ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

論点を絞ろう、そして霞が関

雑記

最近、仕事をしている中で思ったこと。

 

1.ある会議での出来事

先週、ある会議で私は発言をしました。

すると、座長の先生が「〇に対する意見がわからなかったので、かみくだいて説明してください」とおっしゃいました。

座長の先生のおかげで、はっと気づきました。私は一つの発言の中に10個ぐらい論点を提示して、それへの自分なりの考え方を述べて、さらに枝葉末節までちょこちょこ織り交ぜて発言しているということにです。文章を書く時ですら長くなりがちですが、文章ならまだ推敲できますから、流れを整理できますが、口頭だと、もうばーっとしゃべりまくってしまいますね。これはよくありません。

この会議の議題はかなり複雑で、事案を理解するのが大変でした。で、ばーっと資料を読んで事案を理解して、自分なりに問題点を見つけて、自分なりの考え方を見つけて、で、それを頭の中だけでやっていて、そのまま発言するので、発言内容が整理されていないわけです。これ、ペーパーに落とすだけで、かなりわかりやすく整理できると思いますが、まあペーパーに落とさず、それを頭の中だけでやると、思考パターンがあまりきれいに提示できず、口頭でしゃべりまくると、さらに人に理解してもらえないということになっているわけです。

振り返ってみると、最近の私の会議での発言は、結構こういう傾向が強いように思うのです。「会議で一人でしゃべりまくるわけにはいかない」という意識があるため、一回の挙手で思ったことを全部話してしまおうとするので、一回の発言がこのように非常に論点多数で複雑になってしまうわけですね。気を付けなければいけないなと思いました。

まず、論点やテーマを切って、それぞれ話す。枝葉末節はあえて触れない。これを徹底すべきだと思いました。

座長の先生が端的にご指摘くださったおかげです。ありがとうございました。

 

2.ある方との電話で思った霞が関の技術と現状

昨日、久しぶりにある方とお電話しました。お仕事のお話でしたが、非常に楽しかったです。というのも、知識量が非常に豊富な方で、考察が非常に深い。私も別の仕事で少し関わっていることが、その方のお仕事にもかなり影響しているようで、お話ししながら、このテーマを取り巻く現状がふぁーっと拓けたというか理解できたというか、こういうことなのかという腹落ちがあった気がします。

で、思ったのです。

 

膨大な資料、複雑な現状を理解した上で、その現状に対する問題点をさっと素早く掴む。

ーこれこそが、霞が関の技というか、伝統芸能というか、霞が関の優秀な役人の方のスキルなんだなと。

 

大量の資料を速読して、現状をさっと理解し、問題点を素早くつかむ。これが、霞が関伝統芸能だと思うのです。

 

現実はすごく複雑です。マイナンバーでいえば、個人番号利用事務が多岐に渡った上、番号法も複雑でシステムも複雑です。現実の問題に対する論点・解釈を考える上で、まずは、問題となっている現実を正確に理解する必要があります。

マイナンバーでいえば、個人番号利用事務のそれぞれの事務がかなり複雑。税・年金・医療保険といった王道の利用事務でいっても、それをすべて理解している人はほぼいないし、番号法を理解している人が必ずしもこれらの事務を理解しているわけではないということ。そのためには、これらの事務を理解している人が、制度・事務を簡潔にまとめて説明すると良い。で、制度・事務がわかっていても、さらに壁があって、事務処理のためのシステムが複雑に構築されています。そのシステムの簡単な仕組みを理解しないといけない。ベンダーさんに聞くと、細かい説明が出てきて、大まかな流れがよくわからないといった事態にもなりがち。きちんとヒアリングして、システムの仕組みを自分としてちゃんと理解する必要がある。

そして、事務とシステムを理解した上で、番号法上の論点を理解しないといけない。しかし事務とシステムを理解すれば、おのずと法感覚があれば、「これは大丈夫なのかな?こんなに紐づけられていいのかな?」とかって感じるはずです。で、番号法を眺めるか、私か番号法担当者に聞いてもらえれば、番号法の構成がわかって、現実に対する番号法のあてはめができる。

そして、そこからさらに壁があることがある。法解釈としてはAが自然だけど、現実的に抵抗勢力がいてA解釈をとれない、などの事態です。しかし、意外と私、そういう場合への対処が上手。こういうのは、法の本質を見失わないようにすれば、意外と対応が簡単な場合がある。変に妥協すると法と違ってきてぐだぐだになりますが、妥協するところは妥協してもいいけど、本質は絶対に譲らない。そうするとぐだぐだにならず、さまざまな場合に対応できる芯の通った解釈ができると思っています。

話が長くなりましたが、マイナンバーの問題を検討するだけでも、上記のような検討過程を経る必要がある。制度・事務、システム、法律、現実の抵抗など、それらをすべて踏まえた上で適切な方向・解釈を示していく必要がある。

 

これはマイナンバーだけではないはずです。さまざまな領域の問題で、こういうことを総合的に考えていく必要がある。その総合調整がまさに霞が関の技術だと思います。

係長・補佐級だったら、基本的には自分で全部やりましょう。制度・事務、システム、法律、現実の抵抗、これを調べたりヒアリングして、検討していく。

その上の課長級以上であれば、係長・補佐が作った資料を読んで、制度・事務、システム、法律、現実の抵抗、これをさっと掴む。

 

これが、たぶん従来の霞が関の技術だったはず。それが、最近はおざなりになっているのではないか、とも思うのです。

むずかしいことはわからないし調べたくないからほおっておく、これではダメでしょう。こういう人も昔から一定数いたでしょうけど、そういった人が大手を振って霞が関を歩いているようでは、質の低下が著しくなってしまいますので、こういう人にはすみっこに退場してもらうべきでしょう。

で、さすがにこういうダメな人はそこまで多くはなくて、それよりも見られるのが、制度・事務の担当課なのに、制度・事務をちゃんと相手に伝えずに、相手方の専門領域のことを偉そうにしゃべりだす人。例えば、内閣官房(私)と厚労/総務/国税庁の役割分担としてはこうだと思うのです。

・制度・事務(年金/医療保険/地方行政/地方税/国税等):厚労/総務/国税庁

・システム:厚労/総務/国税庁だが、私は元SEだから資料見ればわかる

・法律:私

・現実の抵抗:厚労/総務/国税庁だが、私も協力

それが、こうなっちゃう人がいます。

・制度・事務(年金/医療保険/地方行政/地方税/国税等):説明しない

・システム:説明しない

・法律:間違った解釈を私に押し付けてこう解釈しろと言いだす

・現実の抵抗:説明しないのに、私がなぜか汲んで解釈を考えているのに、なぜか怒り出す

こうなっちゃうと、制度・事務やシステムを既存資料を基に、係長と私で調べて、で、こうだよねとか検討するっていうことになるわけです。これを、係長と私でやっていたからいいけど、係長も私もこれをやらないで、担当省庁もやらないで、まあいっかとそのまま進めてしまうと、ぐだぐだになるわけです。後から違法リスクが出てしまってどうしようもない。まあでも役所の係長は本当に優秀な人が多いのですばらしいですね。あと国税庁なんて優秀だから、制度・事務、システムも簡潔に教えてくれて、番号法の法解釈すら国税庁側でちゃんとできてしまう。こういう人がカウンターパートだとこちらとしては仕事量が減りますね^^

 

でもほんと、制度・事務って複雑ですよね。私も昔は既存住基と住基ネットと宛名の違いもわかりませんでしたし、医療保険も共済と社保と国保の違いもあまりわかりませんでした。市町村国保国保組合なんて、何回聞いてもよくわからなかったし。地方財政についてははっきりいっていまだにわかってません。

 

ちょっと話がそれて愚痴っぽくなってしまいましたが、言いたいこととしては、現状分析と法解釈って、結構複雑で、でもそれをちゃんとやれるすごい力が霞が関にはあるはずだということ。

昨日お話しした方は、複雑な現状を正確に理解されて、法律上の問題点、社会に与える影響(悪い影響も)をきちんと的確に指摘されていて、やっぱりこういう技術って霞が関の底力だなと思うのです。

 

私、最初に内閣官房にいったとき、大量の資料を速読して要点をきっちり理解する幹部を見て、すごくびっくりしました。あんな大量資料をぱーっと見ただけで、そんなに本質や要点がすぐ理解できるものかとびっくりしました。あまり民間では見られないスキルだと思います。手前味噌ですが、私もこのスキルは霞が関でそこそこ身についた気がします。

 あと思ったのは、そういう方になってくると、説明聞くより、資料速読した方が早く事態を理解できるということ。私が大変お世話になった内閣法制局参事官は、「〇条の説明資料を作りなさい」と私に求めるわけです。で私がその説明資料を作って法制局で資料を提示しながら説明していると、法制局参事官が「え??ちょっと静かにしてくれない?」的な態度になるわけですよ。優しい方だから、そういうことをはっきり明言はしませんが、絶対にそう思っているだろう的な態度で、私は説明をせずに2,3分ぐらい沈黙することにしました。そうするとその方が資料を読み終わって、質問をしてくるので、質問に答えていく、と。そうするとつつがなく進行します。

