フィンランド ブラウザの設定でクッキー同意が認められた


今回の事案

フィンランド運輸通信局は、Innowise.fi Webサイト(以下「当該サイト」という)のクッキーの同意方法(ユーザーがインターネットのブラウザの設定にクッキーを保存することを許可することによってユーザーの同意を得たものとする)は、法を遵守していると判断した。

当該サイトにおけるクッキー

決定文によると、当該サイトでは、「ユーザーがインターネットブラウザーの設定にクッキーを保存することを許可することによってユーザーの同意を与えた場合、クッキーを使用する」としている。また、当該サイトでは次のクッキーが使用されている。

 ・ Google Analytics訪問者追跡クッキー(以下「クッキー①」という)
 ・ Zendesk Chat(旧Zopim)カスタマーサービスチャットクッキー(以下「クッキー②」という)
 ・ Facebook広告システムに関連付けられたFacebookピクセルトラッキングクッキー(以下「クッキー③」という)
 ・ ブログページのコメント欄に導入されたDisqusのクッキー及びトップページに埋め込まれた会社のTwitterのクッキー(以下「クッキー④」という)

当該サイトにおけるクッキー①とクッキー③は、統計・分析目的で利用され、いわゆる必須クッキーに該当しないので、その設定や利用にはユーザーに明確な情報を提供し、ユーザーの同意を取得する必要がある。特に、第三者とクッキー情報を共有する場合、ユーザーの同意が必要である。 クッキー②は、チャットサービスという加入者またはサービスユーザーによって明示的に要求されたサービスを提供するために提供するために必要なクッキー(必須クッキー)なので、ユーザーがチャットサービスの使用を開始した後、たとえばアイコンをクリックしてクッキー②を保存する場合、同意を必要としない。 クッキー④については、サービス提供者の活動と密接に関わっていても、サービス実施の必要部分とは考えられないため、その設定や利用には原則としてユーザーの同意を得る必要がある。 したがって、当該サイトにおいて、クッキー①、③、④の使用には、ユーザーの同意が必要である、とされている。

フィンランドにおけるクッキー規制

フィンランド国内におけるクッキー規制は、EUのeプライバシー指令2002/58 / ECに基づき制定された電子通信サービス法(以下「法」という)第205条が適用される。 法第205条は「(1)ユーザーの端末でのサービスの使用とそのような情報の使用を説明する情報またはその他の情報の保存は、サービスプロバイダーがユーザーに包括的な情報を提供し、ユーザーが同意する場合に、サービスプロバイダーに許可される。」「(2)第1項の規定は、通信ネットワークでメッセージの送信を実行することを唯一の目的とする、またはサービスプロバイダーが加入者またはサービスユーザーによって明示的に要求されたサービスを提供するために必要なデータの保存または使用には適用されない。(いわゆる「必須クッキー」)」としている。 同意の定義に関しては、eプライバシー指令では、GDPRによって廃止された個人データ指令(95/46 / EC)を言及している。したがって、GDPRにおける同意と個人データ指令における同意の定義は同じである。 もっとも、決定文では、個人データ指令における定義についてフィンランドの運輸通信局の観点から、国内規制におけるクッキーにおける定義の解釈を変更する必要がある、として、以下のように説明している。 「GDPRにおける(データ主体の)同意は、データ主体が同意を与えることにより、自分の個人データの処理に同意する、自発的、具体的、情報に基づく明確な同意の表明である。法は、GDPRの特別法である。同意は個人データの処理に関するGDPRで定義されているが、クッキーを使用する主な目的は個人データの処理ではない。」 したがって、フィンランドでは、ブラウザの設定やポップアップなどを通じて、Cookieの使用に同意できることが確立され、上記のテクノロジーの組み合わせを使用して同意を与えることもできる、としているのである。

他の国におけるユーザーのブラウザ設定に基づくクッキー同意の可否

イギリスのデータ保護監督機関(ICO)、フランスのデータ保護監督機関(CNIL)、アイルランドのデータ保護監督機関(DPA)が各々公開しているクッキーに関するガイダンスでは、ユーザーのブラウザ設定に基づきクッキーの使用の同意があるとみなすことには否定的である。 この点、今回の決定を行ったのは、フィンランドのデータ保護監督機関(Office of the Data Protection Ombudsman)ではなく、フィンランド運輸通信局だったことが関係しているのかもしれない。 また、決定文の最後には、以下のように、GDPRの同意が必要になる場合もあることが述べられている点、注意を要する。 「クッキーは、サービスの実装に使用できる、ユーザーの端末に保存される情報の一部で単なるテキストファイルであるため、クッキーには個人データが含まれておらず、個々のユーザーを識別するために使用することはできない。もっとも、クッキーが個人データに関連付けられ個人データの収集と処理に使用される場合、たとえば、クッキーがIPアドレス情報とタイムスタンプ情報に関連付けられている場合には、法に加えて、個人データの規制が適用されることがある。」

 

【本件の決定文】
https://www.dataguidance.com/sites/default/files/0_3.pdf

【CNILのクッキー等の利用に関する同意取得についての推奨事項(ドラフト)】
https://www.cnil.fr/sites/default/files/atoms/files/projet_de_recommandation_cookies_et_autres_traceurs.pdf

【ICOのクッキー等のガイダンス】
https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-of-cookies-and-similar-technologies/

【DPAのクッキー等のガイダンス】
https://www.huntonprivacyblog.com/wp-content/uploads/sites/28/2020/04/Guidance-note-on-cookies-and-other-tracking-technologies.pdf

 

※ICO(イギリス)、CNIL(フランス)、DPC(アイルランド)の各監督機関によるクッキーに関するガイダンスは、IIJビジネスリスクマネジメントポータルhttps://www.bizrisk.iij.jp/で会員向けに公開しています

関連記事