14 海外法務, コンプライアンス, 情報セキュリティ, 外国法

今回も前回に引き続き、ePrivacy指令によるCookie規制について解説します。^[1]

Q1：前回のQ&AでePrivacy指令によってCookieの利用が規制されているとのことでした。それは、企業にとり具体的にはどのようなことを意味しますか？

A1: 企業が、そのWebサイト等でCookieを利用する場合、サイト訪問者（「ユーザ」）に対し、事前にCookieの利用目的等を説明した上明確な同意を得なければなりません。より具体的には、ユーザに、いわゆる「Cookie Notice」を表示した上、Cookieを有効化（「ON」にする、「Accept」ボタンを押す等）してもらわなければなりません。

【解　説】

前回(A2)解説した通り、ePrivacy指令(5(3))により、Cookie、スマートフォンのアプリ[2]等（以下「Cookie」と総称）による、ユーザ端末（例：パソコン、スマートフォン、スマートスピーカー）に対する情報の保存または当該情報へのアクセスは、ユーザが明確かつ十分な情報（特に当該情報の処理目的）が提供された上で同意した場合にのみ許されます。但し、それがネット上の通信またはサービス提供に必須のもの（以下「必須Cookie」と総称）の場合は除かれます。

そして、このユーザから得るべき「同意」は、GDPR施行（2018年5月）以降、GDPRに定める要件を満たす同意を意味するようになりました。具体的には、GDPR (4(11), 7) に定める、必要な情報を与えられた上での、明確な積極的行動による、自由意思による、特定・具体的な（目的ごとの）、曖昧さのない等の要件を満たす同意でなければなりません。

このような同意を得るには、実務上、必要な情報（「Cookie Notice」）を表示した上ユーザにCookieを有効化してもらわなければなりません。

Q2：「Cookie Notice」＋ユーザによるCookie有効化の実例を教えて下さい。

A2: 英国データ保護監督機関ICOのサイトでの実例をご覧ください。

【解　説】

以下に上記ICOサイトでのCookieに関する説明と同意取得方式とを要約しました([ ]内は筆者による注・補足等。以下同じ)。

[ICOのWebサイトの全てのページの左下隅に、「C」を星で囲ったマークのアイコンがあり、それをクリックすると、ページ左端からスライドして以下の要旨の記載が表示されます。]

ICOによるCookieの利用

このICOサイトではサイトを機能させるために必須Cookie （necessary cookies）を利用しています。また、サイト訪問者（「ユーザ」）が下の「ON」・「OFF」の切り替えボタンで「ON」を選択すると、このサイト改善のための分析用Cookie（analytics cookies）[非必須Cookie]が有効となります。

詳細は「Cookieページ」ご参照（＊）

必須Cookie

必須Cookieは、セキュリティー、ネットワーク管理、アクセシビリティー等の機能を有効にします。ユーザはブラウザの設定の変更によりこれを無効にすることができますが、それによりこのICOサイトの機能が影響を受ける可能性があります。

分析用Cookie 　　　　　「ON」　「OFF」（切り替えボタン）

このICOサイトでは、ユーザの選択によりGoogle Analytics Cookieが設定されます。このCookieは、匿名形式で情報を収集します。詳細は「Cookiesページ」ご参照。

[上記の（＊）またはICOのサイトのページ下部の「Cookies」をクリックすると以下の要旨の記載が表示されます。]

ICOによるCookieの利用

Cookieは、ユーザが訪問したWebサイトによってユーザのコンピュータに配置される小さなテキストファイルです。Cookieは、Webサイトをより効率的に機能させまたはサイトの運営者に情報を提供する等のため広く利用されています。

このICOサイトで利用されるCookieとその利用目的

次の通り[具体的名称は一部省略]。

(i)　Cookie Control

（利用目的・機能）　ユーザのCookieに関する選択を記録します。

(ii)　Universal Analytics (Google)

（利用目的・機能）　ユーザのサイト利用状況（訪問者数、訪問者が他のどのWebサイトから本ICOサイトにアクセスしたか、サイト上で閲覧されたページ等）を匿名形式で収集します。

参照：Googleのプライバシーおよび個人データ保護の概要

(iii)　Web Application Firewall Cookie

（利用目的・機能）このCookieは、Dyn社のWeb Application Firewallにより設定され、Webサイトのセキュリティーおよびパフォーマンスの維持に役立ちます。このICOサイトに不正な通信があった場合その受信をブロックします。

(iv)　セキュリティー侵害通知フォームCookie

電子通信サービス提供者がICOにセキュリティー侵害を通知するために利用する、[入力用電子]フォームを機能させるために不可欠なCookieです。

(v)　YouTube Cookie

（利用目的・機能）このICOサイトでは、YouTubeのプライバシー強化モードを利用しICOのYouTubeのICO公式チャンネルの動画を表示します。この強化モードでは、サイト訪問者がYouTubeビデオをクリックしてもYouTube側で個人を特定できるCookie情報が保存されることはありません。

