ベルギー監督機関、Cookieに関する情報提供・同意取得の不備に制裁金


ベルギー監督機関、クッキー(Cookie)に関する情報提供・同意取得の不備に制裁金

ベルギー監督機関Autorité de protection des données/Gegevensbeschermingsautoriteit(以下「APD/GBA」という。)は、2019年12月17日、法務サイト「Jubel.be(以下「Jubel」という。)」に対し、ウェブページ上のクッキーの設置・運用が不適切であるとして、1万5000ユーロの制裁金を決定した。本事例の処分決定書の分析により、Webを対象としたクッキーの設置と運用について、Web運営者として注意すべきポイントが多く含まれている事例であることが判明したので、その内容を解説する。

1 事案の調査について

本事例は、第三者による苦情の申し立てでなく、監督機関による独自の調査から判明した。クッキーの取り扱いについては、欧州経済領域(EEA)各国の監督機関が運用状況のモニタリングに注力していることに留意すべきである。また、調査過程におけるAPD/GBAの指摘を受け、JubelはAPD/GBAに協力してプライバシーノーティスやクッキーの処理を改善したものの、違反の悪質性や関係するデータ主体の数(Jubelによると月間約35000アクセス)により制裁金処分につながった。

2 クッキーの運用について

① 閲覧者に対する通知の不備
APD/GBAは、Jubelが閲覧者に対し、閲覧者のブラウザにクッキーを設置する上で必要な通知を適切に実施していなかったと指摘した。同サイトの通知では、管理者の連絡先が誤ったものであり、管轄の監督機関についても、APD/GBAではなくオランダの監督機関が記されていた。そのほか、データ主体が要求できる権利、処理の法的根拠、処理目的、データ主体が監督機関に苦情を申し立てる権利、個人データの保存期間など、EU一般データ保護規則(GDPR)第13条で記載が求められる要素が含まれておらず、記載されていた通知内容も、実際のWebページやクッキー運営を反映したものではなかった。

② プライバシーノーティスの言語
GDPRは、データ主体に対する通知は読解可能なものであることを求めている。Jubelは、Webがオランダ語とフランス語を理解する閲覧者を対象としているにも関わらず、プライバシーノーティスが英語であることを指摘した。また、フランス語版のウェブページのプライバシーノーティスがオランダ語で書かれていた。クッキー管理に関する情報も英語でのみ提供されていた。これは、GDPRの透明性原則に違反するものである。

③ 事前に印が付けられたチェックボックスの設置
Jubelのクッキー同意画面で、すでに「同意する」に印がつけられたチェックボックスが存在していることを監督機関が指摘した。欧州司法裁判所による「Planet49」裁判で示されたクッキー同意の要件では、Webのユーザーの最終機器に既に保存されている情報の保存または情報へのアクセスが、「ユーザーが拒否した場合にチェックを外す必要のある標準チェックボックス(すでに同意にチェックが入っていて、同意しない場合はチェックを外すオプトアウト方式)」によって許可されている場合は、同意の合法性は認められないとしている。

④ クッキー同意の取得方法
クッキーに関わらず、GDPRは個人データ処理への同意は特定されていなければならないとしている。また、欧州データ保護会議(EDPB)の同意に関するガイドラインでは、特定の目的に対する同意に加え、データ主体が目的ごとに同意の選択権があるとしている。そのため、APD/GBAは、クッキー同意についても目的ごとに個別の同意オプトインを設定すべきとした。APD/GBAは、クッキー同意を各クッキーまたはカテゴリーごとに取得すべきであると指摘している。

⑤ 同意の撤回または拒否の権利
GDPRは同意について、データ主体は常に同意を撤回する権利を有し、事前に通知を受け、同意の撤回は与えるのと同じくらい簡単にできなければならないとしている。APD/GBAは、Jubelのウェブページのプライバシーノーティスでは、同意の撤回に対するデータ主体の権利に関する情報が適切に提供されなかったと指摘した。Jubelは同意の撤回についても、データ主体の身元に関する書面または電子的要求の提示を閲覧者に求めていた。またJubelは、閲覧者がクッキー設置を受け入れるボタンは設置されていたが、拒否する手段を提供していなかった。APD/GBAはこれらの事実について、GDPR第7条違反であるとしている。

