01 情報セキュリティ, 個人情報保護法, 外国法

前回第68回から, 各種のインターネットを用いた技術にGDPRおよびePrivacy指令がどのように適用されるかについて解説しています。今回は, Cookie バナーを含めCookieと, IPアドレスについて解説します。なお, Cookieについては第7回, 第8回等でも解説しています。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: CookieにePrivacy指令・GDPRが適用される場合は?

Q2: Cookie利用の法的根拠は?

Q3: Cookie利用についてユーザから得るべき同意は?

Q4: Cookieバナーの実例は?

Q5: IPアドレスとは?

Q6: IPアドレスは個人データ?

Q1: CookieにePrivacy指令・GDPRが適用される場合は?

A: 以下の通りです。

(1) ePrivacy指令の規定内容

先ず, ePrivacy指令5条3項の要旨を以下に記します。

・電子通信サービスの契約者(個人・法人)またはユーザ(実際にサービスを利用している個人：個人の契約者, 契約者の家族・従業員等)[以下総称して「ユーザ」]の端末機器への情報の保存または当該情報へのアクセスは, ユーザがデータ保護指令 [現時点ではGDPR]に従い明確かつ十分な(clear and comprehensive)情報(特に当該情報の処理の目的)が提供された上で同意した場合にのみ許される(5(3)第一文)。

・上記にかかわらず, 次のいずれかの技術的保存またはアクセスについては上記の情報提供・同意は不要(5(3)第二文)。

(i) 電子通信ネットワーク上での通信の伝達(the transmission of a communication)を実行することのみを目的とする保存またはアクセス

(ii) 情報社会サービスの提供者が, ユーザが明示的(explicitly)に要求した当該サービス[オンラインサービス]を提供するために厳密に必要な(strictly necessary)保存またはアクセス

(2) Cookieに対するePrivacy指令(5条3項)適用

Cookieは, 正に上記の「端末機器への情報の保存または当該情報へのアクセス」を行うものですから, 事業者がCookieを利用する場合, ePrivacy指令が適用され, 上記(i)と(ii)のサイト等の通信機能上またはオンラインサービス提供上必須のCookieを除き, 事前にユーザに必要な情報を提供しその同意を得なければなりません。

(3) Cookie利用に対するGDPR適用

WP29のOBA意見書^[1](p9)によれば, Cookieにより蓄積されたユーザのオンライン上の行動履歴データは,次の(i)の場合は勿論, (ii)の場合も, 個人データに該当します。

(i) この行動履歴データを, ユーザを直接特定可能な(identifiable)情報 [例：ユーザのサイトやアプリのアカウント情報] と結び付けることができる場合

(ii) この行動履歴データの蓄積により特定の個人が「be 'singled out'」　[他者から区別して選別] できるようになった場合

従って, ユーザのオンライン上の行動履歴データ等を収集・蓄積するCookieは, ほぼ個人データに該当し, その結果, その利用にはGDPRも適用されます。

page top

Q2: Cookie利用の法的根拠は?

A: GDPRだけを考えれば, Cookieを利用した個人データの処理の適法性の根拠として管理者の正当利益(6(1)(f))に依拠することはあり得ます。しかし, ePrivacy指令上, 必須Cookieを除き, Cookieの利用にはユーザの同意が必要ですから, 実務上は, Cookieを利用した「個人データ」の処理についても同意を法的根拠とせざるを得ないものと思われます。

page top

Q3: Cookie利用についてユーザから得るべき同意は?

A: GDPR上の要件を満たす, ユーザに十分な情報を提供した上での明確な同意です。

【解　説】

(1) ePrivacy/GDPR上の同意の条件

GDPRはデータ保護指令を廃止する規則ですが(94(1)), GDPR第94条第2項には, [EUまたは加盟国の法令等における]「廃止される指令[すなわちデータ保護指令]への言及はGDPRへの言及と解釈されなければならない」と規定されています(EU司法裁判所(CJEU) 2019年10月1日の先決裁定(以下「Cookie先決裁定」)39, WP29同意ガイドラインPPC訳p6,7も参照)。

従って, ePrivacy指令第5条第3項で要求されている同意とは, GDPRに定める, 次の要件を満たす同意でなければなりません[2]。

(a) 同意は, 言葉による(by a statement)または明確な積極的行動による(by a clear affirmative action), 自由意思による(freely given), 目的ごとの(specific), 必要な情報を与えられた上での(informed), 曖昧さのない(unambiguous)同意でなければならない(4(11))。

(b) 同意を処理の根拠とする場合, その同意取得を証明できなければならない(GDPR 7(1))。

(c) 同意を, 書面で, 他の事項の表示(declaration)とともに要請する場合, 同意の要請は他の事項とは明確に区別して, かつ, 分かり易く, 明確かつ平易な言葉で行わなければなりません。これに反した場合その同意は無効となる(GDPR 7(2))。