はっきりいうと「お前の要点をしぼらない説明聞くより、資料読んだ方が早いわ!」的なことでしょうか(笑)

 

すごいだらだらと長文書いてますが、この霞が関で経験したことって、意外と弁護士実務でも一緒だなと思ったことがあります。

ご相談者と弁護士の関係も似たようなところがあります。ご相談者の業務・業界のことはこちらはわからないわけです。そこを説明していただく必要があります。で、それを受けてこちらが法解釈をするので、なんか内閣官房で私がやっていた仕事と、今弁護士で私がやっている仕事って似てるなって思ったりもします。

私はクライアントが口頭で説明してくださっているのをさえぎったりはもちろんしませんよ。ちゃんと聞きますが、たまにね、契約書をぱっと見せられて、その場で回答しないといけないことがあって、口頭説明を聞きながら契約書は読めないので、「ちょっとまずは契約書を読ませていただきますね」といって、2.3分契約書を読む時間を取らせてもらったりもします。

 

なんかものすごく長文になって話が脱線してきてますが、結構霞が関の変容がすごいように感じられて、霞が関業務改革をしていかないと、霞が関のすごいスキルが発揮できなくなってしまうかもしれないなと思ったりもします。あとはやっぱり頭のいい人ってすごいなと。今の私みたいにいろんな仕事をさせていただく機会が多いと、いろいろな方とお話しできて、いろんな分野のお話を聞けるので、とてもいいなと思います。以上、とりとめのないブログでした。

さあ、では、これからEUCookie規制の資料を読みます。

自治体業務改革

自治体

今、自治体絡みで、解決した方が良いと個人的に思っているテーマ

  • 個人情報関連
  • デジタルファースト対応
  • 少子高齢社会かつデジタル社会の中で、公として自治体が真に役割を担うべき業務は何か、官と民の切り分け

デジタルファースト対応に当たっては、以下をすると良いと思っています。

  • 自治体の手続を洗い出す
  • デジタルファースト対応する候補を絞る
    洗い出された自治体手続の中から、デジタル対応すると住民にとって楽になるもの(手続量・煩雑さ・対象者層がデジタルに親和性があるか等の観点)、職員にとって楽になるもの(手続量・煩雑さ・費用対効果・残業量等)を検討
  • デジタル対応に当たっての障壁を検討
  • デジタル対応するとすれば、いくらぐらいの費用が必要か、どのように実装すべきかを検討

公として自治体が真に役割を担うべき業務の検討に当たっては、以下が必要かなと思います

  • 自治体業務を洗い出す
  • 民間に任せられるか検討(純粋な民営事業、民間委託、指定管理者等)
  • 自治体として役割を担うべきなのか検討

自治体業務を洗い出すことが私だと難しいのですが、自治体EAの資料とか、行政改革資料だとかを見れば、私でもできるかなとも思いつつ・・・自治体EAの資料、リンク切れが大多数になってしまっていて、どうしたものかとも思い。

どこかの自治体さんで、この作業を一緒にやってくれるとうれしいのですが。可能であれば、調査研究などでやっていただけるとありがたいですが、難しければ形はどのような形でも良いかなと。

しかし、そうはいいつつ、通常業務もいっぱいあるので、こういう仕事に取り組んでしまうと時間がいくらあっても足りないかなと思ったりして。

とりあえず、こういう意識を私は持っているよ、という意思表示のブログでした。いずれ時期が来たら、取り組んでいきたいと思っています。

 

キャラ大で知ったコラボキャラ

かわいい

サンリオキャラ大のWebサイトを見ていて、思ったこと。

  • 赤西仁さんがぐでたまとコラボしているという事実www.instagram.com

    初めて知った。赤西仁さんと言えば、私の大変親しい友人が、「ファンと仁とのEternal」を教えてくれたことを思い出します。
  • たまごっちとサンリオキャラのコラボ

