- 2025年2月3日
質問
弊社はEU域内に拠点がありませんが、EU向けのwebサイトを開設しており、EU域内のデータ主体がアクセスしての利用状況を、利用者のブラウザに対してCookieを設定・利用しています。
Cookieを利用して情報を取得することについては、GDPR第6条の適法根拠の中で「正当な利益」を採用できるでしょうか?それとも「同意」を法的根拠としないと、GDPR上Cookieを利用して情報を取得できないのでしょうか?
(この欄で紹介するQ&Aはこれまで多くのお客様からお寄せいただきました代表的な質問です。)
回答
1.前提
cookieはGDPR適用上、個人データとして取り扱われます。根拠は、GDPR前文30項で、cookieは個人を識別できる可能性があること、前文26項で、合理的な方法で間接的に個人が識別できる可能性があれば、個人データとされていることです。
次に、御社のEU向けサイトですが、GDPR第3条2項は、管理者がEU域外に所在していても、EU域内で発生する自然人の行動を監視する場合、GDPRの適用対象になるとしています。したがって…
