- 2021年2月21日
2020 年 4 月 6 日、アイルランドのデータ保護委員会(the Data Protection Commission)(以下「DPC」という)は、クッキーと他の追跡テクノロジーに関するガイダンス(原題「Guidance note:Cookies and other tracking technologies」)(以下「本ガイダンス」という)を発表した。本ガイダンスは、DPC が 2019 年 8 月から 12 月にかけて実施した、アイルランドに所在する 38 社のクッキー監査に基づくレポート(原題「Report by the Data Protection Commission on the use of cookies and other tracking technologies」)(以下「本レポート」という)とともに発表されたものである。
本レポートでは、監査の結果が思わしくなく、38 社のうち 35 社のクッキーコンプライアンスが、DPC の許容するレベルには及ばず透明性に著しく欠けていることが判明した、と報告している。このような不十分なレベ
ルのコンプライアンスでは、一般の個人は企業活動によってオンラインで追跡されている範囲を知ることができない。また、本レポートでは、38 社のうち 10 社は、事前にチェックされたボックスを使用して同意を得る仕様にしていた、と報告している。後述するように、このような仕様は、法を遵守した同意の取得方法ではない。こういった同意取得の問題は「執行の優先事項」となると指摘している。
DPC は、本ガイダンスの最後で、各企業に対し本ガイダンスの発行から 6 か月以内に本ガイダンスに沿った対応を行い、法を遵守することを求めている。したがって、本ガイダンス発行から 6 か月後、すなわち2020 年 10 月からアイルランドでもクッキー やその他の追跡テクノロジーに関する法執行が本格化することが予想される。
本文書では、まず前半で本ガイダンスを要約・概説したものを掲載し、後半では本ガイダンス全ての日本語訳を掲載している。
- 初めに
- 本ガイダンスの要約
- アイルランドにおいて、Cookie や他の追跡テクノジーを規制する法令
- 同意が必要な場合
- 同意の取得方法
- 情報提供の方法
- 本ガイダンスの日本語訳
- クッキーと他の追跡テクノロジーに関する DPC の規制上の役割
- e プラシバシー規則
- e プライバシー規則の規則
- クッキーとは?
- 使用されている他の追跡テクノロジーとは?
- 端末機器とは?
- クッキーに関する法律とその目的とは?
- 同意
- ユーザーまたは加入者からの同意取得義務の例外となるクッキーとは?
- a)通信例外
- b)厳密に必要な例外
- 分析クッキーに同意は必要か?
- 同時に複数の目的で同意を得ることができるか?
- 同意の撤回
- 実際にどのようにして同意を取得するのか?
- クッキーと追跡テクノロジーの使用に黙示の同意を使用できるのか?
- 明確で包括的な情報
- GDPR に基づく透明性情報と責任
- 事前にチェックされたボックスとスライダー
- 同意管理プロバイダー(CMP)の使用に関する要件
- クッキーバナーの要件
- ユーザーのブラウザ設定に基づく同意の推測に依拠できるのか?
- 紛らわしいインターフェース
- クッキーの寿命
- 共同管理者
- 個人データの処理
- データ保護影響評価(DPIA)を実施する必要があるか?
- 特別カテゴリデータ
- 位置情報の追跡またはクッキーからの位置情報の導出
- コンプライアンス