    tamagotch.channel.or.jp

    サンリオキャラがたまごっちになってたらかわいくていいなと思って買おうかなとも思いましたが、Webサイトを見たら、キティちゃんがサンリオキャラじゃない普通の人(たまごっちのキャラ?)と結婚させられて、さらにそれで生まれる子供がリボンとひげだけキティちゃんと一緒でなんか変で、さらにその子供とけろっぴが結婚してさらに謎なたまごっちが生まれて…という画像を見たら、買う気がなくなりました。
  • かわさきノルフィンとキティちゃんのコラボは知っていた
    川崎市バスのキティちゃんバスは本当にかわいいと思います。バス車内の写真↓

    f:id:cyberlawissues:20181008103641j:plain

  • コラボ部門は、ファン数からいうと、赤西仁×ぐでたまか、リカちゃんかなと予想。
  • 普通のキャラ大は、Web投票を考えると、プリンとシナモンが強そう。キティちゃん、45周年だし久々の復活なるか?

サンリオキャラクター大賞スタート!

かわいい

サンリオキャラ大がもうスタートです。

ranking.sanrio.co.jp

 

今年は結果発表が平日の模様。ピューロに見に行けないじゃないか!ひどい!!

 

キャッチコピーは、

令和のカワイイを探せ!

だそうです。まあ微妙ですかね。無難というか。

メインビジュアルはかわいいです。

ひとこともかわいいです。例えばプリンのひとことは「令和はもっともっとたくさん頑張って、大きくなりたいなぁ♪」だそうです。かわいい。キティちゃんはなかよしの輪をひろげてくれるそうです。キティちゃんはハリウッド映画の主演が決定しているので、がんばってほしいです。

さっそく、まずはシンカイゾクに投票しておきました。シンカイゾク、すごくいいキャラクターだし、商品展開も豊富にできそうなんで、もっと推してほしいです。サンリオにちゃんとシンカイゾクを営業してほしい。シンカイゾク、去年ぐらいでグッズ製造中止してませんか?ドラえもんスヌーピーへのシフトが見られますが、シンカイゾク、頑張ってほしいなあ。

あとはクロミちゃん、ハニーモモ、キティちゃん、キキララ、プリン、KIRIMIちゃん.、ゴロピカドンあたりを応援しようと思います。KIRIMIちゃん.なんて、初期しかグッズ出てませんよ。うちは、KIRIMIちゃん.のお皿(長皿、お醤油皿)とブランケットとメモ帳もってますけど、もっとグッズ出してください!お願いします。

EU Cookie規制の散発的メモ

情報法 GDPR

EU Cookie規制の散発的自分用メモでまとまっていません。もしこれをお使いになる方がいたら、ミス等の可能性もありますので、よくご注意して原典に当たっていただくようお願いいたします。

※随時更新予定

説明ページの例

規制

  • ePrivacy Directive
  • 2002年に制定2009年に改正。2009年改正溶け込み版の条文が発見できない。誰か教えてください。Google検索したら自分の過去ブログがひっかかった^^けど、リンク切れ多数の模様。
  • W29のePrivacy Directiveへの意見(adopted on 10 February 2009)
  • ePrivacy legislationが提案中だが、詳しい状況不明。
  • GDPR前文30にCookieへの言及有。
    Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may
    10 leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.
    (30) 自然人は、インターネットプロトコルアドレス、クッキー識別子、又は、無線識別タグのようなその他の識別子といったような、当該自然人のデバイス、アプリケーション、ツール及びプロトコルによって提供されるオンライン識別子と関連付けられうる。これは、特に、サーバによって受信されるユニーク識別子及びその他の情報と組み合わされるときは、自然人のプロファイルをつくり出し、そして、自然人を識別するために用いられうる痕跡を残しうるものである。
  • GDPR同意に関するガイドライン

 

EUCookieの説明ページ

  • http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm

  • クッキーとは、端末に保存しておく小さなデータで、ユーザの行動や好みを覚えておくもの。A cookie is a small piece of data that a website asks your browser to store on your computer or mobile device. The cookie allows the website to "remember" your actions or preferences over time.

  • ePrivacy Directive 5(3)で事前の同意が必要。The ePrivacy directive – more specifically Article 5(3) – requires prior informed consent for storage or for access to information stored on a user's terminal equipment. In other words, you must ask users if they agree to most cookies and similar technologies (e.g. web beacons, Flash cookies, etc.) before the site starts to use them.

  • 同意 For consent to be valid, it must be informed, specific, freely given and must constitute a real indication of the individual's wishes.

