英ICO:Cookie利用の新ガイダンス公表 暗黙の同意はNG・正当な利益は適法根拠とならない


イギリス監督機関(ICO):クッキー(Cookie)利用の新ガイダンス公表 暗黙の同意はNG・正当な利益は適法根拠とならない

イギリスのデータ保護監督機関・ICOは、7月3日、オンラインサービスにおけるクッキー等の利用に関する新たなガイドラインを公表した。ICOは、新ガイドラインを紹介するICOの公式ブログで、クッキー等の利用に関する代表的な5つの誤解と真実をわかりやすく説明する記事を掲載した。ガイダンスの詳しい内容については続報する。

誤解1:クッキー利用についても暗黙の同意を援用できる
真実:クッキー利用について、暗黙の同意は援用できない。EU一般データ保護規則(GDPR)が求める同意の有効要件は、旧データ保護指令よりも厳しくなった。クッキー等を利用する場合、以下の手続が必要である。
1 利用者から明確で肯定的な行動により、非必須クッキー利用について同意を取得すること
2 利用者に対して、クッキー等設定の目的について明確に説明すること。クッキー等を利用する第三者(広告エージェントなど)に関する情報提供もしなければならない。
3 あらかじめティックされたチェックボックスや、これに類するインタフェイスの設定は、同意取得の手段として不適当である。
4 利用者は、非必須クッキーについて自らコントロールできなければならない。
5 ランディングページにおいて、利用者の同意を取得する以前に非必須クッキーを設定してはならない。
6 オンライン広告を目的として第三者が設定するクッキー(広告タグなどによるもの)、Webアクセス解析を目的とするクッキー(Googke, Adobeなど)は、非必須クッキーであり、利用者の事前の同意を取得するまで、設定してはならない。

誤解2:Webアクセス解析のためのクッキーは必須クッキーであり、同意を必要としない
真実:アクセス解析は、利用者がオンラインサービスを利用する際に要求する機能の一部であるとはいえない。したがって、Webアクセス解析のためのクッキーは必須クッキーではなく、同意取得が必要である。

誤解3:利用者が同意するまで、クッキーウォールによりサイトへのアクセスを制限できる
真実:利用者が同意するまでWebサイトへのアクセスを制限する、いわゆるクッキーウォールを実装する場合、同意は有効とならない可能性がある。「このWebサイトの利用を続けることにより、あなたはクッキー利用に同意したことになります」のような宣言は、GDPRの同委有効要件のもとでは、有効な同意ではない。これについては異見があることをICOは承知しており、この点について利害関係者からの意見をさらに求める。

誤解4:クッキー設定について、「正当な利益」を適法根拠として援用できる
真実:PECR(e-Privacy指令を実装する英国国内法Privacy and Electronic Communications Regulations)は、非必須クッキーについて常に同意取得を要求する。正当な利益をクッキー利用の適法根拠とすることはできない。

誤解5:ICOはオンラインサービスにおけるクッキー等の利用を止めたがっている
真実:ICOは技術革新を支援するが、市民の権利を犠牲にすることはできない。クッキーに関するルールの遵守は、ICOにとってますます重要な規制対象となる。

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/blog-cookies-what-does-good-look-like/

関連記事