世界のプライバシー保護規制対応を支援するサイト

今すぐ会員登録する
個別説明ご希望の方
無料資料ダウンロード

ベルギーでの事例に学ぶ、クッキーツール実装時の留意点

  • 2020年 3月 6日

ベルギー監督機関Autorité de protection des données/Gegevensbeschermingsautoriteit(以下「APD/GBA」という。)は、2019年12月17日、法務サイト「Jubel.be(以下「Jubel」という。)」に対し、ウェブページ上のクッキーの設置・運用が不適切であるとして、1万5000ユーロの制裁金を決定した。ウェブページを対象としたクッキーの設置と運用について、ウェブ運営者として注意すべきポイントが多く含まれている事例であり、本ブログ記事では、その中でも特にクッキーツール導入時に企業担当者が留意しておくべきポイントに絞りご紹介する。

なお、本事例は第三者による苦情の申し立てでなく、監督機関による独自の調査から判明しており、クッキーの取り扱いについては、EEA各国の監督機関が運用状況のモニタリングに注力していることに注目すべきである。また、調査過程におけるAPD/GBAの指摘を受け、JubelはAPD/GBAに協力してプライバシーノーティスやクッキーの処理を改善したものの、違反の悪質性や関係するデータ主体の数(Jubelによると月間約35000アクセス)により制裁金処分につながった。

本事例に学ぶクッキーツール実装時の留意点

① 事前に印が付けられたチェックボックスの設置

Jubelのクッキー同意画面で、すでに「同意する」に印がつけられたチェックボックスが存在していることを監督機関が指摘した。欧州司法裁判所による「Planet49」判決で示されたクッキー同意の要件では、ウェブサイトのユーザーの端末機器に既に保存されている情報の保存または情報へのアクセスが、「ユーザーが拒否した場合にチェックを外す必要のある標準チェックボックス(すでに同意にチェックが入っていて、同意しない場合はチェックを外すオプトアウト方式)」によって許可されている場合は、同意の合法性は認められないとしている。

② クッキー同意の取得方法

クッキーに関わらず、GDPR(General Data Protection Regulation)は個人データ処理への同意は特定されていなければならないとしている。また、EDPB(European Data Protection Board)の同意に関するガイドラインでは、特定の目的に対する同意に加え、データ主体は目的ごとに同意の選択権があるとしている。そのため、APD/GBAは、クッキー同意についても目的ごとに個別の同意オプトインを設定すべきとした。APD/GBAは、クッキー同意を各クッキーまたはカテゴリーごとに取得すべきであると指摘している。

③ 同意の撤回または拒否の権利

GDPRは同意について、データ主体は常に同意を撤回する権利を有し、事前に通知を受け、同意の撤回は同意を与えるのと同じくらい簡単にできなければならないとしている。APD/GBAは、Jubelのウェブページのプライバシーノーティスでは、同意の撤回に対するデータ主体の権利に関する情報が適切に提供されなかったと指摘した。Jubelは同意の撤回についても、データ主体の身元に関する書面または電子的要求の提示を閲覧者に求めていた。またJubelは、閲覧者がクッキー設置を受け入れるボタンは設置されていたが、拒否する手段を提供していなかった。APD/GBAはこれらの事実について、GDPR第7条違反であるとしている。

④ マーケティング用クッキーへの同意の必要性について

Jubelは設置していたマーケティング用のクッキーが、ページ内の特定のメディアを利用するために必要であり、受け入れられない場合ビデオ視聴の手続きが複雑になるため必要不可欠なクッキーであると主張した。EUのeプライバシー指令では、ウェブページの運営上「厳格に必要な」クッキーの設置に対する同意の取得は不要であるとしている。APD/GBAは、Jubelが設置したマーケティング用のクッキーは厳格に必要なクッキーには該当せず、設置には閲覧者の同意が必要であると判断した。「必要」という条件は閲覧者の立場から評価されるべきであり、情報サービスプロバイダの立場で判断されるものではないというのがその理由である。マーケティング用のクッキーの設置の同意を得られなくても、法務情報サービスという本質的なサービス提供は可能であると判断した。

