Blog
プライバシー＆コンプライアンス
GDPR クッキーコンプライアンス入門：EU での「本人の同意」の管理方法

GDPR クッキーコンプライアンス入門：EU での「本人の同意」の管理方法

ジェフリー・エドワーズ

プライバシー＆コンプライアンス | 2023年3月01日

Web サイトのクッキーの管理は、オンラインビジネスにとってとても重要です。マーケティングチームは、できるだけ多くのユーザー情報を取得し、追跡したいのですが、いろいろなプライバシー規制により、ユーザーのデバイスに保存するすべてのクッキーについて同意を得ることが義務付けられています。

クッキーコンプライアンスプログラムを構築する際には、世界的な規制の状況をしっかりと理解しておくことが重要です。これにより、潜在的な違反金だけでなく、ユーザーの信頼を損なうことも回避できます。適切なクッキーの管理を実現するため、まずは EU の一般データ保護規則（GDPR）を参照しましょう。GDPR には、世界でも最も厳しいクッキーの使用条件が含まれているため、GDPR に準拠できれば、他のプライバシー規制の要件も満たすことができるでしょう。

それではまず、GDPR がクッキーや同意をどのように定義しているのか、また、GDPR に準拠のために事業者が取るべき手順とは何かを理解しましょう。

トラッキングを規制する理由〜個人情報としてのクッキー

GDPR とは、2018年に施行された、オンラインでのユーザーの行動をトラッキングするクッキーやその他のテクノロジーに関する世界で最も厳しい規制です。それは、GDPR がクッキーを、自宅の住所、社会保障番号、電話番号と同様の個人情報とみなしているからです。GDPR の Recital 30を要約すると、人々は、デバイス、アプリケーション、ツール、プロトコルによって提供されるクッキー識別子に関連付けられることがあります。そして、クッキーが残す痕跡は、サーバーによって受信された固有の識別子やその他の情報と組み合わせることで、組み合わされると、人々のプロファイルを作成し、個人を特定するために使用できます。従って、ユーザーを識別するために使用されるクッキーは、個人情報に該当し、GDPR の適用対象となります。そのため、他の個人情報と同様に、企業は、事業活動に関連する業務を遂行するために必要な個人情報を処理する場合を除き、トラッキングデータを処理するためにはユーザーから有効な同意を得る必要があります。

有効な同意は必須である

ユーザーのクッキー使用に関する「同意」について、GDPR は、データ処理に必要な有効な同意と、不正なものとみなされる暗黙の同意を区別しています。有効な同意は、「自由に与えられ、特定され、事前に説明を受けた上での、不明瞭ではない」ものでなければなりません。ユーザーは、自分が何に同意しているのかを正確に知る必要があり、企業はクッキーの追跡をオプトインまたはオプトアウトするための明確な選択肢をユーザーに提示する必要があります。

強制や憶測による「暗黙の同意」は、違法です。暗黙の同意の例として、コンテンツにアクセスするため、ユーザーにクッキーの受け入れを強制することがあります。また、クッキーを受け入れることも拒否することもせず、Web サイトを利用するユーザーにクッキーを適用することも暗黙の同意に該当します。そして、フランスのデータ保護当局（CNIL）が主張しているように、事業者は、ユーザーがクッキー使用に同意したという証拠を提供する必要があります。

クッキーの使用許諾を GDPR に準拠させる方法

ユーザーへの明確な選択肢を与える

GDPR に準拠したクッキーバナーを作成する場合、ユーザーが追跡のオプトインまたはオプトアウトの選択肢を明確に持てるようにしておくことが非常に重要です。ユーザーは、明確な肯定的行為（例えば、クッキーバナーの「同意する」をクリックすること）を通じてのみ追跡に有効な同意を与えることができます。そして、Web サイトの機能に絶対に必要なもの以外のすべてのクッキーを拒否することは、それらを受け入れることと同じくらい簡単でなければなりません。最善の方法は、ユーザーが初めて Web サイトにアクセスした際に目立って表示されるクッキーバナーに、「すべて受け入れる」と「すべて拒否する」のボタンを並べておくことです。

クッキーバナーを目立たせる

クッキーバナーは、Web サイト上で明確に区別できるものでなければなりません。つまり、目立つ必要があリます。できれば、明るい色の使用や、ページ中央への絶対配置により、ユーザーが次に進む前に操作を促すようにするのがいいでしょう。

しかし、だからといって、同意バナーを使って Web サイトにゲートを設け、アクセスを「オプトイン」に結びつけることはできません。GDPR は、クッキーの壁、すなわち、ユーザーがクッキーやその他の追跡ツールに同意しない場合、Web ページへのアクセスを拒否することを明示的に禁じています。この規則の数少ない例外をあげるとしたら、サイト運営者がクッキーやトラッキングツールの使用に対する同意を求めなくても、同等のコンテンツやサービスへのアクセスを許可している場合ですが、それも状況に応じて判断されます。

