連載:クッキー規制とは?(その2) - クッキーとプライバシー

OneTrustクッキー同意管理バナーの購入はこちら

新着記事

カテゴリー

shutterstock_307974224

前回に引き続き、クッキー規制の概要と対応時の重要ポイントを解説します。

2回目の今回は、なぜ今クッキーがプライバシーの観点から問題とされているのか、そしてEUと米国カリフォルニア州での規制の内容について掘り下げます。

クッキーとプライバシー

欧州では、行動ターゲティング広告のための個人属性の推論において、センシティブなプライバシーが扱われることがかねてから懸念されていました。私たちは、自分や家族の健康上の問題、家族関係の問題、職場や学校での問題を解決するために、さまざまな情報をインターネットで検索します。サードパーティ・クッキーによる行動履歴分析により、他人に知られたくないプライバシーが広告エージェンシーによって推論される可能性があります。

また、行動ターゲティング広告により、ある種の人々がある種の商品・サービスに関する情報から疎外される可能性があります。例えば、広告効果を考えると、所得が低いと考えられる人に高額商品の広告を掲出する可能性は低くなります。さらに、ネット上の行動履歴を分析することにより、利用者の思想信条が推論され、ケンブリッジ・アナリティカ事件で見られたように、政治的な意図を持った世論操作に利用されるおそれもあります。このように、サードパーティ・クッキーによるデータ処理は、使い方を間違えれば、プライバシー侵害、差別、民主的政治過程の歪曲につながるおそれがあります。このような懸念から、欧州では2002年にクッキーをはじめとするネット上のトラッキング、プロファイリングを規制するeプライバシー指令が制定され、2009年の同指令改正により、同意取得義務が課せられることになりました。このような規制の動きは、米国をはじめ世界各国に広がりつつあります。

Blog 8

 

英国ICOのSimon McDougalは、ネット広告リアルタイム入札(RTB)において依然としてGDPRで特別な規制を受けるセンシティブな個人データが処理されていることに対し、是正の必要性を訴えています。

https://mediatel.co.uk/newsline/2019/11/27/ico-to-adland-you-can-no-longer-hide-behind-opaque-tech/

EUのクッキー規制

EU市場を対象オーディエンスとするWebサイトやモバイルアプリ等のオンラインサービスでクッキーをはじめとする電子通信端末装置の読み書き機能を利用する場合、利用者の同意を取得しなければなりません。

同意は、GDPRが定める要件に従って取得しなければなりません。すなわち、

  1. クッキー等によるデータ処理の目的・方法・開示先・期間等について明確かつ包括的な情報提供を利用者に行ったうえで取得した同意であること
  2. 選択の余地がない取引条件ではなく、利用者が自由に与えた同意であること
  3. データ処理の一つ一つの目的ごとに同意を取得すること
  4. 曖昧ではない、肯定的な行為(例えばチェックボックスやチェックボックスのクリック、スライドスイッチのドラッグ、画面のスワイプ等)により取得した同意であること
  5. クッキーを実際に設定するまでに事前に同意を取得すること
  6. 同意を取得したことをWebサイト管理者が証明できること

が求められます。

同意取得が不要な例外があります。商用オンラインサービスの機能を実装するために厳格に必要なクッキーについては、同意を取得する必要がありません。

このような「必須クッキー」の範囲はEU及び加盟国監督当局のガイドラインで次のようなものが例示されています。

  1. Webサイトの表示言語やフォントを記憶するためのクッキー
  2. 買い物カゴに入れたアイテムを記憶するためのクッキー
  3. 利用者のサービスログイン状態を記憶するためのクッキー
  4. セキュリティアップデートの状態を監視するためのクッキー
  5. 詐欺的な利用を防止するためのクッキー
  6. アクセス負荷分散を目的とするクッキー

必須クッキーではないクッキー、例えば、行動ターゲティング広告、オーディエンス分析等を目的とするクッキーは、情報提供したうえで、事前に同意を取得することが必要ということになります。

EUクッキー規制の対象はクッキーだけではない

EUのクッキー規制を定めたeプライバシー指令では、「利用者の端末装置への情報の書き込みまたは端末装置にすでに蓄積されている情報の読み出し」を規制対象としています。クッキーはその典型例であり、クッキー以外にも次のような追跡技術は、同じ規制の対象となります。

・HTML5規格のLocalStorage

・デバイス・フィンガープリンティング

・トラッキング・ピクセル

・モバイルOSにおける広告目的の端末装置識別子(IDFA、AAID等)

・IoTやコネクテッド・デバイスで用いられる各種の操作追跡技術

米国カリフォルニア州のクッキー規制

カリフォルニア州で2020年1月から施行されている消費者プライバシー法(CCPA)でもクッキー等の追跡技術を利用した個人情報の処理が規制されています。カリフォルニア州に居住する消費者の個人情報を利用する一定規模の事業者は、事業拠点の場所にかかわらず、この規制を受けます。具体的には、事業者が取得したWeb閲覧履歴、ネット上の行動履歴、アプリの利用履歴等の個人情報を経済的な目的のために第三者に提供する場合、あらかじめ目的、開示先等について消費者に情報提供したうえで、消費者がこのような開示を拒否できる権利を行使できるようなしくみをWebサイトやアプリに実装しなければなりません。

最終回となる次回は、各国のクッキー規制に効率的に対応する方法を、具体的なクッキー同意管理バナーの実装例を交えてご説明します。

その3/最終回はこちら

 

<本ブログ上では、端末装置への読み書きを行う技術全般、Webサイトやモバイルアプリで
利用される他の追跡技術も含め、便宜的にクッキー(Cookie)と記載しています>


  • プライバシー保護規制の
    対応なら

    BizRisはこちら
  • Cookie規制の対応なら

    新規CTA

ブログ購読

人気e-Book

  • Cookie Japan

    クッキー規制対応e-Book2冊が含まれています。
    座談会 クッキー・プライバシー保護規制対応の最前線 ~デジタルマーケティングが直面する課題と現実的対策~ 第1部&第2部

  • OneTrust Specs&Function

    OneTrust 仕様・機能詳細

グローバルなクッキー規制対応を
OneTrust × IIJで簡単・迅速・低価格に実現

ライセンス料は月額4,800円から
豊富な無料マニュアル・ガイドがあるから自社だけで導入・運用が可能

Hero