個人データを、ビジネスを守る、IIJ

クッキー(Cookie)規制にどう対応?企業の責任、とるべき対応・実装について


前回に引き続き、IIJが今まで日本の企業様に提供してきてまいりました各国のクッキー規制対応コンサルティングサービスを通じて、お客様より多く頂いたご質問への回答を、一問一答形式でご紹介します。本ブログ記事では、特に企業がクッキー規制にどのように対応・実装するか、また問われる責任について取り上げています。

企業側はどんな対応が必要で、どれくらいコストがかかるのか?

Webサイトにクッキー利用のバナーを出すことがまず必要な対応となります。バナーを出す為のツールは様々なものが販売されていますが、年間数万円で利用できるものが多い印象です。ただその前に、自社のサイトにどんなクッキーが設定されているかを確認し、 各国の規制に適したポリシーで運用されているかを見る必要があり、また、同意を取得するまでクッキーを設定しないこと(ゼロ・クッキー・ロード)を保証するために一定のタグマネジメント作業等が必要となってきます。ある程度、EUや米国など対象となる国の法を理解する必要もありますので、弁護士や規制に精通した事業者のコンサルティングへのご相談も有益かと思います。 

クッキーに関する設定をITベンダーに外注した際に、その外注先が誤った設定をした場合、責任はどこに発生するのか?

外注による実装にミスがあった場合でも、それは言い訳にならない、というのが見解です。GDPRでは原則として外注業者に責任を転嫁することはできず、個人データを取り扱う管理者は責任が逃れられないと考えられます。

クッキーを拒否した場合、ユーザー側にデメリットはあるのか?

EUのメディアサイトで(クッキーを承諾して)広告を表示させると広告料を割引にする事例があるなど、クッキーの利用によって経済的なインセンティブを与えるということも行われています。また、EUのガイドラインでは、クッキーの利用を拒否することによって不利益を与えてはならないとされていますが、一方でメディアにとっては広告は大事な収入源のため、議論になっている部分です。なお、クッキー利用に同意しなければコンテンツを閲覧させない、いわゆる「クッキーウォール」で得られた同意については、各国によるスタンスの違いはありますが、有効な同意としては認められない可能性が高く、推奨される実装ではありません。 

クッキー取得はGDPR 6条の正当な利益(Legitimate Interest)を適法根拠として、同意取得は不要ではないか?

EU の ePrivacy 指令によると、契約者又は利用者の端末装置に情報を蓄積し、または端末装置に蓄積された情報にアクセスする為には、当該端末装置の契約者又は利用者がそのような情報の蓄積またはアクセスの目的に関する明確で包括的な情報提供を受けたこと、および同意を与えたこと、が必要とされています。ePrivacy 指令に基づき、クッキーの設定に同意が必要な場合、EU主要国のクッキー関連ガイドラインでは、当該クッキー等を利用して取得される個人データのその後の処理については、「同意」を適法根拠とすべきであるとされています。 

会員向けサイトなどで、Terms of Use、プライバシーポリシー、クッキーポリシーを別々に表示し、最後に同意を取得する(3つのチェックボックスを用意)などの方法でも問題ないのでしょうか? 

Terms of Use、プライバシーポリシーなどで以後のサイト内における個人データ取得について包括的に同意を得ることはお薦めしません。GPDR7条2項は、文書で同意を求める場合、ほかの契約条項とは明らかに区別できるような方法で同意について説明すべきである、としています。理想的なのは、契約条件とは別に、同意を求める内容を別途説明することにより、同意すべき内容についてデータ主体が正確に理解できるような方法をとることでしょう。

今後、日本の個人情報保護法が改定されてクッキーに関する扱いが従来よりも大幅に厳しくなった場合、IIJを通じてOneTrustクッキー同意管理バナーを導入することによって得られるメリットは何かありますでしょうか?

OneTrust社のツールの導入という観点ですと、Geolocation Ruleによりアクセス元のIPアドレスによりエリア判定をして自動的に表示バナーの変更が出来る為、EUのGDPR、米国CA州のCCPA、そして個人情報保護法改正後の日本、と自動で各国法規制に対応したバナー、クッキーポリシーの表示が行え、管理は一つのカスタマーポータルで容易に、一括で可能となるメリットがあげられます。IIJからご購入頂くメリットとしましては、IIJではGDPRやCCPA等のプライバシー保護関連規制対応に関するコンサルティングの豊富な知見と経験があり、個人情報保護法改正についても継続して注目し、情報収集を行っている為、IT技術面だけではなく、法対応の面も含めて、企業様に合わせたより実務的、現実的なアドバイスを行うことが出来る点が挙げられます。

<本ブログ上では、端末装置への読み書きを行う技術全般、Webサイトやモバイルアプリで利用される他の追跡技術も含め、便宜的にクッキー(Cookie)と記載しています>

関連記事