⑥ クッキー同意の必要性について
Jubelは設置していた分析型クッキーが、ページ内の特定のメディアを利用するために必要であり、受け入れられない場合ビデオ視聴の手続きが複雑になるため必要不可欠なクッキーであると主張した。eプライバシー指令では、ウェブページの運営上「厳密に必要な」クッキーの設置に対する同意の取得は不要であるとしている。APD/GBAは、Jubelが設置した分析型クッキーは厳密に必要なクッキーには該当せず、設置には閲覧者の同意が必要であると判断した。「必要」という条件は閲覧者の立場から評価されるべきであり、情報サービスプロバイダの立場で判断されるものではないというのがその理由である。分析型クッキーの設置の同意を得られなくても、法務情報サービスという本質的なサービス提供は可能であると判断した。

⑦ クッキー設置の適法根拠について
Jubelは「Webの使用を簡素化し、Webの使用に関する統計データを収集する」ことを目的に、クッキー設置の適法根拠として「正当な利益」を主張した。また、同ページに投稿された記事に関する「本質的な洞察」を提供するために必要なクッキーであるともしている。換言すれば、サイト表示の簡素化や投稿内容の改善のために各種クッキーを設置するのは正当な利益に該当するとJubelは判断していたが、これらの目的の達成にクッキーは必要ないとしてAPD/GBAはその主張を退け、クッキー設置の適法根拠は同意であるべきだとした。

⑧ 分析型クッキーの役割について
Jubelはプライバシーノーティスの中で、同社が使用した「Google Analytics」からのクッキーを「ファーストパーティークッキー」であり、前述の必要性の主張と合わせて、設置に閲覧者の同意が必要ではないとしたが、APD/GBAは設置された分析型クッキーが「投稿者などの第三者」に情報を提供するためのものであるとし、Webページの運営者が自身の目的のために設置するファーストパーティークッキーであると認定しなかった。また、同意取得の不要性についても否定した。

⑨ 個人データの匿名性について
JubelはGoogle Analyticsのクッキーによるデータ処理は、Googleが与えるランダムかつ一意のID番号が割り当てられることによって匿名化されると主張したが、APD/GBAはその主張を退けた。APD/GBAは匿名化が、個人データを直接または間接的に個人に帰属させることができなくなった場合にのみ達成されること、個人データの処理プロセスの冒頭から匿名化が実行されていることが条件であるとし、Jubelがその証拠を提示できなかったと指摘している。そのため、データ処理の全般に渡って個人データの性質が失われていないと判断した。

⑩ クッキー管理ソフトの実行結果の有効性について
Jubelが提出したクッキーリストは、「Google Adsense」、「Google Tag Manager」、および「Google Analytics」の存在に関するAPD/GBAの調査結果と一致しなかった。不一致についてJubelは、使用したクッキー管理アプリ「Cookiebot」の技術的問題が原因であるとした。APD/GBAは、Cookiebotテクノロジーによって更新されたリストの正確性が欠如しているため、クッキーに関する最終決定はできない(すなわちクッキーに関するJubelの主張の正当性を採用できない)とした。クッキー管理ソフトの技術的瑕疵を理由に、クッキー運営上の違法性は阻却されないとしたのである。

3 教訓
前述のとおり、本事案には、Webにおけるクッキー運用で個人データ保護上犯す可能性があるポイントが多く含まれている。クッキーの設置や運用の適法性については、クッキーを使用するWebページの設置者の立場から解釈・主張されることが多いが、GDPRを始めとする欧州プライバシー保護規制の基本的理念は「データ主体の自由と権利を保護する」ところにあり、クッキー運用でもその理念が適用されていることを改めて認識すべきである。

また、管理者はクッキーの設置運用がどのように行われているかを正確に理解することも必要である。閲覧者の属性に応じた適切な情報提供、言語の選択、そしてクッキー運用そのもののメカニズムや目的、クッキー運用の影響等を、閲覧者と正しく共有しなければならない。

欧州の監督機関は、Webのクッキー運用に厳しい監視の目を向け始めている。日本の個人情報保護法の改正でも、クッキー規制のあり方が論点に挙げられている。またGoogleは、自社のウェブブラウザ「Chrome」による、サードーパーティークッキーを通じた第三者への情報提供を停止する方針であることも明らかにされた。本事例を踏まえ、Web運営者はクッキー運用のあり方を再確認することをおすすめする。

ベルギー監督機関処分決定書

オランダ語
https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/BETG_12-2019_NL.pdf
フランス語
https://www.autoriteprotectiondonnees.be/sites/privacycommission/files/documents/BETG_12-2019_FR.pdf

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト