてみなし同意の性質について振り返ってみましょう。Cookie等の利用に関するみなし同意とは、Webサイトを利用 / 閲覧する、もしくはそれらの行為をし続けることをもって、Webサイトの閲覧者がCookie等の利用に同意をしたと考えるものです。

これは、前述したGDPRおよびePrivacy指令における同意の要件と乖離するものです。特に、”陳述又は明確な肯定的行為による”という要件に当てはまるかについては疑問が残ります。単にコンテンツを目的にサイトを利用しているWebサイトの閲覧者が、利用 / 閲覧、もしくはそれらの行為をし続けることをもって、例えばターゲティング型広告のCookie等に対して同意していたとするには、根拠が十分ではないといえます。

また、”十分な情報提供を受けている”という要件についても、みなし同意の性質上満たすことが難しいと考えられます。Cookie等は閲覧者がWebサイトを訪問した時点で発火していることも多く、情報提供を受ける機会が損なわれていることが往々にしてあります。

以上を踏まえ、みなし同意はGDPRが定める同意の有効要件に即しておらず、特に”陳述又は明確な肯定的行為による” ”十分な情報提供を受けている”という同意の要件との乖離があるという点で問題があると考えられます。

関連するBizRis記事

ご参考までに過去にIIJビジネスリスクマネジメントポータル(BizRis)にて取り上げた、Cookie等の利用におけるみなし同意に関連する記事をご紹介いたします。

スペイン 相次ぐクッキー規制違反に対する制裁事例

https://blog.bizrisk.iij.jp/471

本記事では、スペインの監督機関であるAEPDが情報社会および電子商取引法(LSSI)22.2条に基づき、Twitter社等に対して、みなし同意、もしくは閲覧者による同意の管理方法の不備、閲覧者に対する情報提供の不備があったことを理由に、是正命令を出した、また制裁金を課したことを説明しています。本稿と併せてご参照ください。

まとめ

Cookie等の利用において、みなし同意はGDPR、ePrivacy指令の要求事項を満たすものではなく、Cookie等を利用するにあたっては、取得方法を改めるように検討する必要があります。

また、みなし同意は問題の一例であり、いかにしてWebサイトの閲覧者に配慮した形でCookie等の利用について情報提供・同意取得を行うか、グローバルでプライバシー保護規制が強化される中でどのように規制に即していくかといった課題も考えられます。

このようなお悩みをお持ちの方を、IIJはサポートすることが可能です。IIJはこれまでGDPRやクッキー規制をはじめとして、幅広くお客様をサポートしてきたプライバシー保護規制対応のエキスパートです。培ったナレッジをもとに、Cookie等に関しても様々なソリューションをご用意しております。

是非こちらからお気軽にお問い合わせください。

執筆:前田 和宏(ビジネスリスクコンサルティング本部)

 

関連情報

クッキー規制対応特設ページ

米OneTrust社が提供するクッキー同意管理ツールについてご紹介。本ツールのライセンス購入から導入・運用までIIJがサポートすることが可能です。

IIJ GDPR有事対応支援サービス

インシデント発生時に72時間以内の監督機関への報告対応、社内関係部署のしかるべき連携、対データ主体の情報開示といったセンシティブかつ急を要する対応について、お客様のチームに合流してアドバイスを行います。またご依頼に基づき、実際の各種報告書面の作成等の必要な作業を行います。

IIJ ビジネスリスクマネジメントポータル

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

IIJビジネスリスクアドバイザリーサービス 

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、お客様の様々なご相談にお答えします。

IIJ DPOアウトソーシングサービス

IIJ DPOアウトソーシングサービスは、EU GDPRで求められるDPO(Data Protection Officer:データ保護責任者)のアウトソーシングサービスです。
プライバシー保護法制とITセキュリティに高い専門性を持つIIJのDPOチームが、お客様のGDPR遵守対応をサポートします。

IIJ EU代理人サービス

EUに拠点をもたずEUと取引をする企業は、管理者、処理者に関わらず、EU代理人(EU representative)を選任する義務があります。IIJ EU代理人サービスは、EU各国(27カ国と英国)のEU代理人が、EU各国の監督機関やデータ主体(EUに所在する個人)から、英語、フランス語、ドイツ語、スペイン語、イタリア語での問い合わせに対応します(その他のEU公用語も対応可能です)。また、日本語でお客様に取り次ぐと共にGDPRの専門家としてのアドバイスも行います。

IIJビジネスリスクアドバイザリーサービス 

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、お客様の様々なご相談にお答えします。

31ヵ国・地域、クッキー規制も調査対象の世界各国のプライバシー保護規制の概要一覧

IIJでは2019年4月1日公開の初版、2020年3月31日公開の更新版に続き、日本企業からお問合せの多い①31ヵ国・地域(今回新たに12ヵ国を追加)、②17調査項目(クッキー規制を含める)を対象に、西村あさひ法律事務所様の協力も得て、この度「世界各国のプライバシー保護規制の概要一覧(グローバル・オーバービュー)」の更新版(2020年9月29日時点)を作成しました。

関連記事