個人データを、ビジネスを守る、IIJ

【参考訳】フランス CNIL公表クッキーその他の追跡手段に関するQ&A


フランスの監督機関CNILは、「クッキーその他の追跡手段に関するCNILのガイドライン」および「クッキーその他の追跡手段」使用の場合の実際的な遵守方法を提案する勧告を元に、追跡手段の使用と個人データ保護に関するQ&Aを公表したことから、その仮訳版を公表します。

なお、この和訳版はIIJによる仮訳であり、内容の正確性を最大限追求しておりますが、完全性は担保されていないことについてご留意をお願いいたします。また、本ページでは、一部を除き「クッキーその他の追跡手段」を「追跡手段」と表記しております。

以下では、Q&Aの一部を抜粋してご紹介します。有料会員様はQ&Aの全文をご覧いただけます。

○ ガイドラインと勧告の関係は?
「クッキーその他の追跡手段に関するCNILのガイドライン」は、ユーザーの端末(携帯電話、コンピュータ、タブレットなど)での読み書き操作に適用される法律を想起することを目的としています。
「クッキーその他の追跡手段」使用の場合の実際的な遵守方法を提案する勧告(以下「勧告」という。)の目的は、関係する専門家のコンプライアンスプロセスを指導することにありますが、規定的なものではありません。勧告では、適用される規則に従って同意を収集することだけでなく、データ保護法第82条で定められた要件を満たすための実践的な方法の例を提案しています。

○ 2013年勧告からの主な変更点は?
2018年5月25日に一般データ保護規則(GDPR)が発効したことで、同意を得るための条件や、収集を証明する必要性が明確になりました。2013年勧告と比較した主な変更点は以下のとおりです。
・ 単にサイトの閲覧を続けることは、ユーザーが追跡手段の使用に同意していることの有効な表現とは考えられません。
・ この勧告では、ユーザーの同意および拒否を収集するさまざまな実践的方法を提案しています。
・ この勧告は、個人が同意を与えている管理者の身元を提供できるいくつかの方法を推奨しています。
・ 追跡手段を設置する管理者が同意の証拠を提供するための実践的な方法を提案しています。

○ CNILの執行方針はどのようなものになりますか?タイムテーブルはどのようになっていますか?
クッキーやその他の追跡手段を使用しているサイトは、2021年中にコンプライアンス活動の対象となります。
CNILの行動計画には2つの段階があります。
・ ガイドラインと勧告が発表された2020年10月に始まった第1段階では、CNILの行動は、以前の2013年の勧告で説明された原則の遵守に焦点を当てていました。2013年以降に範囲が指定され、新ガイドラインにも残っている義務に違反した場合には、制裁措置を含む是正措置をとることができます。
・ 2021年4月からの第2フェーズでは、新しい「クッキーその他の追跡手段に関するCNILのガイドライン」に基づいて、有効な法的枠組み全体の適用に関するモニタリングが実施されます。 国務院の判例法に従い、CNILは、データ保護の権利とプライバシーの尊重に対して深刻な侵害を伴う違反行為を追求する立場にあります(CE, 16 oct. 2019, n° 433069, Rec.)

○ 欧州のeプライバシー規則案の状況は?
フランスのデータ保護法第82条は、2009年に改正された「ePrivacy指令」で知られる2002年7月12日の指令2002/58/ECの第5条(3)の規定を国内に移入したものです。 2017年には、この指令を改訂するための欧州委員会の規制案が発表されました。この改定は、GDPRとのharmonisation(調和)を視野に入れて2016年に発表されていたもので、2015年5月に欧州委員会が発表した「デジタル単一市場戦略」に基づいて行われた作業の一環でした。
フランス国会は2017年末にテキストに対する見解を採択しましたが、最終的に27加盟国の代表は2021年2月10日、これらの規則の改訂のための交渉マンデートに合意しました。今回の合意により、欧州連合理事会は最終文書について欧州議会との交渉を開始することができます。

○ サイト閲覧を継続することは、追跡手段を受け入れたと考えてよいのでしょうか?
いいえ。 もしGDPR以前の体制下で、CNILが、ブラウジングを続けることでユーザーが一定の条件の下で追跡手段の設置に同意できると考えていた場合、それは今日では同意の拒否と解釈されなければなりません。この場合、ユーザーの同意を必要とする追跡手段は、ユーザーの端末に置いたり読んだりすることはできません。
実際、ユーザーの同意は、例えば「すべて受け入れる」ボタンをクリックするなど、明確な積極的行為によって具体化されなければなりません。クッキーの設置を受け入れる明確な意思表示がない場合は、拒否されたと理解しなければなりません。 この注目すべき変化は、GDPRの施行により、ユーザーからの明確な同意が必要になったことによります。

○ ユーザーが最初に同意を拒否した後に、ウェブサイトが再びユーザーの同意を求めることはできますか?
一定の条件下で可能です。
CNILはその勧告の中で、原則として、ユーザーの同意や拒否にかかわらず、ユーザーが表明した選択肢を保存することが必要であると指摘しています。そのため、ユーザーがウェブサイトを閲覧する際に、ページごとに選択を変更する必要はありません。
一般的には、ユーザーが表明した選択肢を保存し、一定期間再び勧誘を受けないようにすることが推奨されます。 選択肢を保管する期間は、(当該ウェブサイトまたはアプリケーションの性質およびユーザーの特性を考慮して)ケースバイケースで評価されるべきです。一般的には、6ヶ月間選択肢を保存することがよいとされています。

続きは有料会員様にご覧いただけます

ログイン 有料会員登録情報を見る

関連記事