ドイツ・ニーダーザクセン州 クッキー同意取得の実装についてメモ

OneTrustクッキー同意管理バナーの購入はこちら

新着記事

カテゴリー

shutterstock_1627976761

クッキーに関する同意取得の設計や実装についてのメモ

2020年11月25日、ドイツニーダーザクセン州のデータ保護監督機関はクッキーに関する同意取得の設計や実装についてのメモを公開した。多くのウェブサイトではクッキーを利用し、また第三者のサービス(分析、マーケティング、追跡、マップ、天気、チャット、ビデオ、画像の最適化、プッシュメッセージ等)を入れ込んでいるため、同意を取得するための設計や実装が複雑化している。今回公開されたメモは、適法な同意取得かどうか、以下の判断ポイントを挙げて説明するものである。

 

 

 

 

同意のタイミング

原則として、同意を取得するためのバナーはウェブサイトに最初に訪れた際にポップアップで開くものとする。多くのウェブサイトでは、同意の取得前に同意を要するクッキーが設定されるが、それは許されていない。同意を取得して初めて同意を要するクッキーを設定できる。

 

 

 

 

 

通知すべき内容

GDPR第13条のようにクッキーについての同意取得時に通知すべき内容が法律上規定されているわけではないが、EDPBは、少なくとも

  • 責任者の身元
  • 処理目的
  • 処理されるデータ
  • プロファイリングを含む個人に対する自動化された意思決定の意図
  • 第三国へのデータ移転の意図

を通知する必要があると考えている。


ここでの「処理目的」は具体的に示す必要があり、「あなたのためにウェブサイトを最適に設計し、改善するために」「ウェブ分析と広告対策の実施」「マーケティング、分析、およびパーソナライズ」といった記載では不十分である。また、ウェブサイトでユーザーを追跡する第三者のサービスを利用している場合、「ユーザープロファイルを作成し、データはマーケティング目的(ウェブサイトでの個別の広告とリアルタイムのバインディング)に使用します」という記載も不十分である。 「個人に対する自動化された意思決定の意図」では、個々のプロファイルが作成され、他のウェブサイトからのデータで強化されて、包括的な使用プロファイルが形成される時期を指摘する必要があり、サービスプロバイダーが関与している場合はそのサービスプロバイダーの名前を出す必要があるので、「データは第三者に開示し、他のデータと統合する可能性があります」という記載では不十分である。

また、同意取得前に同意を撤回できることを、同意を取得するためのバナーにおいては第1層で通知する必要がある。同意の撤回ができることを通知していない場合、無効な同意となり得る。

 

 

 

 

明確な肯定的な行動

みなし同意は認められない。明確な確認アクションが必要である。また、マウスをクリックするだけで、クッキーに関する詳細情報を受け取り、どのデフォルト設定が設定されているかを確認し、各同意が何に関連するか明確で統合されたドロップダウンウィンドウを開ける必要がある。

 

 

 

 

任意性ある同意

いわゆるクッキーウォールの場合、任意性は認められず、有効な同意とはならない。しかし、同意に加えて、適切な支払いを通じてコンテンツを表示する代替手段がユーザーに提供された場合、任意性は認められる。

 

 

 

 

ユーザーの決定に許容できない影響を与えない(いわゆる行動経済学を用いない)

同意ボタンを拒否ボタンよりも目立つような仕様にしたり、ユーザーが同意を拒否した後もウェブサイトを開くたびに同意バナーを表示したりして、同意ボタンを押すよう促すようなユーザーの行動に影響を与えることを目的とした手法を用いてはならない。

 

 

 

 

同意の撤回

同意の撤回は同意を与えるのと同じくらい簡単でなければならない。ウェブサイト上で同意を取得したのならば、同意の撤回に手紙、メール、電話等の他の方法を用いてはならない。同じ方法であっても、撤回に氏名や住所の入力を求めるなど、同意を取得するときよりも負荷をかけてもいけない。

ウェブサイトのヘッダーやフッター、またはプライバシーノティスに同意画面のリンクを挿入することをお勧めする。

 

 

 

 

未成年者によるデータ処理への同意

子供や若者向けのウェブサイトの運営者は、可能であればクッキーやサードパーティプロバイダーの使用を避け、同意が不要となることを勧める。コンテンツやデザイン上、主に16歳未満の方を対象としたウェブサイトでユーザーの同意が必要な場合、親権者等の保護者の同意を取得する必要があり、最初に適切な年齢確認の実装が必要となる。年齢の簡単な質問は、16歳未満のユーザーが正直に答えないというウェブサイトの運営者にとって非常に高いリスクとなる。保護者の同意を取得できた場合に適法な扱いとなるが、ウェブサイトの運営者は、実際に保護者からの同意取得を確認する責任がある。この確認は、例えば「親である」とのボタンを事前にクリックさせるだけでは不十分で、事後的に安全な身元確認が必要となる。しかし、事後的に安全な身元確認は通常複雑で難しいため、現実的ではない。 ただし、乱用の可能性が低いウェブサイトにオンラインでの身元確認手続きを含めることが出来れば適切な方法となる。

【ニーダーザクセン州 クッキー同意に関するメモ】
https://lfd.niedersachsen.de/download/161158/Datenschutzkonforme_Einwilligungen_auf_Webseiten_-_Anforderungen_an_Consent-Layer.pdf


  • 新規CTA
  • Bizrisブログ

ブログ購読

人気e-Book

  • Cookie Japan

    クッキー規制対応e-Book2冊が含まれています。
    座談会 クッキー・プライバシー保護規制対応の最前線 ~デジタルマーケティングが直面する課題と現実的対策~ 第1部&第2部

  • OneTrust Specs&Function

    OneTrust 仕様・機能詳細

グローバルなクッキー規制対応を
OneTrust × IIJで簡単・迅速・低価格に実現

ライセンス料は月額4,800円から
豊富な無料マニュアル・ガイドがあるから自社だけで導入・運用が可能

Hero