世界のプライバシー保護規制対応を支援するサイト

ベルギーでの事例に学ぶ、クッキーツール実装時の留意点


ベルギー監督機関Autorité de protection des données/Gegevensbeschermingsautoriteit(以下「APD/GBA」という。)は、2019年12月17日、法務サイト「Jubel.be(以下「Jubel」という。)」に対し、ウェブページ上のクッキーの設置・運用が不適切であるとして、1万5000ユーロの制裁金を決定した。ウェブページを対象としたクッキーの設置と運用について、ウェブ運営者として注意すべきポイントが多く含まれている事例であり、本ブログ記事では、その中でも特にクッキーツール導入時に企業担当者が留意しておくべきポイントに絞りご紹介する。

なお、本事例は第三者による苦情の申し立てでなく、監督機関による独自の調査から判明しており、クッキーの取り扱いについては、EEA各国の監督機関が運用状況のモニタリングに注力していることに注目すべきである。また、調査過程におけるAPD/GBAの指摘を受け、JubelはAPD/GBAに協力してプライバシーノーティスやクッキーの処理を改善したものの、違反の悪質性や関係するデータ主体の数(Jubelによると月間約35000アクセス)により制裁金処分につながった。

本事例に学ぶクッキーツール実装時の留意点

① 事前に印が付けられたチェックボックスの設置

Jubelのクッキー同意画面で、すでに「同意する」に印がつけられたチェックボックスが存在していることを監督機関が指摘した。欧州司法裁判所による「Planet49」判決で示されたクッキー同意の要件では、ウェブサイトのユーザーの端末機器に既に保存されている情報の保存または情報へのアクセスが、「ユーザーが拒否した場合にチェックを外す必要のある標準チェックボックス(すでに同意にチェックが入っていて、同意しない場合はチェックを外すオプトアウト方式)」によって許可されている場合は、同意の合法性は認められないとしている。

② クッキー同意の取得方法

クッキーに関わらず、GDPR(General Data Protection Regulation)は個人データ処理への同意は特定されていなければならないとしている。また、EDPB(European Data Protection Board)の同意に関するガイドラインでは、特定の目的に対する同意に加え、データ主体は目的ごとに同意の選択権があるとしている。そのため、APD/GBAは、クッキー同意についても目的ごとに個別の同意オプトインを設定すべきとした。APD/GBAは、クッキー同意を各クッキーまたはカテゴリーごとに取得すべきであると指摘している。

③ 同意の撤回または拒否の権利

GDPRは同意について、データ主体は常に同意を撤回する権利を有し、事前に通知を受け、同意の撤回は同意を与えるのと同じくらい簡単にできなければならないとしている。APD/GBAは、Jubelのウェブページのプライバシーノーティスでは、同意の撤回に対するデータ主体の権利に関する情報が適切に提供されなかったと指摘した。Jubelは同意の撤回についても、データ主体の身元に関する書面または電子的要求の提示を閲覧者に求めていた。またJubelは、閲覧者がクッキー設置を受け入れるボタンは設置されていたが、拒否する手段を提供していなかった。APD/GBAはこれらの事実について、GDPR第7条違反であるとしている。

④ マーケティング用クッキーへの同意の必要性について

Jubelは設置していたマーケティング用のクッキーが、ページ内の特定のメディアを利用するために必要であり、受け入れられない場合ビデオ視聴の手続きが複雑になるため必要不可欠なクッキーであると主張した。EUのeプライバシー指令では、ウェブページの運営上「厳格に必要な」クッキーの設置に対する同意の取得は不要であるとしている。APD/GBAは、Jubelが設置したマーケティング用のクッキーは厳格に必要なクッキーには該当せず、設置には閲覧者の同意が必要であると判断した。「必要」という条件は閲覧者の立場から評価されるべきであり、情報サービスプロバイダの立場で判断されるものではないというのがその理由である。マーケティング用のクッキーの設置の同意を得られなくても、法務情報サービスという本質的なサービス提供は可能であると判断した。

⑤ Google Analysis クッキー取得の同意必要性‐同意が必要

Jubelはプライバシーノーティスの中で、同社が使用した「Google Analytics」からのクッキーを投稿者にアクセス情報を提供することで記事の投稿を増加させ、それによりサイトの質を向上させる「機能上厳格に必要なクッキー」であり、それゆえ設置に閲覧者の同意が必要ではないとした。しかしAPD/GBAは、設置された分析型クッキーが「コンテンツ内の記事の投稿者などの第三者」に情報を提供するためのものであり、ウェブページの運営者が情報表示目的のために設置する、機能上技術的に必要不可欠なクッキーであるとは認定しなかった。そのため、同意取得の不要性についても否定した。

前述のとおり、本事案には、ウェブサイトにおけるクッキー運用で個人データ保護上犯す可能性があるポイントが多く含まれており、クッキーツールを導入し管理を開始する際に、

先ず自社のクッキー管理の方針を決定するうえで、留意しておくべきポイントが並べられている。クッキーの設置や運用の適法性については、クッキーを使用するウェブページの設置者の立場から解釈・主張されることが多いが、GDPRを始めとする欧州プライバシー保護規制の基本的理念は「データ主体の自由と権利を保護する」ところにあり、クッキー運用でもその理念が適用されていることを改めて認識すべきである。

<本ブログ上では、端末装置への読み書きを行う技術全般、Webサイトやモバイルアプリで利用される他の追跡技術も含め、便宜的にクッキー(Cookie)と記載しています>

関連記事