(d) データ主体は同意をいつでも撤回する(withdraw)ことができる(但し撤回前の処理は適法)。この撤回の権利は同意取得時にデータ主体に伝えなければなりません。撤回は同意と同様容易でなければならない(GDPR 7(3))。

(2) 同意取得の実務的条件

従って, Cookie先決裁定文や英国監督機関ICOのガイドライン等を踏まえると, 実務上, (a) 自社サイトから発行されるCookie(ファーストパーティーCookie)だけでなく, (b) 自社サイトに表示される他社の広告, Facebookの「いいね!」ボタンのようなSocial Plugin, その他第三者から発行されるCookie(サードパーティCookie)を含め, 全ての Cookie(但し必須Cookieを除く)に関し, それらが機能する前に, 次のような事項を行わなければなりません。

(a) ユーザがサイトを訪問した際, 最初にいわゆるCookieバナー等により最低限, Cookie利用の事実・概略を表示。

(b) 更にこのCookieバナーでクリックすることにより次の情報を, ユーザが知ることができるようにしなければなりません。

　(i) Cookieの種類・機能/Cookieを利用して取得・処理する個人データ(例：行動履歴)/Cookieの種類・機能ごとの利用目的(例：サイト利用状況の解析, 広告, プロファイリング等の具体的内容)/サードパーティCookieについてはそのサードパーティ(会社名またはその他特定可能な情報)/Cookie作動期間[3]。

　(ii) Cookie拒否/無効化(同意拒否/同意撤回)方法

(c) 同意は, Cookieの目的ごとに, 例えば, ユーザ自身による同意ボタンのクリックまたはチェックボックスへのチェックにより取得しなければなりません。但し, 全てのCookieに一括して同意する旨のボタンも, 個々の(または一定のグループの)目的ごとの同意ボタンも利用できるのであれば, 有効[実務的にはこちらの方法が多い]。

(d) サードパーティCookieについては, そのサードパーティのCookie/Privacy Policy等(上記(b)の情報を含むこと)へのリンクでも可。[実務的にはこうせざるを得ないことが多い]

(e) 実務的には, 第三者が提供しているCookie同意管理ツールを利用することが多い。^[4]

(f) 以下のものは全て認められません。

- サイトの閲覧・利用を継続しただけで同意とみなす, いわゆる「黙示の同意」(implied consent) (しばしばopt-out consentとも呼ばれる)/予めチェックがついている「同意」ボックス(pre-ticked boxes)[5]/Cookie Wall[6]/ユーザが最初にアクセスしたページで自動的に発行される非必須Cookie/サイトの利用規約中での情報提供

page top

Q4: Cookieバナーの実例は?

A: 以下に英国監督機関ICOのサイト上で表示されるCookieバナーの例を示します。従って, 一般の企業に比べ, 利用するCookieは必要最小限です。

(1) ICOのWebサイトの全てのページの左下隅に, 「C」を星で囲ったマークのアイコンがあり, それをクリックすると, ページ左端からスライドして以下の内容(訳は筆者)が表示されます。

ICOによるCookieの利用

ICO(we)は, ICOのサイトを機能させるため, 必須Cookie (necessary cookies)を利用します。ICOは, また, ICOのサイトを改善するため, 解析用Cookie (analytics cookies)を設定しサイト訪問者(you)のサイト利用状況の測定をすることを希望します。このCookieは, サイト訪問者が承認した場合だけ設定されます。ICOが利用するCookieの詳細については「Cookieページ」(＊)をご覧ください。

[全てのCookieを許可] 　　　　　　 [全てのCookieを拒否]

_______________________________________________

必要なCookie

必要なCookie (necessary cookies)は, セキュリティ, ネットワーク管理, アクセシビリティ等の[サイトの]中核(core)機能を有効にします。サイト訪問者はブラウザ設定変更により必須Cookieを無効化できますが, その場合にはウェブサイトの機能に影響が生じる可能性があります。

解析Cookie(Analytics cookies) [on/offボタン]

ICOは, サイト改善のため, Google Analytics cookieを設定し, サイト訪問者の利用状況に関する情報を収集・レポートすることを希望します。このCookieは, 個人を直接的には特定することなく情報を収集します。このCookieの詳細については「Cookieページ」をご覧ください。

_______________________________________________

[設定を保存して閉じる]

(2) 上記の(＊)またはICOのサイトのページ下部の「Cookies」をクリックすると以下の内容のページが表示されます。

Cookies

ICOによるCookieの利用

Cookieは, ユーザが訪問するウェブサイトによってユーザのコンピュータに保存される小さなテキストファイルです。

Cookieは, ウェブサイトを機能させもしくはより効率的に機能させるため, また, サイト運営者に情報を提供するため, 広く利用されています。

以下の表は, ICOが利用するCookieと利用する理由[目的]を説明したものです。

Cookie

Name

Purpose

Cookieの設定(Cookie preference)