詳細：YouTube’s embedding videos information page

(vi)　BrowseAloud cookies

（利用目的・機能）ユーザがこのICOサイトのコンテンツ読み上げ機能を利用できるようユーザの選択・設定を保存します。

Cookieの設定変更

ページの左下隅の「C」アイコンをクリックしいつでも変更可能です。

また、ほとんどのWebブラウザでは、ブラウザ設定によりほとんどのCookieを一定範囲でコントロール可能です。

Q3：以前、当社EU子会社のサイトを含め、EUの企業のWebサイトは、ほとんど、Cookieの利用に関しWebページ下部等に表示（Cookie Notice）はするものの、サイト訪問者がサイトの閲覧・利用を継続すれば有効な同意が得られたものとする方式で良かったと思います。これが、変わったのですか？

A3: はい、GDPR施行後は、この、いわゆる「黙示の同意」方式は無効となりました。代わりに、ユーザの積極的なCookie有効化（「ON」にする、「Accept」ボタンを押す等）による明示の同意が必要となりました。

【解　説】

① Cookie同意に関する従来の実務慣行

Cookieに対するユーザの「同意」については、2019年7月に後述の英仏のガイドラインが公表されるまで、ほとんどの企業が、Cookieの利用に関しWebページ下部等にいわゆる「Cookie Notice」を表示するものの、サイト訪問者がサイトの閲覧・利用を継続すれば有効な同意が得られたものとする、いわゆる「黙示の同意」（implied consent）（しばしばopt-out consentとも呼ばれる）方式をとってきました。これは、実務の世界では、「データ保護指令」に関するかつてのICOの見解等で黙示の同意が許容されていると解釈していたことによると思われます。

黙示の同意方式がGDPR施行後も続いてきた理由は定かではありません。推測としては、GDPR施行当初は企業も監督機関もGDPR対応で手一杯だったこと、ePrivacy「指令」を強化するものとして当初GDPRと同時施行が計画されていたものの未だ審議中のePrivacy「規則」案の行方に注意をそらされていたこと等が原因ではないかと思われます。

② 英国国内法改正と英仏ガイドライン公表

ePrivacy指令に基づく英国国内法である"The Privacy and Electronic Communications (EC Directive) Regulations 2003”の改正法（2019年3月29日施行）（以下「PECR」という）では上記の同意がGDPR上の同意を意味することが明記されました（2条に「consent」の定義追加）。

また、2019年7月、英国のデータ保護監督機関であるICOおよびフランスの監督機関CNILは、ともにガイドラインを公表し、ePrivacy指令に基づくそれぞれの国内法上、事業者等がCookie等の利用に関しユーザから得るべき同意はGDPRに定める要件(4(11), 7)を具備しなければならないことを明示しました。以下、それぞれを「ICO Cookieガイド」、「CNIL Cookieガイド」といいます。

Q4：英国ICOや仏CNILのCookieに関するガイドラインはどのようなものでしたか？

A4: 以下に概要を説明します。

①　ICO Cookieガイドの要旨

ICO Cookieガイドでは「必須(essential）Cookie」（同意不要）と、それ以外のCookieを「非必須(non-essential）Cookie」（同意要）と呼んで、それぞれの具体例を示しています。ガイドの要旨は以下の通りです。

(a) 非必須Cookieについては、ユーザから、同意の意思を明確かつ積極的な行為で得なければならない。単にサイトの閲覧・利用を継続しただけでは有効な同意とはならない。[すなわち、黙示の同意は否定される。]

(b) ユーザが同意する前に、Cookieの種類・機能・利用目的等に関し明確な情報提供をしなければならない。

[(*) ユーザが訪問したサイトとは異なるサーバから発行されるCookieで、ターゲティング広告等に利用される。]

(d) 非必須Cookieについて、予めチェックがついている「同意」ボックスまたはこれと同様のものを利用してはならない。

(e) 非必須Cookieについて、ユーザに同意または拒否の選択肢を与え、かつ、拒否されてもサイトの閲覧・利用を可能にしなければならない。

(f) ユーザが最初にアクセスしたページ（landing page）に非必須Cookieを設定してはならない。

(g) 家庭や企業等、ネットワーク契約者と実際のユーザ（契約者の家族、企業の従業員）が異なる場合は、契約者の同意・意向が優先する。

(h) 同意の撤回[GDPR 7(3)]が同意と同様容易に行えるよう同意撤回の仕組みをユーザに提供しなければならない。この同意撤回方法は同意取得の際に通知しなければならない。

(i) 新たにサードパーティーCookieを設定する場合や、Cookieの利用目的を変更する場合は、改めて事前に、ユーザに情報提供した上で同意を得なければならない。