⑤ Google Analysis クッキー取得の同意必要性‐同意が必要

Jubelはプライバシーノーティスの中で、同社が使用した「Google Analytics」からのクッキーを投稿者にアクセス情報を提供することで記事の投稿を増加させ、それによりサイトの質を向上させる「機能上厳格に必要なクッキー」であり、それゆえ設置に閲覧者の同意が必要ではないとした。しかしAPD/GBAは、設置された分析型クッキーが「コンテンツ内の記事の投稿者などの第三者」に情報を提供するためのものであり、ウェブページの運営者が情報表示目的のために設置する、機能上技術的に必要不可欠なクッキーであるとは認定しなかった。そのため、同意取得の不要性についても否定した。

前述のとおり、本事案には、ウェブサイトにおけるクッキー運用で個人データ保護上犯す可能性があるポイントが多く含まれており、クッキーツールを導入し管理を開始する際に、

先ず自社のクッキー管理の方針を決定するうえで、留意しておくべきポイントが並べられている。クッキーの設置や運用の適法性については、クッキーを使用するウェブページの設置者の立場から解釈・主張されることが多いが、GDPRを始めとする欧州プライバシー保護規制の基本的理念は「データ主体の自由と権利を保護する」ところにあり、クッキー運用でもその理念が適用されていることを改めて認識すべきである。

<本ブログ上では、端末装置への読み書きを行う技術全般、Webサイトやモバイルアプリで利用される他の追跡技術も含め、便宜的にクッキー(Cookie)と記載しています>

SNSで記事をシェア

関連記事

2024年2月22日、米国連邦取引委員会は、セキュリティソフト販売企業Avast社およびその子会社がユーザーの閲覧データを無断で収集・販売したとして、FTC法違反により1650万ドル(約25億円相当)の制裁金を課すとともに、閲覧データの販売等を禁止した
  • 2024年 4月 26日
【更新】FTC 閲覧データの無断収集・販売によりAvast社に1650万ドルの制裁金
  • 2024年 4月 25日
世界各国のクッキー規制最新動向(2024年4月25日時点)
Googleは、4月23日、Privacy Sandboxの公式ウェブサイトで、今年末に予定していたChromeにおけるサードパーティクッキーのサポート停止を再度延期することを発表した
  • 2024年 4月 25日
Google サードパーティクッキーのサポート停止を再延期
4月8日、フランス監督機関CNILは、AIシステム開発に関する初めての勧告を公表した。本勧告では、個人データの処理に関わるAIシステムの開発について、GDPRの遵守とプライバシーの保護の観点から、開発者が守るべき原則的事項や、留意すべきポイントが、開発の各場面で起こり得るケースとあわせて記述されている。
  • 2024年 4月 24日
フランス CNIL、AIシステム開発に関する初めての勧告を公表
ポーランドのデータ保護当局は、2024年3月12日、Toyota Bank Polska S.A.に対し、GDPR第33条第1項の個人データ侵害の報告を怠ったとして、78,575ズウォティ(約300万円)の制裁金を課した。
  • 2024年 4月 17日
ポーランド データ侵害報告義務違反でトヨタ系金融機関に制裁金
オンライン相談ルーム
IIJのコンサルタントへ質問や
作業支援の依頼が可能です
3分でわかるBizRis動画
BizRis公式アカウントを
フォローして最新情報をチェック
よくあるご質問
世界のプライバシー保護規制調査レポート
マンガページトップ

アクセスランキング

1
2
3
4
5
無料eBook一覧

欧米日クッキー規制対応のバナー実装と運用ルール策定時のポイント

Google Analyticsと改正個人情報保護法~法令遵守上のポイントと透明性確保の重要性
IIJのプライバシー保護規制
対応ソリューション

個別説明をお申込希望の方

個別説明をお申し込み希望の方は以下のフォームをご記入の上、送信ボタンを押してください

*のある項目は入力必須です。