Cookie　Control

(Cookieの管理)

このCookieは, ico.org.uk[サイト]のCookieに関しユーザが行った設定の内容を保存するために使用されます。ユーザが以前にこの設定(preference)をしていた場合, そのユーザ設定はこのCookieに保存されています。

言語設定(Language selection)

language

このCookieは, ユーザが言語選択で設定したico.org.ukでの言語設定を保存し, ユーザがサイトに戻ったときにユーザが選択した言語でサイトを表示するために使用されます。

ユニバーサルアナリティクス(Google)

_ga

_gali

_gat

_gid

このCookieは, 訪問者によるICOウェブサイト利用状況についての情報を収集するために使用されます。ICOは, この情報を, [利用状況の]レポート作成とウェブサイト改善に利用します。このCookieは, 直接的には個人を特定することなく, ICOのサイトとブログの訪問者数, 訪問者がどこ[他のどのサイト]からICOサイトを訪れたのか, 訪問したICOサイトのページはどれか等の情報を収集します

詳しくはGoogleのプライバシーとデータ保護概要をご覧ください。

You Tube cookie

PREF*

VSC*

VISITOR_INFO1_LIVE*

remote_sid*

ICOは, YouTubeのプライバシー強化モードを利用しICOの公式YouTubeチャンネルのビデオを[サイト上に]埋め込んで表示します。このモードでは, YouTubeビデオプレーヤーをクリックすると, ユーザのコンピュータにCookieが設定される場合がありますが, YouTubeは, プライバシー強化モードを利用して埋め込まれたビデオの再生の際, 個人を特定するCookie情報を保存することはありません。

詳しくは, YouTubeのビデオ埋め込みに関する情報ページをご覧ください。

PREF - * 8ヶ月後に無効になります。

VSC - * セッション終了時に無効になります。

VISITOR_INFO1_LIVE - * 8ヶ月後に無効になります。

remote_sid - * セッション終了時に無効になります。

Vimeo cookies

player

vuid

ICOは, Vimeoの公式チャンネルのビデオを埋め込んで表示します。ユーザが再生ボタンを押すと, Vimeoは, ビデオ再生, および, 視聴者によるビデオ視聴時間等の解析データ収集の目的で, サードパーティCookieを設定します。このCookieは, 個人を追跡することはありません。

Cookie設定変更方法は?

ユーザは, いつでも「C」アイコンをクリックしてCookie設定を変更できます。

クリック後に, スライダーを「オン」または「オフ」に調整して「保存して閉じる」をクリックすれば変更できます。

なお, 変更した設定を有効にするためページ更新が必要な場合があります。

上の方法の他, ほとんどのウェブブラウザでは, ブラウザ設定で, ほとんどのCookieをある程度管理できます。どのようなCookieが設定されているかの確認方法等, Cookieについての詳細は, www.aboutcookies.orgまたはwww.allaboutcookies.orgをご覧ください。

一般的なブラウザでCookieを管理する方法については以下をご覧ください。

Google Chrome

Microsoft Edge

Mozilla Firefox

Microsoft Internet Explorer

Opera Apple Safari

上記以外のブラウザに関する情報は, 各ブラウザの開発者のウェブサイトをご覧ください。

全てのウェブサイトにおいてGoogle Analyticsによるトラッキングを無効に方法については, http://tools.google.com/dlpage/gaoptoutをご覧ください。

page top

Q5: IPアドレスとは?

A5：“Internet Protocol Address”の頭文字を取った略語で, インターネット上に接続された機器に割り当てられる固有の識別番号のことです。

【解　説】

【IPアドレスの機能】 インターネットでは, Internet protocol (IP)という技術上のルール(通信規約：protocol)によりデータの通信が行われています。このIPにおいては, ネットワークに接続された個々の機器(コンピューター, プリンター等)に, 固有の識別番号であるIPアドレス(Internet protocol address: IP address)(例：「182.50.196.47」)を割り当て, これを宛先や送信元に指定した上で通信が行われます。

【IPアドレスの割り当て】 IPアドレスは, 次のように割り当てられます。

(a) ICANN(Internet Corporation for Assigned Names and Numbers)を頂点とする非営利団体(日本の場合は一般社団法人日本ネットワークインフォメーションセンター：JIPNIC)からインターネット・サービス・プロバイダ(Internet Service Provider：ISP)(インターネット接続事業者)に対しまとまった単位で割り当てられます。

(b) IPアドレスは, 通常, このISPから更にそのISPと契約した個人または企業に割り当てられます。

【「プライベートIPアドレス」と「グルーバルIPアドレス」】

(a) 「プライベートIPアドレス」：個人宅内または社内LAN等のプライベートネットワーク内の複数の機器を識別するためのIPアドレス

(b) 「グルーバルIPアドレス」：上記(a)以外のIPアドレス。

【「固定(静的)IPアドレス」と「動的IPアドレス」】

(a) 固定(静的)IPアドレス(static IP address)：一度割り当てられた後変わらないタイプのIPアドレス。Webサイト等の開設・運営等に必要。

(b) 動的IPアドレス(dynamic IP address)：パソコンを起動するごと等で変わるタイプのアドレス。自動的に割り振られISP側で管理が不要なため一般的にプロバイダー費用が低く抑えられる。

page top

Q6: IPアドレスは個人データ?