②　CNIL Cookieガイドの要旨　

(a) Cookie Wall(*)による同意は自由意思性を欠くから有効な同意とならない。

[(*) Cookieの設定に同意しない限りサイトの閲覧・利用等ができないようにすることまたはその仕組み]

(b) Cookieの目的ごとに同意を得なければならないから、「Accept all」ボタンは個々の目的ごとにも同意できる場合に限り有効。

(d) 同意はユーザの積極的行為による明示的なものでなければならない。従って、単なるサイト閲覧・アプリ利用継続、スクロール、事前チェックされたボックス等では有効な同意と言えない。

(e) 同意を取得したことを証明できなければならない[GDPR7(1)]。他の者に対して自己に代わり同意を取得するよう契約上要求しただけではこの証明責任を果たしたことにならない。

(f) サードパーティーCookieのサードパーティーは、情報提供・同意取得についてファーストパーティーとは別個独立の責任を負う。

(g) Cookieの利用に関してGDPR第26条の共同管理者の関係がある者の間では同意の取得・証明等に関し、相互に同条の共同管理の「取決め」(arrangement)をしなければならない。

(h) Cookieの利用に関しGDPR第28条の管理者と処理者（処理委託先）の関係にある者は同条の処理委託契約を締結しなければならない。

(i) 現在のブラウザでのプライバシー設定の調整ではCookieについての同意取得要件（Cookieの目的ごとの同意等）を満たさない。従って、ブラウザの設定で有効な同意を得ることはできない。

Q5:　Cookieに関し、企業としてはどう対応したらいいですか？

A5: 仮にまだ「Cookie Notice」＋ユーザによるCookie有効化の対応をしていない場合、早急に対応する必要があります。

【解　説】

EUの企業の公式サイトを見ると、IOCとCNILのCookieガイド公表の前は黙示の同意方式がほとんどでしたが、公表後は、多くの有名企業のサイトが両ガイドを意識したCookie Notice + 明示の同意方式に次々に変更しています。

ICO、CNILおよびドイツの監督機関は2020年にはCookie規制に関する取締を強化する方針を明らかにしています。

従って、まだ対応していない企業は早急な対応が必要です。

また、ePrivacy指令5条3項はCookieに限らずCookieと同様のテクノロジー[3]全てに適用されますから、これらについても早急な対応が必要です。

「GDPR関連資格をとろう！Q&Aで学ぶGDPRとCookie規制」第8回はここまでです。次回からは、「個人データ」等、GDPR上の基本概念を解説していきます。

著者GDPR・Cookie規制関連本

^[4]

【注】

^[1] 【本稿の参考資料】　(1) 浅井敏雄　「GDPR関連資格CIPP/E準拠詳説GDPR (上) - GDPRとCookie規制」　I-C-3, (2)「GDPR関連資格CIPP/E準拠詳説GDPR (下) - GDPRとCookie規制」　III-D-3　(3) 「EUにおけるCookie規制(ePrivacy指令)」『国際商事法務』 2020年2月号(Vol. 48, No.2) p 222-225

[2] 【Cookieと同様のテクノロジーの例】

（広告ID）デスクトップパソコン等では、Cookieを利用し、ユーザの同一のブラウザ上での全行動度履歴の収集が可能であったが、モバイル機器のアプリで用いられるCookieはそのアプリでしか利用できないから、ユーザのオンライン上の全行動度履歴に基づくターゲティング広告は困難となった。

そこで、これに対応する手段として、iOS 端末（iPhone, iPad等）については「IDFA」、Android OS端末（Androidスマートフォン、タブレットPC等）については「AAID」という各端末固有のID（以下「広告ID」という）がそれぞれのOSにより自動的に付与されるようになった。

これらの広告IDによりアプリがダウンロードされた際に各端末からアプリ運営者のサーバに自動的に送信され、各端末におけるユーザ行動をトラッキングすることが可能となる。

これらの広告IDもユーザの端末機器へのアクセスにより取得されることなるから、ePrivacy指令上、ユーザに当該情報の処理目的その他について情報が提供された上でユーザが同意した場合にのみ許される(5(3))。

（スマホアプリ）　同様に、アプリがユーザの機器に保存されている連絡先情報、写真またはその他のメディアにアクセスする場合も、ePrivacy指令上、ユーザの事前の同意が必要となる(5(3))。

[3]【Cookieと同様のテクノロジー】　上記注2参照。

[4]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害等について当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

（＊）このシリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com（「AT」の部分をアットマークに置き換えてください。）

【筆者プロフィール】

浅井敏雄（あさいとしお）

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。日本企業・外資系企業、計3社で法務・知的財産部門の責任者を歴任。1998年弁理士試験合格(現在は非登録)。2003年Temple University Law School （東京校） Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録