  • 同意が不要なもの
    通信等のためだけの目的のものused for the sole purpose of carrying out the transmission of a communication
    ユーザからはっきりと求められたサービスを提供するために厳に必要なものstrictly necessary in order for the provider of an information society service explicitly required by the user to provide that service.
    ユーザインプットクッキー(短いファーストパーティクッキー)user‑input cookies (session-id) such as first‑party cookies to keep track of the user's input when filling online forms, shopping carts, etc., for the duration of a session or persistent cookies limited to a few hours in some cases
    認証クッキーauthentication cookies, to identify the user once he has logged in, for the duration of a session
    ユーザ中心のセキュリティクッキーuser‑centric security cookies, used to detect authentication abuses, for a limited persistent duration
    マルチメディアクッキーmultimedia content player cookies, used to store technical data to play back video or audio content, for the duration of a session
    負荷分散クッキーload‑balancing cookies, for the duration of session
    ユーザインターフェースカスタマイズクッキーuser‑interface customisation cookies such as language or font preferences, for the duration of a session (or slightly longer)
    サードパーティーSNSクッキーthird‑party social plug‑in content‑sharing cookies, for logged‑in members of a social network.
    EU advisory body on data protection- WP29を参照のこと

  • EUROPAでは以下のように対応
    ファーストパーティセッションクッキーは同意不要first‑party session cookies DO NOT require informed consent.
    ファーストパーティパーシステントクッキーは同意要(1年超えてはだめ)first‑party persistent cookies DO require informed consent. Use only when strictly necessary. The expiry period must not exceed one year.
    サードパーティクッキーはセッションだろうがパーシステントだろうがすべて同意要all third‑party session and persistent cookies require informed consent. These cookies should not be used on EUROPA sites, as the data collected may be transferred beyond the EU's legal jurisdiction.
  • EU クッキー同意キット(アカウント作成が必要)→コチラ
  • EUクッキーポリシープライバシーステートメント

 

ICOクッキー資料

ICOクッキーガイダンス

水町が考える同ガイダンスの要約

  • strictly necessary厳格に考えてもどうしても必要なクッキー以外は、同意が必要。そのため、アクセス解析も同意が必要(P29)
  • しかし、現実的にすべてのユーザから明示の同意を得ることは、ボタンクリックであっても困難。そこでICOとしては、明瞭な説明をユーザに対して行って、ユーザが選択できる状況を担保することを最重要視していると思う。それをやっていれば、明示の同意がなくても、同意と推認したりみなしたりするという考え方を取っているように感じられる。できることはやっておくということが重要だと思われる。そして説明責任が非常に重要視されているので、クッキーに関するわかりやすい説明を行い、クッキーが嫌な場合はどうすればいいか等の具体的な説明を行うことが極めて大事だと思う。