A6：以下の通り, 個人データに該当する場合と該当しない場合があります。

(1) IPアドレスの個人データ該当性

IPアドレスを含む「オンラインID」(online identifier)との関連付け・組合せにより, 直接的または間接的に個人を識別・特定することができる情報は個人データに該当する該当します(GDPR 4(1), GDPR前文30[7])。また, Cookieによりユーザのパソコン等のIPアドレスが取得されると, ユーザの行動が追跡(tacking)可能となます。

従って, これにより蓄積されたユーザのオンライン上の行動履歴データは, 次の(i)の場合は勿論, (ii)の場合も, 個人データに該当します。

(i) この行動履歴データを, ユーザを直接特定可能な(identifiable)情報 [例：ユーザのサイトやアプリのアカウント情報] と結び付けることができる場合。

(ii) この行動履歴データの蓄積により特定の個人が「be 'singled out'」　[他者から区別して選別] できるようになった場合。

しかし, 上記の場合を除けば, 一般的には, サイト訪問者のIPアドレス単独では個人を特定することはできません。

なお, IPアドレスから"WHOIS"(IPアドレスやドメイン名の利用者の登録情報検索サービス)等によりIPアドレスの割り当て先企業・組織の名称等が分かる場合もあります。しかし, それ以外の個人の氏名・住所・電話番号・メールアドレス等を知ることはできません。

但し, ISPがその顧客に対し発行した固定IPアドレスおよび動的IPアドレスは, いずれも, ISP自身にとってはそのIPアドレスを特定の顧客にリンクさせることは可能ですから個人データに該当します(Scarlet Extended事件CJEU先決裁定)。

また, 以下の先決裁定から分かる通り, 固定IPアドレスまたは動的IPアドレスのいずれであるかを問わず, 管理者がISPに対し, そのIPアドレスの帰属先である個人を特定できる情報の開示を請求する法的権利を有するのであれば, その管理者にとり, 当該IPアドレスは個人データに該当します。

【動的IPアドレスに関する2016年CJEU先決裁定】 (Patrick Breyer v. Germany [2016] Case C-582/14, 12 May 2016)^[8]

(争　点)ある者(ドイツ連邦政府)が有するデータ(連邦政府のサイトにユーザがアクセスした際に割り当てられる動的IPアドレス)は, それ単独では個人を特定できないが, 第三者(ISP)が有する他の情報と組合わせれば個人(ユーザ)を特定できる場合, 個人データに該当するか。

(CJEUの判断)該当する。ドイツ連邦政府は, その有するIPアドレス単独では個人を特定できないが, そのサイトにサイバー攻撃等を受けた場合, ISPが有する他の情報を入手する権限があるから, 当該IPアドレスは連邦政府にとり「個人データ」に該当する。

page top

今回はここまでです。

^[9]

【注】

^[1] 【WP29 OBA意見書】　Article 29 Working Party Opinion on online behavioural advertising (00909/10/EN: WP 171).

[2] Cookie先決裁定文65参照

[3] 【Cookie作動期間】　Cookie先決裁定文79～81参照。

^[4] 【Cookie同意管理ツール】　 (参考) OneTrust “Cookie Consent"

[5] 【予めチェックがついている「同意」ボックス(pre-ticked boxes)】　Cookie先決裁定文52参照。

[6] 【Cookie Wall】　Cookie先決裁定文79～81参照。

[7] 【GDPR前文30(第一文)】「個人は, IPアドレス(internet protocol addresses), Cookie　ID (cookie identifiers), RFIDタグ(radio frequency identification tags)等, 個人のデバイス, アプリケーション, ツール, プロトコル等のオンライン識別子(online identifiers)と関連付け(associated with)される可能性がある。」

^[8] 【動的IPアドレスに関するCJEU先決裁定】　(参考)White & Case LLP - Martin Munz, Tim Hickman and Matthias Goetz "Court confirms that IP addresses are personal data in some cases" October 31 2016.

[9]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を米系(コンピュータ関連)・日本(データ関連)・仏系(ブランド関連)の三社で歴任。元弁理士(現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP (International Association of Privacy Professionals) 会員, CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録