欧州司法裁判所が、cookie設置には情報端末ユーザーの積極的な同意が必要と判断


欧州司法裁判所が、クッキー(Cookie)設置には情報端末ユーザーの積極的な同意が必要と判断

10月1日、欧州司法裁判所は、ドイツのオンラインゲーム企業であるPlanet49社が、同社主催のオンライン上の販促ゲームへの情報端末ユーザー参加にあたり、ユーザーの情報端末にクッキーを保存することへの同意の取得方法が、eプライバシー指令が求める同意取得の要件を満たさないとする判決を下した。ドイツ消費者団体協会連合会とPlanet49社の間で進行中のドイツ国内訴訟において、クッキー同意の合法性に関する判断が欧州司法裁判所に先決付託されたことに対する決定である。

本クッキーは、Planet49社がそのパートナー企業の製品の広告を目的として端末に保存するもので、情報端末ユーザーによる同意の画面上では、クッキーの保存に同意する旨のチェックがあらかじめ入っていたことが、eプライバシー法の同意取得の要件を満たすかが争点とされた。

本決定で欧州司法裁判所は、「同意する」にあらかじめチェックがなされた確認欄は、同意を拒否するためにユーザーが選択解除の操作をしなければならないことから、このような形で取得された同意は、eプライバシー指令やEU一般データ保護規則(GDPR)が規定する「データ主体による自由かつ自発的な同意」の条件を満たさないと判断した。

また本判決では、クッキーを通じてアクセス可能なユーザーデータが個人データに該当するか否かは問題ではないとしたほか、同意内容は明確でなければならず、クッキーの使用期間や第三者のクッキーアクセスに関する情報も端末ユーザーに提供しなければならないと判断した。

本決定により、欧州域内のデータ主体を対象とするクッキーの設置では、クッキーの目的、内容、機能、有効期間を具体的に通知するとともに、データ主体が自発的に同意を与えられるような仕組み(同意のオプトイン)を整備する必要がある。企業等は、GDPRが定めるデータ保護バイデザイン・バイデフォルトと合わせて、Webページの設計の再検討が必要となる可能性がある。

欧州司法裁判所のプレスリリース
https://curia.europa.eu/jcms/jcms/p1_2423854/en/
欧州司法裁判所決定本文(英語)
http://curia.europa.eu/juris/document/document.jsf;jsessionid=579B4F40AFBEC1BBFB9CCF67E261E230?text=&docid=218462&pageIndex=0&doclang=en&mode=req&dir=&occ=first&part=1&cid=2282337

関連記事