総論

  •  UKの国内法→The UK introduced the amendments on 25 May 2011 through The Privacy and Electronic Communications (EC Directive) (Amendment) Regulations 2011
    a person shall not store or gain access to information stored, in the terminal equipment of a subscriber or user unless the requirements of paragraph (2) are met. (2) The requirements are that the subscriber or user of that terminal equipment-(a) is provided with clear and comprehensive information about the purposes of the storage of, or access to, that information; and (b) has given his or her consent. Regulation6ofthePrivacyandElectronicCommunicationsRegulations2003(PECR)
  • 2003年法では説明責任とオプトアウトが求められていたが、2011年改正で説明責任に加え同意取得が求められるように(P11-12)
  • 説明責任&同意取得義務に例外あり(P12)
    There is an exception to the requirement to provide information about cookies and obtain consent where the use of the cookie is:
    (a) 通信等のためだけに使われるクッキーfor the sole purpose of carrying out the transmission of a communication over an electronic communications network; or
    (b) 電子サービス提供に厳に必要なクッキーwhere such storage or access is strictly necessary for the provision of an information society service requested by the subscriber or user.
  • (b) 電子サービス提供に厳に必要なクッキーとは例えば、ユーザがオンラインショッピングをする際に、「カートに入れる」「購入する」ボタンを押した場合に、前のページでユーザが何を選んだかをサイト側が記憶しておくために使うクッキーなど(P12)。セキュリティのためのクッキーも例外に当たるし、負荷分散のためのクッキーも例外に当たる。これに対し、PVやユニークユーザカウントのための統計目的クッキーは例外に当たらないし、広告のためのクッキー、ユーザへのあいさつを調整するためのクッキー(水町注:カスタマイズ用のもののイメージ)も例外には当たらない。ヨーロッパでは例外を幅広くとり、例えばリソース計画、容量計画など、ウェブサイト運営のためのクッキーは例外に当たるべきかといった議論もあるが、そういうことを言いだすと、広告用のクッキーも、ウェブサイトの資金化に役立ちこれらと同様に考えられたりもするし、そもそもこの例外は狭いものであるから、ICOとしてはこういったものは例外に当たらないという2003年法の解釈を変えることはしない。(P13)
  • Cookieだけでなく同様の技術にも規制は及ぶ。例えば、Local Shared Objects (commonly referred to as “Flash Cookies”→Flash用のクッキー(WikipediaChromeで削除可能とのInternetWatch記事), web beacons(Wikipedia) or bugs (including transparent or clear gifs)
  • ブラウザを開いて閉じるまでの間有効なセッションクッキー Session cookies – allow websites to link the actions of a user during a browser session. remembering what a user has put in their shopping basket as they browse around a site. for security when a user is accessing internet banking or to facilitate use of webmail.
  • 永続クッキー(パーシステントクッキー)Persistent cookies – are stored on a users’ device in between browser sessions which allows the preferences or actions of the user across a site (or in some cases across different websites) to be remembered. Persistent cookies may be used for a variety of purposes including remembering users’ preferences and choices when using a site or to target advertising.
  • ファーストパーティクッキー(当事者クッキー)/サードパーティクッキー(第三者クッキー)First and third party cookies – Whether a cookie is ‘first’ or ‘third’ party refers to the website or domain placing the cookie. First party cookies in basic terms are cookies set by a website visited by the user - the website displayed in the URL window. Third party cookies are cookies that are set by a domain other than the one being visited by the user. If a user visits a website and a separate company sets a cookie through that website this would be a third party cookie.
  • Subscriberはインターネット接続等の料金を支払う人 means a person who is a party to a contract with a provider of public electronic communications services for the supply of such services. In this context the person who pays the bill for the internet connection (that is, the person legally responsible for the charges)
  • Userはそのサービスを使っている人 means any individual using a public electronic communications service. In this context a user would be the person sat at a computer or using a mobile device to browse the internet.

