- 2021年 4月 6日
CNILは、2020年10月1日付のクッキー等に関するガイドラインに基づき、オーディエンス測定ソリューションが利用者の事前同意を免除されるかどうかを検証する評価プロセスを開始した。
評価プロセスの目的
この評価プロセスは、ある特定のオーディエンス測定のサービスの仕様を基準として、これを利用する場合、ウェブ管理者が閲覧者からの同意を取得することを免除されうるかどうかを判断することを目的としている。現時点でサービスとして特定されていない架空のサービスについて事前判定するものではない。
サイト管理に厳密に必要といえるかどうかの基準
CNILは、一般的に以下の測定項目はウェブサイトの適切な管理にとって厳密に必要であるとしている。
- オーディエンスの測定、ページごとのオーディエンス測定および集計(通常は1時間ごと、またはそれ以下の頻度で)。
- サイトの内外を問わず、現在のページを要求するためにリンクが張られたページ(リファラー)のリストを、ページごとに毎日集計したもの。
- 訪問者の端末の種類、ブラウザ、画面サイズなどのページ毎の測定および日次での集計
- ページの読み込み時間に関するページごとの測定および1時間単位での集計
- 各ページの滞在時間、直帰率、スクロールの深さ、ページ毎の統計を取り、日次での集計
- ユーザーの行動(クリック、選択)に関するページごとに、また日次での集計。
- リクエストの発生源となった地理的エリアに関するページ毎の統計および日次での集計。
CNILは、オーディエンス測定ソリューションの提供者に対し、簡単な設定で上記のデータを収集できるようにすることを推奨する。上記以外の測定項目が「厳密に必要であること」の基準を満たす可能性を排除するものではないが、厳密に必要であることの分析結果を文書化するのは管理者の責任であるとしている。
評価プロセスの概要
この評価は、提供された文書と情報のみに基づいて実施されるもので、オーディエンス測定ソリューション自体の監査ではないことから、CNILの回答は提出された情報の正確さに依存するとしている。評価申請書に記載されているオーディエンス測定ソリューションのバージョンのみが評価プロセスの対象となり、基準の遵守に影響を与えるような変更がある場合は、評価プロセスの更新が必要となる。
CNILは提出されたすべての評価申請書を分析し、サイト管理に厳密に必要といえるかどうかに関する上記の基準に準拠していないと判断されたソリューション提供者は、ソリューションを改善して新たな評価申請書を提出することになる。以前に上記基準に準拠しているとみなされたソリューションが実際には準拠していないという証拠がある場合、CNILのウェブサイトに掲載されている同意免除ツールリストからそのソリューションが削除されるとともに、ソリューション提供者の責任が問われることになる。
CNILは、規則を遵守すること以上に、オーディエンス測定ソリューションの使用が、ウェブサイトまたはアプリケーションにとって厳密に必要でなければならないと指摘している。
同意取得義務免除確認後の処置
同意取得義務を免除されるオーディエンス測定ソリューションと設定ガイドは、CNILのウェブサイトの専用ページに掲載される。
ソリューションプロバイダは、ソリューションのページに「_____のソリューション/構成について、CNILが提案する「オーディエンス測定」の評価プロセスに参加したため、CNILの「クッキー及びその他の追跡手段」ガイドラインに従い、(同意取得が)免除されたソリューションを提案できます」と表記できるが、文書や商用コンテンツにCNILのロゴを使用することはできない。
Solutions de mesure d’audience exemptées de consentement : la CNIL lance un programme d’évaluation
申請書(Open Document形式)
https://www.cnil.fr/sites/default/files/atoms/files/formulaire_programme_daccompagnement.odt
関連情報
コンテンツ
【ホワイトペーパー:フランスCNIL、クッキー等に関するガイドライン改訂版公開】
【ホワイトペーパー:CNILによるクッキー(Cookie)等利用同意取得に関する推奨事項の概要】
サービス
IIJ DPO/CPO補佐サービスは、 IIJのプライバシー保護法コンサルタントがお客様のGDPR、及び各国プライバシー保護法により企業に求められるDPO(Data Protection Officer:データ保護責任者)とCPO(Chief Privacy Officer:最高プライバシー保護責任者)をサポートするアウトソーシングサービスです。
IIJ DPOアウトソーシングサービスは、EU GDPRで求められるDPO(Data Protection Officer:データ保護責任者)のアウトソーシングサービスです。
プライバシー保護法制とITセキュリティに高い専門性を持つIIJのDPOチームが、お客様のGDPR遵守対応をサポートします。
EUに拠点をもたずEUと取引をする企業は、管理者、処理者に関わらず、EU代理人(EU representative)を選任する義務があります。IIJ EU代理人サービスは、EU各国(27カ国と英国)のEU代理人が、EU各国の監督機関やデータ主体(EUに所在する個人)から、英語、フランス語、ドイツ語、スペイン語、イタリア語での問い合わせに対応します(その他のEU公用語も対応可能です)。また、日本語でお客様に取り次ぐと共にGDPRの専門家としてのアドバイスも行います。
GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、お客様の様々なご相談にお答えします。