クッキーの使用と目的についてユーザーへ通知する

GDPR において、ユーザーは自分について収集された情報、その処理方法、および誰がそれを収集または処理しているかを知る権利を有します。つまり、事前に説明をした上で同意確認をするためには、オプトインもしくはオプトアウトの選択をする前に、ユーザーがこれらの情報にアクセスできる必要があります。同意バナーは、ユーザーが同意する前に、どのクッキーを使用し、なぜ（分析、広告、機能的、ソーシャルメディアなど）クッキーのポリシーを明確に述べ、クッキーを受け入れるか拒否した場合の結果を通知するようにする必要があります。また、第三者の広告や分析パートナー、クッキーのデータを共有するベンダーなど、クッキーのトラッキングを使用する人物の身元も開示する必要があります。

オプトアウトをデフォルトにする

Web サイトやサービスの運営に必ずしも必要でないクッキーについては、オプトインをデフォルトに設定しないようにしましょう。これは非常に重要です。法律上の規定や複数の勧告、執行措置によれば、トラッキングクッキーは、ページの読み込み時にはオプトアウトしておく必要があり、ユーザーの明示的な同意が得られた場合にのみ使用できます。ユーザーがトラッキングに同意する前に、Web サイトがクッキーを発行した場合、GDPR に明らかに違反していることになります。オプトアウトは、Web サイトの閲覧や機能の利用に必要なクッキーを除いたすべてのクッキーのデフォルト設定である必要があります。自社の Web サイトでどのクッキーがいつ発行されるかを制御できない場合、同意バナーは単なる装飾であり、コンプライアンスの措置ではありません。

同意の撤回を容易にする手段を提供する

GDPR の下では、一旦同意を行ったユーザーが、いつでも何の影響も受けずに同意を取り下げることができなければなりません。このため、ユーザーがWeb サイト上で、設定変更や同意の撤回のためのクッキー設定にアクセスできるようにしておく必要があります。

すべてのユーザーがすべてのクッキーを受け入れるか拒否するとは限りません。例えば、ターゲット広告のためのクッキーは拒否するけれど、Web サイト分析のためのクッキーは受け入れるユーザーがいるかもしれません。

オプトインを繰り返し求めない

ユーザーがオプトアウトを決定した場合、その情報は適切に記録され、実施されなければならず、オプトインを繰り返し要求することはできません。また、Web サイトの運営者は、オプトインを拒否したユーザーが、Web サイトに再訪問するたびに同意バナーを提示することはできません。

同意の証明を提供できるように準備しておく

GDPR では、必要に応じて、企業が同意の証明を提供することができるようにしておくことを義務付けています。つまり、同意の証拠を記録し、ユーザーが有効な同意を提供する際に、十分な情報を与えられ、自主的に選択したことを証明する必要があります。事業者は、いつ、どのように同意を得たのか、誰が同意したのか、具体的に何に同意したのかといった情報を規制当局に提供できるようにしておく必要があります。

同意以外のコンプライアンス：ユーザー設定を尊重する必要性

同意は、GDPR のようなグローバルなプライバシー法にとって重要な要素ですが、コンプライアンスは同意だけではありません。コンプライアンスを維持するためには、ユーザー設定を尊重し、実施する必要があります。つまり、ユーザーがトラッキングを拒否した場合、ファーストパーティ、サードパーティに関わらず、トラッキングクッキーを発行することはできません。また、オプトインする前にトラッキングを行うこともできません。何度も繰り返しになりますが、Web サイトのクッキーがいつ発行されるかを制御できない場合、同意バナーは単なる装飾であり、コンプライアンスの措置ではありません。

この問題に対処するため、ほとんどの商用の同意管理プラットフォームは、ユーザーのプライバシー設定が尊重されることを保証するために、サードパーティの協力を得るべく API を採用しています。しかし残念ながら、このソリューションは真の GDPR コンプライアンスには不十分です。ユーザー設定の実施にサードパーティのツールを利用する以上、リアルタイムでの設定の適用は不可能であり、タイムラインも不透明です。しかし、GDPR の第18条によれば、ユーザーが異議申し立てやオプトアウトを行った場合、マーケティングに関連するすべてのデータ処理は直ちに停止しなければなりません。オプトアウトとトラッキング停止の間に遅延があると、法律違反になってしまいます。

CHEQ で GDPR に準拠した
コンプライアンスを実現しましょう

真にコンプライアンスに対応した同意管理ソリューションは、他のシステムに依存することなく自律的に動作し、ユーザーのプライバシー設定を適用する必要があります。

CHEQ の同意管理ソリューションは、Web サイトや、アプリ、デジタル資産を制御し、ユーザー設定に基づいてページの表示方法を根本的に変更します。そのため、GDPR コンプライアンスを維持するためにサードパーティの分析プラットフォームを利用する必要はありません。

CHEQ を導入すると、カスタマイズ可能なバナーを設定し、ユーザーにデータ収集や使用についての明確な選択肢を提供できます。CHEQ はたった一行のコードを追加するだけで、多様なシステムの Web サイトで利用することができます。Web サイトのモニタリングを通じてどのクッキーがどこで使用されているかを把握し、セキュリティやコンプライアンスの問題が実際に発生してしまう前に特定しましょう。CHEQ の同意管理ソリューションについてのお問い合わせはこちら。

元の記事：GDPR Cookie Compliance 101: How to Manage EU Users’ Consent