同意

  • 同意はany freely given specific and informed indication(英国法UK Data Protection Act)
  • 同意は事前同意が必要Prior Consent UK法に明示されていないが、一般的な同意概念からしてそうだしユーザの期待もそうである。多くのウェブサイトは、訪問するや否やクッキーを発行しているので、事前同意は難しいかもしれない。だが可能な限り(Wherever possible)、ユーザがクッキーを理解し選択できる機会を得るまで、クッキー発行は遅らせるべき。
  • 一回限りの訪問者に永続クッキーを発行しているか?クッキーの期限を短くするとリスクも軽減できる。
  • 必ずしも明示の同意(Explicit Consent)だけではなく、黙示の同意(Implied Consent)もありうるが、黙示の場合、ちゃんとユーザが合理的に理解してクッキー発行に同意していることが重要で、UKのガイダンスに従う必要あり(そのガイダンスが何かは私にとっては不明。P7の第2段落)。
  • ユーザが訪問している時点で同意しているとみなすことは困難。プライバシーノーティスの一部に記載があったとしてもめったに読まれないし、その説明があることをもって、ユーザから明示の同意を取らなくてもよいとするのは無理。有効な同意とはならない。
  • ブラウザの設定をもってユーザが同意しているとみなすことも困難(P15)。現実的にいって今のブラウザ設定はそこまでなっていないし、ユーザが理解して選んだと解釈することはできない。政府としてはメジャーなブラウザ会社と調整中ではある。
  • サイトを訪れると何が起こって、ユーザはどうそれをコントロールできるかについて、明瞭な説明をしなければならない。
  • 説明に当たっての重要な要素1:サイト閲覧者の属性。技術的知識があるユーザであれば、クッキーとは何かについての基礎的な情報は不要かもしれない。
  • 説明に当たっての重要な要素2:ユーザがわかりやすいと思う方法で説明する(意訳)The way in which users expect to receive information from and on the site. The more the information about cookies fits with the rest of the site the more likely users are to read it and, in turn, the more likely the website operator is able to assume that users understand and accept how the site works.
  • 説明に当たっての重要な要素3:ユーザに対して適切な言語で説明する(水町注:EEAの人に対する説明を日本語でして大丈夫ですか??といったこと)
  • An indication of wishes。明確な説明があった上でのユーザの行動は、十分なIndicationになる。例えば、クッキーがどう使われるか等の明確なノーティスを与えられたうえで、ユーザがクリックしてサイトを使い続ける場合等。但し、クリアなノーティスが与えられることなしでは、認められない。Clear Noticeはとても重要。特にアクセス解析において重要となる。ICOは、アクセス解析のためのクッキーに、明示の同意を得ることが難しく、黙示の同意が最も現実的であることを認識している。(P9)
  • Regulationsは、同意は、Subscriber又はUserから得るように述べている。RegulationsはSubscriberとUserの意思が異なる場合にどちらが優先するか特に述べていないが、一般的にブラウザ設定などはSubscriberの権限なので、Subscriberが優先すると考えられるが、場合によってはユーザが優先することもある。例えば、Subscriberが雇用主で、Userが労働者の場合、雇用主のCookieに関する意思が優先するとするのは不合理である。(P10)
  • ヘッダーやフッターに出すポップアップのクッキー同意を求める方式は、注意深く作ればよいかもしれない。ユーザが同意ボタンをクリックしないで他のページを見て回ったとして、その場合、Clear Noticeを得たユーザがそのような行動をしていることをもって、同意を察しても良いだろう(you could set a cookie and infer consent)。但し、Cookieに関するNoticeがどこからでも見られる(Appearing elsewhere)ようにしていなければならない(P20)(水町コメント:ICOが明示のクリック無で無視したユーザも同意を推認してよいとしていることに驚いた。しかし実際上すべてのユーザからクリックを取得するというのは無理かもしれないので、こういうガイドラインになっているのかもしれないと思った。)
  • 利用規約でもって、Cookie同意を取るのだってよい。但し、包括的な以前の規約への同意をもって、Cookie同意があるとしてはダメ。ちゃんとCookieの利用と規約変更を具体的にお知らせして、新しい規約に同意するクリックをさせるようにする(P21に具体的な例示の図あり)。
  • 設定による同意(Settings-led consent)設定を覚えさせる機能のためにCookieを使っている例がある。例えば、表示言語を覚える、表示サイズ、色、挨拶等を覚えさせる場合等。この場合、Cookie使うことで毎回毎回聞かれないで済むよということを説明する。選択を覚えさせる許可をすることをもってクッキー設定への同意となっている(You can explain to them that by allowing you to remember their choice they are giving you consent to set the cookie. Agreement for the cookie could therefore be seamlessly integrated with the choice the user is already making. P21)(P22に具体的な許可設定の画面イメージあり)。
  • 機能による同意(Feature-led consent):動画視聴、遷移元ページを覚えるなど特定の機能のためのCookieがある。ユーザがそのための行動をとったときに同意を取るべき。ユーザが特定のアクションを取って、それゆえ何かが起こって、そしたらそれを同意を解釈しても良い。もっともより侵襲性の高いものや複雑なものはもっと情報を説明すべき。これらの機能がサードパーティーが提供するものであっても、サイト運営者等がユーザに対し何が起こるか気づかせるべき。(P22)
  • 分析のためのクッキー(アクセス解析等)も物による。ただ単にサイト内の分析クッキーもあれば、複数サイトでトラックするクッキーもある。ユーザがログインするときに同意を求めて、明瞭な説明をすれば、合意と捉えられる(P23)。収集した情報を第三者に提供する際は、ものすごく明瞭に説明しないといけない(Absolutely Clear)。
  • サードパーティークッキー(P23-):関係する全当事者が、ユーザがちゃんと何を誰から収集されているか気づけるようにしなければならない。クリアな説明を与えられてユーザが選択できる状況を確保するということについて、できることをするということが大事。非常に法遵守が難しい分野だが、ICOも引き続き産業界と協働していくし、他のEU当局も正しい答えを見つけるために支援する(水町コメント:なかなかすごい文章だが、現時点では正解がないのだし、日本の当局ってこういうことを言いたがらないけど、日本でもこういうことをいうのって、いいのかもしれない)
  • 具体的なWebsiteの例とCookieの例ごとに、対処方法が書いてある表が、P23-24にあり。
  • 複数の関連サイトを運営している場合、一か所で同意取得することも可(P25)
  • クッキー同意を得た後にクッキー変更した場合、変更を気づかせてユーザに選択させるようにすべき
  • クッキー同意はいつ何時でも撤回できるようにすべき。撤回の仕方などについてプライバシーポリシーに書いておく(P25)
  • クッキーだけに注意すればいいというわけではなくて、例えばDevice Fingerprinting等の別の手法を使っても、プライバシーのことをちゃんと考えて、何を収集してどう使っているのかをユーザに知らせるべきである

