ベルギー監督機関、アナリティクスCookie設定に同意必要と判断


ベルギー監督機関(APD)、アナリティクスクッキー(Cookie)設定に同意必要と判断

ベルギー監督機関(APD)は、法務サイト「Lubel.be」に対し、Webページ上のクッキーの設置と使用が不適切であるとして、1万5000ユーロの制裁金を決定した。技術メディアJD Supraが報じた。制裁金額は、Jubel.beの利益(注:税引前利益とみられる)の10%に相当する。Jubel.beはこの決定を受け入れるとしている。なお、正式な処分決定書は現時点で未公表である。

本件は、Jubel.beがWebページ内に設置したアナリティクス型クッキーについて、閲覧者の明確な同意を取得しなかったほか、クッキーの設置を拒否する手段を提供しなかったというものである。Jubel.beは、このクッキーがJubel.beを閲覧する際に「厳密に必要な(Strictly Necessary)」クッキーであり、EU一般データ保護規則(GDPR)およびeプライバシー指令による同意取得義務の対象外であると主張したが、APDは以下を理由としてJubel.beの主張を退けた。

1. 当該クッキーは、eプライバシー指令が定義する「厳密に必要なクッキー」には該当しない。厳密に必要なクッキーは、機能上閲覧者にとって有益なものでなくてはならないが、当該クッキーは運営者に有益なものに過ぎない。
2.  当該クッキーは、最終的に匿名化される(例:Google Analyticsでは閲覧者のIPアドレスの下三桁のみ記録される)としているものの、閲覧者のデータ収集開始時点ではクッキーに保存されるデータが匿名化されていないため、当該クッキーはGDPR上の個人データに該当し、閲覧者の明確な同意なく設置できない。

Jubel.beは公式ブログで、「(GDPRなどのプライバシー保護)行政は新たな枠組みであり、「第三者」についての規則や助言を推測するのは困難である。この分野での専門家の必要性は高く、技術者、コンピュータ科学者、弁護士による業際的な協力が求められる」と発表している。

JD Supraの本記事によれば、ほとんどのアナリティクス目的のクッキーにより取得されるデータが個人データに該当するというのがベルギー監督機関の見解だと解釈できる。厳密に必要なクッキーに該当するアナリティクス目的のクッキーの存在までは否定されていないが、その定義が示す「閲覧機能上本質的な」必要性や、クッキー設置が閲覧者に提供する便益が合理的に説明されない限り、このようなクッキーの設置と運用には閲覧者の明示的な同意が必要であると考えるべきだろう。また、一旦与えた同意を撤回できる手段の提供も必要である。同記事はウェブページの運営者に対し、クッキーポリシーの内容を再確認し、ポリシーが最新の規則に沿ったものにするよう呼びかけている。

Very expensive cookies – Belgian Data Protection Authority fines legal website €15,000
https://www.jdsupra.com/legalnews/very-expensive-cookies-belgian-data-51325/
Jubel.be公式ブロク記事(オランダ語)
https://www.jubel.be/mag-het-voor-u-nog-een-cookie-meer-zijn/

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト