【PR】クッキーのみなし同意はダメ

近年、個人データの利活用が盛んに行われる一方で、プライバシー保護への関心が高まっています。

特に、規制の対象としてCookie（クッキー）や、それに類似する技術（以下「Cookie等」）の取り扱いが注目されています。これらの技術はPC、スマートフォン等の端末にテキストファイルなどの情報を保存し、その情報に外部からアクセスすることを通じ、セッションの維持等Webサイトの閲覧に不可欠な機能を提供する一方で、ターゲティング型広告など、単一もしくは多サイト間での閲覧者の行動（閲覧、クリックなど）に基づいた処理を可能にします。

Webサイトの管理者が閲覧者に対して、Cookie等の利用を通知するにあたっては、利用目的などが記述されたバナー（以下、「クッキーバナー」）を表示するという方法が採用されるケースが多く存在します。その中で以下のような文言が示されたバナーに遭遇することはないでしょうか。

「当Webサイトの利用により、Cookie等を配置することに同意したことになります。」

「本サイトは、Cookieを使用しています。閲覧を続ける場合、Cookieの使用に同意したものとします。」

Webサイトを閲覧していると、度々表示される上記のような、いわゆる「みなし同意」のクッキーバナー。実は、Webサイトの利用や閲覧をしたことをもってCookie等を取得することを規制する動きがグローバルにおいて見られます。今回は欧州における個人データ保護規則であるGDPR（General Data Protection Regulation）と、関連する指令であり電子通信分野における個人データ処理に関して規定するePrivacy指令の要求事項と照らし、みなし同意の問題点についてご説明いたします。

GDPR、ePrivacy指令における同意

GDPRにおける同意の定義は第4条11項に示されており、以下の要件を満たすことが求められています。

Freely given (自由に与えられた)
Specific (対象となるデータ処理の目的が特定されている)
Informed (十分な情報提供を受けている)
Unambiguous indication of wishes (曖昧でない意思表示である)
by a statement or by a clear affirmative action (陳述又は明確な肯定的行為による)

各要件の詳細については、本稿では割愛しますが、総じて同意とは、強制的に個人から取得されるものではなく、個人の自由に委ねられるものであり、説明がなされた上で、明確な行為による意思表示が必要となります。

またePrivacy指令第5条3項は、Cookie等を設定し、処理するにあたっては、原則として明確で包括的な情報提供を行った上で、利用者から事前の同意を取得することを義務づけています。（ただし、単に通信の伝達を目的とした端末における情報の保存・アクセス、または、利用者が明確に要求した情報社会サービスの提供者が当該サービスを提供するにあたり必須である場合、同意取得は不要）

上記より、GDPR、ePrivacy指令の要求事項に沿ってCookie等を利用するにあたっては、利用するCookie等に関して情報提供を行い、Webサイトの閲覧者から同意を取得することが求められます。

みなし同意の有効性に関する検討

改めてみなし同意の性質について振り返ってみましょう。Cookie等の利用に関するみなし同意とは、Webサイトを利用 / 閲覧する、もしくはそれらの行為をし続けることをもって、Webサイトの閲覧者がCookie等の利用に同意をしたと考えるものです。

これは、前述したGDPRおよびePrivacy指令における同意の要件と乖離するものです。特に、”陳述又は明確な肯定的行為による”という要件に当てはまるかについては疑問が残ります。単にコンテンツを目的にサイトを利用しているWebサイトの閲覧者が、利用 / 閲覧、もしくはそれらの行為をし続けることをもって、例えばターゲティング型広告のCookie等に対して同意していたとするには、根拠が十分ではないといえます。

また、”十分な情報提供を受けている”という要件についても、みなし同意の性質上満たすことが難しいと考えられます。Cookie等は閲覧者がWebサイトを訪問した時点で発火していることも多く、情報提供を受ける機会が損なわれていることが往々にしてあります。

以上を踏まえ、みなし同意はGDPRが定める同意の有効要件に即しておらず、特に”陳述又は明確な肯定的行為による” ”十分な情報提供を受けている”という同意の要件との乖離があるという点で問題があると考えられます。