クッキー利用に関するみなし同意の問題点


<目次>

GDPR、ePrivacy指令における同意
みなし同意の有効性に関する検討
関連するBizRis記事
まとめ

 

近年、個人データの利活用が盛んに行われる一方で、プライバシー保護への関心が高まっています。

特に、規制の対象としてCookie(クッキー)や、それに類似する技術(以下「Cookie等」)の取り扱いが注目されています。これらの技術はPC、スマートフォン等の端末にテキストファイルなどの情報を保存し、その情報に外部からアクセスすることを通じ、セッションの維持等Webサイトの閲覧に不可欠な機能を提供する一方で、ターゲティング型広告など、単一もしくは多サイト間での閲覧者の行動(閲覧、クリックなど)に基づいた処理を可能にします。

Webサイトの管理者が閲覧者に対して、Cookie等の利用を通知するにあたっては、利用目的などが記述されたバナー(以下、「クッキーバナー」)を表示するという方法が採用されるケースが多く存在します。その中で以下のような文言が示されたバナーに遭遇することはないでしょうか。

「当Webサイトの利用により、Cookie等を配置することに同意したことになります。」
「本サイトは、Cookieを使用しています。閲覧を続ける場合、Cookieの使用に同意したものとします。」

Webサイトを閲覧していると、度々表示される上記のような、いわゆる「みなし同意」のクッキーバナー。実は、Webサイトの利用や閲覧をしたことをもってCookie等を取得することを規制する動きがグローバルにおいて見られます。今回は欧州における個人データ保護規則であるGDPR(General Data Protection Regulation)と、関連する指令であり電子通信分野における個人データ処理に関して規定するePrivacy指令の要求事項と照らし、みなし同意の問題点についてご説明いたします。

GDPR、ePrivacy指令における同意

GDPRにおける同意の定義は第4条11項に示されており、以下の要件を満たすことが求められています。

  • Freely given (自由に与えられた)
  • Specific (対象となるデータ処理の目的が特定されている)
  • Informed (十分な情報提供を受けている)
  • Unambiguous indication of wishes (曖昧でない意思表示である)
  • by a statement or by a clear affirmative action (陳述又は明確な肯定的行為による)

各要件の詳細については、本稿では割愛しますが、総じて同意とは、強制的に個人から取得されるものではなく、個人の自由に委ねられるものであり、説明がなされた上で、明確な行為による意思表示が必要となります。

またePrivacy指令第5条3項は、Cookie等を設定し、処理するにあたっては、原則として明確で包括的な情報提供を行った上で、利用者から事前の同意を取得することを義務づけています。(ただし、単に通信の伝達を目的とした端末における情報の保存・アクセス、または、利用者が明確に要求した情報社会サービスの提供者が当該サービスを提供するにあたり必須である場合、同意取得は不要)

上記より、GDPR、ePrivacy指令の要求事項に沿ってCookie等を利用するにあたっては、利用するCookie等に関して情報提供を行い、Webサイトの閲覧者から同意を取得することが求められます。

みなし同意の有効性に関する検討

改めてみなし同意の性質について振り返ってみましょう。Cookie等の利用に関するみなし同意とは、Webサイトを利用 / 閲覧する、もしくはそれらの行為をし続けることをもって、Webサイトの閲覧者がCookie等の利用に同意をしたと考えるものです。

これは、前述したGDPRおよびePrivacy指令における同意の要件と乖離するものです。特に、”陳述又は明確な肯定的行為による”という要件に当てはまるかについては疑問が残ります。単にコンテンツを目的にサイトを利用しているWebサイトの閲覧者が、利用 / 閲覧、もしくはそれらの行為をし続けることをもって、例えばターゲティング型広告のCookie等に対して同意していたとするには、根拠が十分ではないといえます。

また、”十分な情報提供を受けている”という要件についても、みなし同意の性質上満たすことが難しいと考えられます。Cookie等は閲覧者がWebサイトを訪問した時点で発火していることも多く、情報提供を受ける機会が損なわれていることが往々にしてあります。

以上を踏まえ、みなし同意はGDPRが定める同意の有効要件に即しておらず、特に”陳述又は明確な肯定的行為による” ”十分な情報提供を受けている”という同意の要件との乖離があるという点で問題があると考えられます。

関連するBizRis記事

ご参考までに過去にIIJビジネスリスクマネジメントポータル(BizRis)にて取り上げた、Cookie等の利用におけるみなし同意に関連する記事をご紹介いたします。

スペイン 相次ぐクッキー規制違反に対する制裁事例
本記事では、スペインの監督機関であるAEPDが情報社会および電子商取引法(LSSI)22.2条に基づき、Twitter社等に対して、みなし同意、もしくは閲覧者による同意の管理方法の不備、閲覧者に対する情報提供の不備があったことを理由に、是正命令を出した、また制裁金を課したことを説明しています。本稿と併せてご参照ください。

まとめ

Cookie等の利用において、みなし同意はGDPR、ePrivacy指令の要求事項を満たすものではなく、Cookie等を利用するにあたっては、取得方法を改めるように検討する必要があります。また、みなし同意は問題の一例であり、いかにしてWebサイトの閲覧者に配慮した形でCookie等の利用について情報提供・同意取得を行うか、グローバルでプライバシー保護規制が強化される中でどのように規制に即していくかといった課題も考えられます。

さて、今回はGDPRおよびePrivacy指令の要求事項について、ご説明させていただきましたが、いかがでしたでしょうか。IIJでは、Cookie等に関して様々なサポートをご提供しています。ご不明な点等ありましたら、お気軽にお問合せフォームよりお問い合わせください。

関連記事

個別説明をお申込希望の方

個別説明をお申し込み希望の方は以下のフォームをご記入の上、送信ボタンを押してください

*のある項目は入力必須です。