フィンランド クッキーに関する黙示の同意やブラウザによる拒否が否定される


今回の事案

今回の決定の対象となった企業(以下「当該企業」とする)は、とりわけターゲティング広告のために開設していたウェブサイトでクッキーを使用していた。そのクッキーの使用について「サイトを継続して使用することでクッキーに対する同意をしたものとみなす」旨のクッキーバナーを表示していた。また、クッキーバナーに「同意」のボタンはなく「詳細」のボタンがあり、「詳細」ボタンをクリックするとユーザーはデータ管理者である当該企業のプライバシーポリシーを読むことが出来る。プライバシーポリシーでの説明には、ユーザーがブラウザ設定を変更することでクッキーの使用を拒否できることが記載されていた。さらに、プライバシーポリシーには、各共同管理者が個別に保存および使用するクッキーについて、ユーザーは各共同管理者のウェブサイトにおいて拒否することができると記載していた。

2020年5月15日、フィンランドのデータ保護監督機関(Office of the Data Protection Ombudsman)は、当該企業に対して、クッキーの使用の同意を求める方法を変更するよう是正命令の決定(以下「本決定」という)を行った。

本決定の理由

本決定では、当該企業の同意の取得方法はGDPRを遵守していない、と判断されている。すなわち、2019年10月の欧州司法裁判所の判決(いわゆる「Planet49判決」)は、eプライバシー指令とGDPRの同意条件を一緒に読む必要があることを明確にし、eプライバシー指令に基づき、ユーザーの端末へのデータの保存は、ユーザーがデータの保存に同意した場合にのみ許可され、ターゲティング広告などに使用されるクッキーの使用には同意が必要である。それゆえ、同意は、EU一般データ保護規則の要件に準拠している必要がある。本件において「サイトを継続して使用することでクッキーに対する同意をしたものとみなす」旨のクッキーバナーを表示していただけでは、自発的な同意を与えたとはいえず、同意を与えることと同じくらい簡単に同意を拒否または撤回することもできない。また、ユーザーがブラウザ設定でクッキーの保存と使用を拒否できる通知を受けたという事実は、積極的かつ明示的な同意を与えたとはいえない、と判断したのである。

フィンランド運輸通信局の決定

2020年4月24日、フィンランド運輸通信局は、ユーザーがインターネットのブラウザの設定にクッキーを保存することを許可することによってユーザーの同意を得たものとする同意の取得方法は、法を遵守していると判断している。

しかし、本決定においては、以下のように判断されている。

電子通信データ保護指令での同意の要件は、フィンランドの運輸通信局が監督する電子通信サービス法を介してフィンランドで施行されている。しかし、GDPRの同意に関する規定には、国の裁量は含まれていない。そして、GDPRは、フィンランドのデータ保護監督機関によって監督される。

また、欧州データ保護委員会(EDPB)は同年5月4日に発表している同意についてのガイドライン(Guidelines 05/2020 on consent under Regulation 2016/679)において、クッキーに関するデータ主体の同意を求める方法を明確にしており、本決定において「そのガイドラインに従うものである」としている。また、欧州各国のデータ保護監督機関はGDPRの一律適用の責任がある、としている。

さらに、本決定では、データ保護監督機関には数十の同様の案件が係属中であり、本決定と同様の基準で判断されていく、と述べられている。

 

【本決定のプレスリリース】
https://tietosuoja.fi/artikkeli/-/asset_publisher/apulaistietosuojavaltuutettu-maarasi-yrityksen-muuttamaan-tapaa-jolla-se-pyytaa-suostumusta-evasteiden-kayttoon

【フィンランド運輸通信局の決定に関する記事】
https://blog.bizrisk.iij.jp/419

【EDPBの同意に関するガイドライン】
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en

 

関連記事