スペインのデータ保護機関がブエリング航空WebサイトのCookie設定不備について3万ユーロの制裁金


スペインのデータ保護機関がブエリング航空Webサイトのクッキー(Cookie)設定不備について3万ユーロの制裁金

スペインのデータ保護機関(AEPD)がブエリング航空Webサイトのクッキーポリシーと実装との乖離等について3万ユーロの制裁金を課した。これまでフランスの監督機関(CNIL)などがクッキーに関して広告プラットフォーマー側に制裁、勧告をした例はあるが、事業法人への制裁ははじめてで、今後、欧州(ヨーロッパ)各国でクッキー利用について法執行が本格化する兆候である。

問題とされたのは、ブエリング航空Webで「詳細なクッキー同意・拒否選択設定」機能が実装されていなかった点である。

ブエリング航空のURLページ(https://www.vueling.com/es)にアクセスすると、ユーザーは、クッキーが何であり、どのような種類・機能のクッキーを使用しているかが通知される。加えて、クッキーポリシーにおいて「ブエリング航空はクッキー情報を単独、または、第三者のwebサイトを通して匿名データの評価と統計計算などの目的使用することができる。このような情報は他の目的には使用されないこと、またサードパーティクッキーが使用される可能性がある」と記載していた。

ところが、実際のクッキー管理画面においては、単に「デフォルトですべてのクッキーを受け入れるか拒否するかを選択できる。各クッキーの受信に関する画面上の通知を受け取り、その時点でその実装を決定するようにブラウザを設定できる。追跡クッキーブロックツールを使用することもできる。ブエリング航空によるクッキーの使用に関する同意はいつでも取り消すことができ、同意の取り消しのためにブラウザの設定を調整して、クッキーのWebや第三者の一般的なインストールを防ぐことができる。」と示しているだけで、細かい設定ができるクッキー同意・拒否選択機能は提供されていなかった。

これらの事実は、「使用に関する情報、特にデータ処理の目的に関する明確で完全な情報が提供された上で同意を得てから、サービスプロバイダーは、受信者の端末機器でデータストレージおよび検索デバイスを使用できる」とする※LSSI(「Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico」情報社会サービスおよび電子商取引に関するスペインの法律)の22条2項に反するとして、AEPDはブエリング航空に3万ユーロの制裁金を課した。(ただし、自発的な支払いにより1万8千ユーロに減額されている。)

【AEPDの決定文】
https://www.aepd.es/resoluciones/PS-00300-2019_ORI.pdf(リンク切れ)

【EDPBの記事】
https://edpb.europa.eu/news/national-news/2019/spanish-data-protection-authority-fined-company-vueling-cookie-policy-used_en

※LSSI…EU指令31号(2000年6月12日)をスペイン国内法にしたもの。Cookieについては、スペインのプライバシー法と共にLSSIも規定している。AEPDはLSSIの基準として、「クッキー利用についてのガイドライン」を示しており、今回の決定文においても当該ガイドラインに則った判断をしている。

関連記事