義務がかかるのは誰でしょうか?(P13-)

  • オンラインサービスを運営してクッキーを使っている人は、説明責任&同意取得義務が生じる。
  • クッキーを発行する人が第一次的にコンプライアンスの責任を負う。
  • サードパーティクッキーの場合は、クッキー発行者とそのサイトの運営者双方が責任を負うWhere third party cookies are set through a website both parties will have a responsibility
  • もっとも、ユーザと直接の接点がない第三者の場合は難しいけれども、重要なのは誰が同意を取得するかではなく、よく説明された上で有効な同意が取得されることである
  • クッキー発行者又はクッキーを要求する商品を提供する者は、契約で相互の責任を決めておくべきだろう(意訳)
  • 他社のためにウェブサイトやシステム開発をする会社は、法規制に特に注意を払うべきで、Privacy by designをよく踏まえるべきである
  • UKで設立された組織は、規制対象となる。たとえウェブサイトが海外サーバにあったとしてもである。またヨーロッパ外の組織であっても、ヨーロッパ市場用のウェブサイトであったり、ヨーロッパの顧客に商品やサービスを提供する場合は、説明責任とクッキーに関するユーザの選択権をユーザは期待するだろう。

 

Cookie Regulation対応に当たってのやること

  • 1.Check what type of cookies and similar technologies you use and how you use them.
    2.Assess how intrusive your use of cookies is.
    3.Where you need consent - decide what solution to obtain consent will be best in your circumstances. 
    プライバシー侵害性が高い(意訳、intrusive)ほど、より意味のある同意を得る必要がある。
  • Cookie Audit
    Identify which cookies are operating on or through your website
    Confirm the purpose(s) of each of these cookies
    Confirm whether you link cookies to other information held about users - such as usernames
    Identify what data each cookie holds
    Confirm the type of cookie – session or persistent
    If it is a persistent cookie how long is its lifespan?
    Is it a first or third party cookie? If it is a third party cookie who is setting it? Double check that your privacy policy provides accurate and clear information about each cookie
  • クッキーのより広い説明(クッキーがどう働くか)と、クッキーの種類の説明は多くのユーザにとって有益だろう。全クッキーに関する長い表と詳細リストは人によっては要るかもしれない。Long tables or detailed lists of all the cookies operating on the site may be the type of information that some users will want to consider. For most users it may be helpful to provide a broader explanation of the way cookies operate and the categories of cookies that you use on your website. A description of the types of things analytical cookies are used for on the site will be more likely to satisfy the requirements than simply listing all the cookies you use with basic references to their function.
  • ICOによる説明例
    For example
    Our website uses four cookies. A cookie is a small file of letters and numbers that we put on your computer if you agree. These cookies allow us to distinguish you from other users of the website which helps us to provide you with a good experience when you browse our website and also allows us to improve our site. The cookies we use are ‘analytical’ cookies. They allow us to recognise and count the number of visitors and to see how visitors move around the site when they’re using it. This helps us to improve the way our website works, for example by making sure users are finding what they need easily. Read more about the individual analytical cookies we use and how to recognise them [link] 
  • Privacy Statementの中に含めないで、Cookieに関するリンクを明示的に貼ったり、Privacy and Cookiesっていうリンク名にしたりして、わかりやすく表示する
  • 同意取得方法もわかりやすくやることが大事。既にウェブサイトでは、ユーザの注意を惹く方法をいろいろやっている。例えばプロモーション、スペシャルオファー、「本当に買いますか?」といったダブルチェック(確認画面)等。そういう風に、わかりやすく注意喚起するように。

その他

  • 1年間の猶予期間あり(P26)
  • イントラネットにも適用になるが、すべてインターネットと全く同じというわけではない(P28)(水町コメント:読んでもあまり客観的にははっきりとした意味がわからず、言いたいことはたぶん私がこういう風に訳した通りなんだと思う。そういう意味ではICOの言いたいことは意味がわかる)
  • Q&Aが面白い。「みんな、この法律は現実的でないと言ってますが?」とか「誰もクッキーについて苦情を言いません。なんでこんな法律遵守にコストをかけさせるんですか?」とかの質問への回答が載っている。
  • これさえやればOKというガイドラインではないが、ある意味非常にICOの考え方が良くわかる良いガイドラインだと思った。

参考

  • 「イギリスのほとんどのサイトが「Cookie規制」に従っていないことが判明。条件を満たしているのは1割ほど」2020.1.14

    japanese.engadget.com