個人データを、ビジネスを守る、IIJ

【eBook】すぐに役立つ! クッキーバナー表示のNG集 無料ダウンロード


目次

ダークパターンを避けた、適法・適切なバナー設定とは? クッキーバナーのNG例をパターン別に解説 GDPR、CCPAに準拠した実装方法を紹介
本記事のポイント
クッキーバナーの落とし穴?規制に対応できていない場合も
クッキーバナーのNG例を把握、ダークパターンにも気をつける
クッキーバナー表示のNG例 – GDPR編
欧州のクッキー規制の概要
みなし同意
クッキーウォール
拒否ボタンがなく、同意ボタンを強調している
GDPR対応上、推奨されるクッキーバナー例
クッキーバナー表示のNG例 – CCPA編
CCPAのクッキー規制の概要
オプトアウト権の通知がない
包括オプトアウトができない
CCPA対応上、推奨されるクッキーバナー例
おわりに
クッキー規制コンプライアンスチェック(簡易版)のご紹介
ビジネスリスクマネジメントポータル(通称:BizRis)のご案内

キャンペーンのご案内

 

ダークパターンを避けた、適法・適切なバナー設定とは?
クッキーバナーのNG例をパターン別に解説 
GDPR、CCPAに準拠した実装方法を紹介

最近様々なWebサイトでみかける機会が多くなった「このWebサイトはクッキー(Cookie)を使っています」というクッキーバナー。世界中でプライバシー保護規制が強化される中、規制への対応策としてはもちろん、消費者に透明性をもった情報提供を行い、企業の信頼やブランド価値を高める施策としても有効な方法の一つと考えられます。しかしながら、中にはクッキーバナーの表示方法が実は法規制の要件を満たさないものであったり、昨今Webサービス全般で問題視されている「ダークパターン」に当たると思われる例も見られます。そこで、本記事では法規制要件への適合、ダークパターン回避の観点から、クッキーバナー表示のNG例について解説し、GDPRやCCPAに準拠した実装方法を紹介いたします。

 

本記事のポイント

  •  GDPR ・CCPA 対応の観点からクッキーバナーのNG例を解説
  •  昨今問題視されている「ダークパターン」にあたるクッキーバナーについても解説
  •  推奨されるクッキーバナー実装例をご紹介
  •  クッキー規制コンプライアンスチェック(簡易版)の成果物と価格体系等のご紹介
  •  ビジネスリスクマネジメントポータル(通称:BizRis)のご紹介
  •  キャンペーンのご紹介
 

クッキーバナーの落とし穴?規制に対応できていない場合も

お断り:本記事上では、Webサイトやモバイルアプリで利用される他の追跡技術(LocalStorage、トラッキング・ピクセル、デバイス・フィンガープリンティングなど)も含め、便宜的にクッキー(Cookie)と記載しています

世界的にプライバシー保護規制が強化される中、日本企業のWebサイトでもクッキーバナーによるサイトユーザーへの情報提供や同意取得を実施しているケースが増えてきました。特に2020年度は、欧州各国の監督機関によるクッキー規制の取り締まり強化や、米国CCPA規則の施行もあり、特にグローバルでビジネスを展開されている企業にとって、クッキーバナーの実装は優先度の高い課題だったのではないでしょうか。

ところで、最近とても多く見かけるようになったクッキーバナーですが、必ずしもGDPRやCCPAの要件をきちんと満たしているものばかりではないようです。

せっかくWebサイトにクッキーバナーを実装しても、法規制の要件を満たしていなければ企業のリスク対応として意味がないものになってしまいます。また、Webサイトやアプリにおいて、消費者を巧みに誘導して企業に有利な選択をさせるようなデザインのユーザーインターフェースは、欧米で「ダークパターン」とされ、日本でもこれが問題とされるようになってきました。クッキーバナーにおいても、例えば、”同意する”ボタンを他の選択肢よりも目立たせたり、拒否するためにはより多くの手間を要するようにするなどして、同意取得率を上げようとする表示方法はこの「ダークパターン」に当たると考えられ、各国のプライバシー保護制度によっては違法とされる場合があります。

規制への対応方法として、Webサイトへのクッキーバナーの実装を容易に実現できるクッキー同意管理ツールの利用は、労力やコストセーブの点でもとても有効な策ですが、ツールはあくまで規制対応をサポートするものであり、ツールを導入すれば100%規制を遵守できる訳ではない事に注意が必要です。もちろん、正しく設定し、正しい実装を行うことで規制にきちんと対応をしていくことが可能ですが、通常、ツールは様々なWebサイト管理者のニーズに応えるため、また要件の異なる複数の法規制に対応をするため、ある程度汎用的に作られています。言い換えると、ツールを使うWebサイト管理者側の設定の自由に委ねられている部分があります。例えば、当社が取り扱いをしているOneTrust社のクッキー同意管理ツールでも、バナーの表示方法や、同意、拒否ボタンの配置や配色などは、ツールを使うWebサイト管理者にて自由度の高い設定が可能となっており、意図的にまたは意図せずとも、ダークパターンを使ったバナー表示も可能となっています。

