世界のプライバシー保護規制対応を支援するサイト

今すぐ会員登録する
個別説明ご希望の方
無料資料ダウンロード

連載:クッキー規制とは?(その2) – クッキーとプライバシー

  • 2020年 3月 13日

前回に引き続き、クッキー規制の概要と対応時の重要ポイントを解説します。

2回目の今回は、なぜ今クッキーがプライバシーの観点から問題とされているのか、そしてEUと米国カリフォルニア州での規制の内容について掘り下げます。

クッキーとプライバシー

欧州では、行動ターゲティング広告のための個人属性の推論において、センシティブなプライバシーが扱われることがかねてから懸念されていました。私たちは、自分や家族の健康上の問題、家族関係の問題、職場や学校での問題を解決するために、さまざまな情報をインターネットで検索します。サードパーティークッキーによる行動履歴分析により、他人に知られたくないプライバシーが広告エージェンシーによって推論される可能性があります。

また、行動ターゲティング広告により、ある種の人々がある種の商品・サービスに関する情報から疎外される可能性があります。例えば、広告効果を考えると、所得が低いと考えられる人に高額商品の広告を掲出する可能性は低くなります。さらに、ネット上の行動履歴を分析することにより、利用者の思想信条が推論され、ケンブリッジ・アナリティカ事件で見られたように、政治的な意図を持った世論操作に利用されるおそれもあります。このように、サードパーティークッキーによるデータ処理は、使い方を間違えれば、プライバシー侵害、差別、民主的政治過程の歪曲につながるおそれがあります。このような懸念から、欧州では2002年にクッキーをはじめとするネット上のトラッキング、プロファイリングを規制するeプライバシー指令が制定され、2009年の同指令改正により、同意取得義務が課せられることになりました。このような規制の動きは、米国をはじめ世界各国に広がりつつあります。

 

英国ICOのSimon McDougalは、ネット広告リアルタイム入札(RTB)において依然としてGDPRで特別な規制を受けるセンシティブな個人データが処理されていることに対し、是正の必要性を訴えています。

https://mediatel.co.uk/newsline/2019/11/27/ico-to-adland-you-can-no-longer-hide-behind-opaque-tech/

EUのクッキー規制

EU市場を対象オーディエンスとするWebサイトやモバイルアプリ等のオンラインサービスでクッキーをはじめとする電子通信端末装置の読み書き機能を利用する場合、利用者の同意を取得しなければなりません。

同意は、GDPRが定める要件に従って取得しなければなりません。すなわち、

  1. クッキー等によるデータ処理の目的・方法・開示先・期間等について明確かつ包括的な情報提供を利用者に行ったうえで取得した同意であること
  2. 選択の余地がない取引条件ではなく、利用者が自由に与えた同意であること
  3. データ処理の一つ一つの目的ごとに同意を取得すること
  4. 曖昧ではない、肯定的な行為(例えばチェックボックスやチェックボックスのクリック、スライドスイッチのドラッグ、画面のスワイプ等)により取得した同意であること
  5. クッキーを実際に設定するまでに事前に同意を取得すること
  6. 同意を取得したことをWebサイト管理者が証明できること

が求められます。

同意取得が不要な例外があります。商用オンラインサービスの機能を実装するために厳格に必要なクッキーについては、同意を取得する必要がありません。

このような「必須クッキー」の範囲はEU及び加盟国監督当局のガイドラインで次のようなものが例示されています。

  1. Webサイトの表示言語やフォントを記憶するためのクッキー
  2. 買い物カゴに入れたアイテムを記憶するためのクッキー
  3. 利用者のサービスログイン状態を記憶するためのクッキー
  4. セキュリティアップデートの状態を監視するためのクッキー
  5. 詐欺的な利用を防止するためのクッキー
  6. アクセス負荷分散を目的とするクッキー

必須クッキーではないクッキー、例えば、行動ターゲティング広告、オーディエンス分析等を目的とするクッキーは、情報提供したうえで、事前に同意を取得することが必要ということになります。

EUクッキー規制の対象はクッキーだけではない

EUのクッキー規制を定めたeプライバシー指令では、「利用者の端末装置への情報の書き込みまたは端末装置にすでに蓄積されている情報の読み出し」を規制対象としています。クッキーはその典型例であり、クッキー以外にも次のような追跡技術は、同じ規制の対象となります。

・HTML5規格のLocalStorage
・デバイス・フィンガープリンティング
・トラッキング・ピクセル
・モバイルOSにおける広告目的の端末装置識別子(IDFA、AAID等)
・IoTやコネクテッド・デバイスで用いられる各種の操作追跡技術

米国カリフォルニア州のクッキー規制

カリフォルニア州で2020年1月から施行されている消費者プライバシー法(CCPA)でもクッキー等の追跡技術を利用した個人情報の処理が規制されています。カリフォルニア州に居住する消費者の個人情報を利用する一定規模の事業者は、事業拠点の場所にかかわらず、この規制を受けます。具体的には、事業者が取得したWeb閲覧履歴、ネット上の行動履歴、アプリの利用履歴等の個人情報を経済的な目的のために第三者に提供する場合、あらかじめ目的、開示先等について消費者に情報提供したうえで、消費者がこのような開示を拒否できる権利を行使できるようなしくみをWebサイトやアプリに実装しなければなりません。

最終回となる次回は、各国のクッキー規制に効率的に対応する方法を、具体的なクッキー同意管理バナーの実装例を交えてご説明します。

その3/最終回はこちら
その1こちら

<本ブログ上では、端末装置への読み書きを行う技術全般、Webサイトやモバイルアプリで利用される他の追跡技術も含め、便宜的にクッキー(Cookie)と記載しています>

SNSで記事をシェア

関連記事

3月28日、シンガポール監督機関PDPCは、「デジタル環境における児童の個人情報の保護に関するアドバイザリー・ガイドライン」を公表した。本ガイドラインは、SNSなどのデジタル環境における児童の個人データとプライバシーの保護に注目した内容となっている。
  • 2024年 4月 9日
シンガポール 監督機関PDPC デジタル環境における児童個人データ保護に関するガイド…
韓国個人情報保護委員会(개인정보보호위원회)は、4月4日同国の個人情報保護法が同国外の事業者に適用される条件を明らかにする「海外事業者の個人情報保護法適用ガイド」を公開した
  • 2024年 4月 8日
韓国当局 PIPA域外適用ガイドラインを公表
中国データ保護関連法令関連法規・ガイドライン一覧
  • 2024年 3月 21日
【更新】中国データ保護関連法令関連法規・ガイドライン一覧
中国データ保護三法に関する調査レポート
  • 2024年 3月 13日
【更新】中国データ保護三法に関する調査レポート(中国語簡体字版)
  • 2024年 1月 4日
中国 データセキュリティインシデント緊急対応計画のパブコメを募集
オンライン相談ルーム
IIJのコンサルタントへ質問や
作業支援の依頼が可能です
3分でわかるBizRis動画
BizRis公式アカウントを
フォローして最新情報をチェック
よくあるご質問
世界のプライバシー保護規制調査レポート
マンガページトップ

アクセスランキング

1
2
3
4
5
無料eBook一覧

欧米日クッキー規制対応のバナー実装と運用ルール策定時のポイント

Google Analyticsと改正個人情報保護法~法令遵守上のポイントと透明性確保の重要性
IIJのプライバシー保護規制
対応ソリューション

個別説明をお申込希望の方

個別説明をお申し込み希望の方は以下のフォームをご記入の上、送信ボタンを押してください

*のある項目は入力必須です。