スペイン 相次ぐクッキー規制違反に対する制裁事例


Twitterに対する3万ユーロ(約360万円)の制裁金

2020年6月9日、スペインのデータ保護監督機関(AEPD)は、Twitterのクッキーの使用が情報社会および電子商取引法(LSSI)22.2条に違反する、として制裁金3万ユーロを課すことを決定した。
Webサイトwww.twitter.comにアクセスすると、ユーザーが何もせずとも、広告クッキーを含む5個のクッキーがブラウザーに自動的に保存される。最初のページ(第1層)のクッキーバナーは「Twitterサービスを使用することにより、当社のCookieポリシーに同意したことになります。 Twitterとそのパートナーは世界中で事業を展開しており、特に分析、パーソナライズ、広告のためにクッキーを使用しています。」と出るが、そのバナーにはクッキーを拒否するためのリンクや、クッキーの説明や管理ができる第2層へのリンクもない。クッキーバナーの外で、ホームページの下部に「cookies」というタイトルのリンクがあり、このリンクをクリックすると、クッキーポリシーにアクセスできる。しかし、クッキーを管理するためのさまざまなブラウザーの構成方法を通知することに限定されており、全てのクッキーを拒否することや、細かなクッキーの設定方法を変更する仕様にはなっていなかった。

3千ユーロ(約36万円)の制裁金が続く

その後もAEPDは相次いで3件の3千ユーロの制裁金を課したことを公表している。

まず、2020年6月12日、AEPDは、PETROLIS INDEPENDENTS, S.L.(以下「ペトロリス社」)に対して、LSSI第22.2条違反を理由に、制裁金3千ユーロを課すことを決定した。
ペトロリス社のWebサイトでは、クッキーバナーの第1層には「全てに同意」または「もっと読む」をクリックできる。これに対して、ユーザーが何もせずとも、クッキーがブラウザーに自動的に保存される状態であったのに、それについて第1層での説明がなかった。また、「もっと読む」をクリックして第2層が開くと、クッキーに関するいくつかの通知はあるが、何もしなくても保存されてしまうクッキーについての通知はなく、また全てのクッキーを拒否したり、クッキーの一つ一つの同意や拒否を設定できたりする仕様になっていなかった。(もっとも、ペトロリス社は自発的に支払いをしたため、制裁金が1千8百ユーロに減額された。)

続いて、2020年6月15日、AEPDは、IMNOVA RESORT S.L.(以下「インノバ社」)に対して、LSSI第22.2条違反を理由に、制裁金3千ユーロを課すことを決定した。
インノバ社のWebサイトのクッキーバナーの第1層には、「閲覧を続ける場合は、その使用を受け入れるとみなす」と記載されており、ユーザーが何もしなくともクッキーが設定されてしまう状態であった。また第2層には「クッキーポリシー」が記載されていたが、クッキーの使用を拒否するにはユーザーがブラウザーで設定する必要があり、全てのクッキーを拒否するオプションがない仕様であった。

また、同日、AEPDは、GARANTIZA AUTOMOCIÓN, S.L.(以下「グランティーザ社」)に対しても、LSSI第22.2条違反を理由に、制裁金3千ユーロを課すことを決定した。
グランティーザ社のWebサイトwww.garantiza.netでは、クッキーバナーが出てくることはなく、ページの下部に「Cookies Policy」と表示があり、クッキーポリシーへリンクしている。そして、クッキーポリシーへアクセスすると、クッキーに関するいくつかの情報が提供されているが、ユーザーがクッキーを同意することや拒否することを管理できる仕様にはなっていなかった。

クッキー使用に関するガイドライン

AEPDは制裁金の他、Twitterを含む4社すべてに対して、クッキーの使用に関するAEPDのガイドライン(以下「ガイドライン」)を参考にして、適切な措置を講じるよう是正命令を出している。2019年11月にガイドラインが出され、約半年が経過し、当局としては、ガイドラインに沿ったクッキーの使用を求めているのであろう。今後もクッキーの使用に関する執行事例は続いていくと考えられる。

【AEPD クッキーの使用に関するガイドライン】
https://www.aepd.es/sites/default/files/2019-12/guia-cookies_1.pdf

【Twitterに対する3万ユーロの制裁金】
https://www.aepd.es/es/documento/ps-00299-2019.pdf

【ペトロリス社に対する3千ユーロの制裁金】
https://www.dataguidance.com/sites/default/files/ps-00047-2020.pdf

【インノバ社に対する3千ユーロの制裁金】
https://www.dataguidance.com/sites/default/files/ps-00386-2019.pdf

【グランティーザ社に対する3千ユーロの制裁金】
https://www.dataguidance.com/sites/default/files/ps-00410-2019.pdf

関連情報

クッキー規制関連ニュース

クッキー規制ブログ

IIJ ビジネスリスクマネジメントポータル(BizRis)

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト