個人データを、ビジネスを守る、IIJ

シュレムス氏主催団体、違法クッキーバナーに対し苦情申立示唆、改善求める


不適切なクッキーバナーに関する監督当局への苦情申立案の提示

オーストリアのプライバシー保護団体noyb.euはウェブサイトで、クッキーバナーの表示がGDPRの要件を満たさず違法な状態であるとする企業560社に向けて、監督当局に対する苦情申立案を提示したと公表した。不適切なクッキーバナー表示を標的として、プライバシー保護に積極的な第三者が公に改善を求めるものであり、欧州向けにウェブサイトを開設している企業にとって注目すべき動きである。

システム化された苦情案の作成・提示

nyob.euは公表で、クッキーバナーにおけるさまざまな種類の違反を自動的に発見するシステムを開発、noyb.eu法務チームが違反状態とされるウェブサイトを確認するとともに、システムが自動的にGDPR違反の苦情申立案を生成するしている。調査対象となった企業は電子メールで苦情申立案を受け取るが、あわせてクッキーバナーの設定をGDPRに準拠した適切なものに変更する手順も入手できるとしている。 noyb.eu は、苦情申立案を提示した企業に対し1ヶ月の猶予期間(Grace period)を与え、その期間中に改善が行われない場合、監督機関に正式に苦情を申し立てる。noyb.euは、このシステムを使用して2021年度中に最大1万件の苦情申立案を作成するとしている。

苦情申立案の処理手順(出典:noyb.eu)

不適切なクッキーバナーの現状

noyb.euによると、今回苦情申立案が提示されたケースのうち81%が、クッキーバナーの第一層で「拒否」の選択肢を与えていなかった。そのため閲覧者は、クッキーを拒否するために第二層より先に進む必要があった。また、73%のケースでは、「同意する」の選択肢を閲覧者にクリックさせるために、欺瞞的な色やコントラストを使用したとしている。その他、90%のケースでは、クッキー設置に対する同意を簡単に撤回する手段が提供されていなかった。nyob.euは、これらが多数の閲覧者にクッキー設置に同意させる、いわゆる「ダークパターン」に当てはまるとしている。 不適切とされるものの中には、クッキー設置の適法根拠を「正当な利益」とするものや、必須でないクッキーを必須クッキーとするものある。

不適切なクッキーバナー表示の内容(出典:noyb.eu)

noyb.euによる非難

noyb.eu代表のマックス・シュレムス氏は公表で、「コンサルタントやデザイナーの業界全体が、架空の同意率を確保するためにおかしなクリック迷宮(crazy click labyrinth)を開発している。これは、GDPRの原則に明らかに反する行為だ。この法律(GDPR)では、企業はユーザーの選択を容易にし、システムを公正に設計しなければならない。企業は、実際にクッキーを受け入れたいと思っているユーザーは全体の3%しかいないが、90%以上は「同意」ボタンをクリックするように誘導することができると公言している」と指摘している。 あわせて、「プライバシーを可能な限りシンプルにする義務があるにもかかわらず、明らかにユーザーにとって面倒なものにしようと全力を尽くしている企業がある。ユーザーがデータ保護に直面するほとんどすべての状況は、企業によってデザインされている。企業はしばしば、プライバシー設定の設計を意図的に悪夢のようなものにし、同時にそれをGDPRのせいにしている」と、不適切なクッキーバナーを表示する企業の姿勢を非難している。

【noyb.euの公表】https://noyb.eu/en/noyb-aims-end-cookie-banner-terror-and-issues-more-500-gdpr-complaints

おススメeBook

おススメサービス

関連情報

コンテンツ

クッキー規制関連コンテンツ

クッキーバナー関連コンテンツ

参考訳:フランス CNIL公表クッキーその他の追跡手段に関するQ&A

ホワイトペーパー:フランスCNIL、クッキー等に関するガイドライン改訂版公開

ホワイトペーパー:CNILによるクッキー(Cookie)等利用同意取得に関する推奨事項の概要

PR:世界各国のクッキー規制最新動向(2021年4月15日時点)

論説:企業の社会的責任として求められるプライバシー保護とは? ~透明性の確保、クッキーバナー等への考え方~ 

サービス

IIJ DPO/CPO補佐サービス

IIJ DPO/CPO補佐サービスは、 IIJのプライバシー保護法コンサルタントがお客様のGDPR、及び各国プライバシー保護法により企業に求められるDPO(Data Protection Officer:データ保護責任者)とCPO(Chief Privacy Officer:最高プライバシー保護責任者)をサポートするアウトソーシングサービスです

IIJ DPOアウトソーシングサービス

IIJ DPOアウトソーシングサービスは、EU GDPRで求められるDPO(Data Protection Officer:データ保護責任者)のアウトソーシングサービスです。
プライバシー保護法制とITセキュリティに高い専門性を持つIIJのDPOチームが、お客様のGDPR遵守対応をサポートします。

IIJ EU代理人サービス

EUに拠点をもたずEUと取引をする企業は、管理者、処理者に関わらず、EU代理人(EU representative)を選任する義務があります。IIJ EU代理人サービスは、EU各国(27カ国と英国)のEU代理人が、EU各国の監督機関やデータ主体(EUに所在する個人)から、英語、フランス語、ドイツ語、スペイン語、イタリア語での問い合わせに対応します(その他のEU公用語も対応可能です)。また、日本語でお客様に取り次ぐと共にGDPRの専門家としてのアドバイスも行います。

 

関連記事