 

クッキーバナーのNG例を把握、ダークパターンにも気をつける

それでは、クッキーバナーを正しく設定し、正しく実装をしていくためにはどうすればいいでしょうか。次節以降で、GDPRとCCPAの規制要件への適合、そしてダークパターン回避の観点から、クッキーバナー表示のNG例と、推奨される実装例について解説していきます。これからクッキーバナーを導入される企業ご担当者様はもちろん、既に対応を終えられた企業ご担当者様も、この機会に今一度自社WebサイトのクッキーバナーがNGパターンに該当していないかをご確認頂ければ幸いです。

 

クッキーバナー表示のNG例 – GDPR編 –

 

欧州のクッキー規制の概要

欧州のクッキー規制における要求事項は、おおむね以下の通りです。

(1) クッキー設定について事前に同意(オプトイン同意)を取得する義務

(1) クッキー設定について事前に同意(オプトイン同意)を取得する義務
eプライバシー指令第5条3項は、クッキーを設定し、処理するにあたっては、原則として利用者から事前の同意を取得することを義務づけています。ただし、単に通信の伝達を目的とした端末における情報の保存・アクセス、または、利用者が明確に要求した商用オンラインサービスの提供者が当該サービスを提供するにあたり必須である場合、これらのクッキーは例外として同意取得は不要です。これらのクッキーはStrict Necessary Cookiesや必須クッキーと呼ばれます。

同意の有効要件はGDPR第4条11項に規定されており、同指令においてもこの有効要件が適用されます。同意が有効とされるためには以下の要件を満たすことが求められています。

Freely given (自由に与えられた)
Specific (対象となるデータ処理の目的が特定されている)
Informed (十分な情報提供を受けている)
Unambiguous indication of wishes (曖昧でない意思表示である)
By a statement or by a clear affirmative action (陳述又は明確な肯定的行為による)

なお、同指令前文17項より、サイト訪問時にチェックボックスにチェックすることを含め、自由に与えられ、特定され、情報提供を受けた上での意思表示を可能にする適切な方法によって、同意を取得することができるとされています。

上記より、セッション維持などサービス提供に不可欠なクッキーを除き、クッキーを設定する場合、利用者がクッキーの利用目的などを把握したうえで、チェックボックスにチェックするといった明確で肯定的な意思表示を通じ、自由に同意 / 非同意を選択する機会を提供することが必要です。

(2) 情報提供義務

eプライバシー指令第5条3項により、クッキーの設定、処理にあたっては、GDPRに則り、明確かつ包括的な情報提供(処理の目的、内容、開示先、処理期間など)を行わなければなりません。

 

みなし同意

「当Webサイトの利用により、クッキーの設定に同意したことになります。」、「本サイトは、クッキーを使用しています。閲覧を続ける場合、クッキーの使用に同意したものとします。」などの文言でクッキーバナーを表示することによって同意を取得したとする方法は、いわゆる「みなし同意」や「暗黙の同意」と呼ばれますが、GDPRが求める同意の有効要件を満たしていないと考えられます。

【NG実装① みなし同意パターンの例】

「By using our site you agree to our use of cookies to deliver a better site experience.」当Webサイトの利用により、クッキーの設定に同意したことになる、という典型的なみなし同意パターン

クッキーの利用に関するみなし同意とは、Webサイトを利用、閲覧する、もしくはそれらの行為をし続けることをもって、Webサイトの閲覧者がクッキーの利用に同意をしたと考えるものです。これではGDPRが求める「曖昧でない意思表示」や「陳述又は明確な肯定的行為による」という同意の要件を満たしているとは言えません。常識的にも、単にコンテンツの閲覧を目的にWebサイトを利用しているユーザーは、利用、閲覧をし続けたことにより、例えばターゲティング型広告のクッキーに対して同意していたとされるのは、不意を突かれた気持ちになるのではないでしょうか。

EU加盟国のデータ保護機関の代表によって構成される欧州データ保護会議(EDPB)が公表している同意に関するガイドラインのパラフグラフ86においても、Webページのスクロールやスワイプなどの行為では、ユーザーのWebサイトにおけるその他の行為やインタラクションと区別がつきにくいため、明確な肯定的な行為による同意という要件を満たさず、また、このような行為をもって曖昧でない同意を取得したと判断するのは不可能である、とされています。

 

クッキーウォール

クッキーバナーでコンテンツをブロックしてしまい、クッキー利用について同意しなければ、Webサイトを閲覧できないようにしているパターンは「クッキーウォール」と呼ばれています。「クッキーウォール」は…

続きは無料会員もしくは有料会員の方が閲覧できます。

関連する記事