- 2024年 10月 29日
ドイツではGoogle Analytics使用サイトはクッキーバナーによる閲覧者のOpt-in(事前の同意)が必要とされていることをご存じですか?貴社のサイトが日本国内にあっても、ドイツ向けのサービスを提供していると判断される場合(例えばドイツ語メニューを用意している、決済通貨がユーロである等)、クッキーバナーでOpt-in同意を取らなければGDPR上違法となりますので注意が必要です。
また、他のEEA加盟国やカリフォルニア州においても、監督機関や裁判所がこの問題につきどのような判断を取るか注視が必要です。
Google Analyticsは、ファーストパーティクッキーだからバナー不要ではないのか?
Google Analyticsはホームページのアクセス解析ツールとしてフリーで用いることのできる非常に有用なツールであり、多くの日本企業で利用されています。このGoogle Analyticsはファーストパーティクッキーを用いており、当該サイトのパフォーマンスを向上する目的のためのみクッキーを扱っていると思われることから、そのクッキーは当該サイトの通信目的のためのみの技術的なクッキーと捉えられ、GDPR等のプライバシー法上の対応は不要とする見解が大半でした。
ドイツ監督機関の採用した見解
ところが、2019年11月14日、ドイツ連邦のデータ保護監督機関(BfDI)をはじめ、ドイツ各州の複数の監督機関(ノルトライン=ヴェストファーレン州、ハンブルク州、バイエルン州、ベルリン州等)が、Google Analyticsを使用しているサイトにおいては、閲覧者のOpt-in同意を取得しなければGDPR上違法であり、この場合、いわゆるクッキーウォール(ユーザーが同意をしたものとみなす等、ユーザーに自由な同意をする機会を与えないクッキーバナー)はGDPR上不適格である、という文書を一斉に公開したものです。
理由としては、Google Analyticsを提供するGoogle社は自社の目的のために個人データ(閲覧者の閲覧履歴等)を処理するものなので管理者であり、この場合、Google Analyticsを利用しているサイトはOpt-in同意を取得しなければならないとしています。
この見解により、ノルトライン=ヴェストファーレン州の監督機関によれば、Google Analyticsを用いている7万以上の違法サイトが対象となる予定であり、バイエルン州の監督機関によれば、ドイツ国内で20万を下らないケースが問題となるとコメントされています。
日本企業のとるべき対応
Google Analyticsの規約(https://marketingplatform.google.com/about/analytics/terms/jp/)によれば、「お客様は、本サービスに関連してユーザーのデバイス上でクッキーやその他の情報を保存、アクセスする行為が発生し、かかる行為に関する情報の提供とユーザーからの同意が必要であると法律で定められている場合には、ユーザーに明確かつ包括的な情報を提供し、同意を得るための商業上合理的な努力を払うものとします」とあり、結局サイト管理者にて、法律に基づき必要な同意をとらなければならない、とされています。
従って現状において、少なくとも監督機関がOpt-in同意がなければ違法とする見解を取るドイツにおいては、ユーザーにGDPR準拠のOpt-in同意を提供するクッキー バナーを設置する他ないと言えます。
他のEEA加盟国、カリフォルニア州のCCPA(California Consumer Protection Act)法でも同様の対応をしなければならないか?
まず、 他のEEA加盟国においては、欧州司法裁判所(CJEU)にて 2019年10月1日、クッキー使用においてOpt-in同意が必要とされた判決(Planet49ケース)が法的拘束力を有しています。ドイツの監督機関はこのPlanet49ケースを受けてGoogle AnalyticsにOpt-in同意が必要としたものです。また、ベルギーにおいても、2019年末、ベルギー監督機関Autorité de protection des données/Gegevensbeschermingsautoriteit(APD/GBA)が法務サイトJubelに制裁金を課した事例で、APD/GBAはGoogle Analyticsに同意が必要という見解を示しました。EUのeプライバシー指令では、ウェブページの運営上「厳格に必要な」クッキーの設置に対する同意の取得は不要であるとされています。その為Jubelは、同社が使用した「Google Analytics」からのクッキーを投稿者にアクセス情報を提供することで記事の投稿を増加させ、それによりサイトの質を向上させる「機能上厳格に必要なクッキー」であり、それゆえ設置に閲覧者の同意が必要ではないと主張しましたが、APD/GBAは、設置された分析型クッキーが「コンテンツ内の記事の投稿者などの第三者」に情報を提供するためのものであり、ウェブページの運営者が情報表示目的のために設置する機能上技術的に必要不可欠なクッキーであるとは認定されませんでした。(ベルギー監督機関のJubelに対する制裁金事例の詳細記事はこちらへ)
また、カリフォルニア州のCCPAでも個人情報を販売する場合(例えばターゲティング広告目的の場合販売に当たるという見解があります)については”Do not sell my info”等を記載したページでOpt-out権行使の機会を与えるクッキーバナーが必要とされる可能性があります。
Google Analytics側としては、CCPA上の「サービス提供者」としての地位があるとしていますが、米国の法律事務所によると「サービス提供者」として認められることについてのコンセンサスはなく、むしろ今後の訴訟やCCPA法の執行でしかこの問題は解決しないのではないかという別のコンセンサスができつつある、という見解もあります。また別の議論になりますが、そもそも企業がフリー版のGoogle Analyticsを用いている場合はその時点でOpt-out権行使の機会を与えるクッキーバナーが必要とする見解もあります。
結論
Google Analyticsの利用に際してGDPR上のOpt-in同意やCCPA上のOpt-outを実現するためクッキーバナーが必要か否かの判断基準の一つに、Google Analyticsがアクセス解析以外の目的(広告目的等)でクッキーを利用しているかによると考えられます。
そして、この点、今回ドイツの監督機関はGoogle社自身の目的で利用している、と認定をした為、少なくともドイツを対象とするサイトについてはクッキーバナーが必要であり、Opt-inによる同意管理が必要です。また、前述のベルギーの事案においては、ベルギー監督機関(APD/GBA )はGoogle Analyticsがサイト分析の為であっても、構造上機能的に厳格に必要なクッキーということはできないため同意が必要である、という見解を示しており、この決定にも留意が必要です。その他の国においても当局や裁判例がこの問題に対して見解を明らかにした際に対応をしていく必要があります。
今後もこの問題に関して、各国で進展があった場合には記事をアップデートしていく予定です。
【ハンブルク州の提言文書】
https://datenschutz-hamburg.de/pressemitteilungen/2019/11/2019-11-14-google-analytics
【ノルトライン=ヴェストファーレン州の提言文書】
https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Google-Analytics-und-aehnliche-Dienste-nur-mit-Einwilligung-nutzbar/Google-Analytics-und-aehnliche-Dienste-nur-mit-Einwilligung-nutzbar.html
【バイエルン州の提言文書】
https://www.lda.bayern.de/media/pm/pm2019_14.pdf
<本ブログ上では、端末装置への読み書きを行う技術全般、Webサイトやモバイルアプリで利用される他の追跡技術も含め、便宜的にクッキー(Cookie)と記載しています>