ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

EU Cookie規制の散発的メモ

EU Cookie規制の散発的自分用メモでまとまっていません。もしこれをお使いになる方がいたら、ミス等の可能性もありますので、よくご注意して原典に当たっていただくようお願いいたします。

※随時更新予定

説明ページの例

規制

  • ePrivacy Directive
  • 2002年に制定2009年に改正。2009年改正溶け込み版の条文が発見できない。誰か教えてください。Google検索したら自分の過去ブログがひっかかった^^けど、リンク切れ多数の模様。
  • W29のePrivacy Directiveへの意見(adopted on 10 February 2009)
  • ePrivacy legislationが提案中だが、詳しい状況不明。
  • GDPR前文30にCookieへの言及有。
    Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may
    10 leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.
    (30) 自然人は、インターネットプロトコルアドレス、クッキー識別子、又は、無線識別タグのようなその他の識別子といったような、当該自然人のデバイス、アプリケーション、ツール及びプロトコルによって提供されるオンライン識別子と関連付けられうる。これは、特に、サーバによって受信されるユニーク識別子及びその他の情報と組み合わされるときは、自然人のプロファイルをつくり出し、そして、自然人を識別するために用いられうる痕跡を残しうるものである。
  • GDPR同意に関するガイドライン

 

EUCookieの説明ページ

  • http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm

  • クッキーとは、端末に保存しておく小さなデータで、ユーザの行動や好みを覚えておくもの。A cookie is a small piece of data that a website asks your browser to store on your computer or mobile device. The cookie allows the website to "remember" your actions or preferences over time.
  • ePrivacy Directive 5(3)で事前の同意が必要。The ePrivacy directive – more specifically Article 5(3) – requires prior informed consent for storage or for access to information stored on a user's terminal equipment. In other words, you must ask users if they agree to most cookies and similar technologies (e.g. web beacons, Flash cookies, etc.) before the site starts to use them.

  • 同意 For consent to be valid, it must be informed, specific, freely given and must constitute a real indication of the individual's wishes.

  • 同意が不要なもの
    通信等のためだけの目的のものused for the sole purpose of carrying out the transmission of a communication
    ユーザからはっきりと求められたサービスを提供するために厳に必要なものstrictly necessary in order for the provider of an information society service explicitly required by the user to provide that service.
    ユーザインプットクッキー(短いファーストパーティクッキー)user‑input cookies (session-id) such as first‑party cookies to keep track of the user's input when filling online forms, shopping carts, etc., for the duration of a session or persistent cookies limited to a few hours in some cases
    認証クッキーauthentication cookies, to identify the user once he has logged in, for the duration of a session
    ユーザ中心のセキュリティクッキーuser‑centric security cookies, used to detect authentication abuses, for a limited persistent duration
    マルチメディアクッキーmultimedia content player cookies, used to store technical data to play back video or audio content, for the duration of a session
    負荷分散クッキーload‑balancing cookies, for the duration of session
    ユーザインターフェースカスタマイズクッキーuser‑interface customisation cookies such as language or font preferences, for the duration of a session (or slightly longer)
    サードパーティーSNSクッキーthird‑party social plug‑in content‑sharing cookies, for logged‑in members of a social network.
    EU advisory body on data protection- WP29を参照のこと

  • EUROPAでは以下のように対応
    ファーストパーティセッションクッキーは同意不要first‑party session cookies DO NOT require informed consent.
    ファーストパーティパーシステントクッキーは同意要(1年超えてはだめ)first‑party persistent cookies DO require informed consent. Use only when strictly necessary. The expiry period must not exceed one year.
    サードパーティクッキーはセッションだろうがパーシステントだろうがすべて同意要all third‑party session and persistent cookies require informed consent. These cookies should not be used on EUROPA sites, as the data collected may be transferred beyond the EU's legal jurisdiction.
  • EU クッキー同意キット(アカウント作成が必要)→コチラ
  • EUクッキーポリシープライバシーステートメント

 

ICOクッキー資料

ICOクッキーガイダンス

水町が考える同ガイダンスの要約

  • strictly necessary厳格に考えてもどうしても必要なクッキー以外は、同意が必要。そのため、アクセス解析も同意が必要(P29)
  • しかし、現実的にすべてのユーザから明示の同意を得ることは、ボタンクリックであっても困難。そこでICOとしては、明瞭な説明をユーザに対して行って、ユーザが選択できる状況を担保することを最重要視していると思う。それをやっていれば、明示の同意がなくても、同意と推認したりみなしたりするという考え方を取っているように感じられる。できることはやっておくということが重要だと思われる。そして説明責任が非常に重要視されているので、クッキーに関するわかりやすい説明を行い、クッキーが嫌な場合はどうすればいいか等の具体的な説明を行うことが極めて大事だと思う。

総論

  •  UKの国内法→The UK introduced the amendments on 25 May 2011 through The Privacy and Electronic Communications (EC Directive) (Amendment) Regulations 2011
    a person shall not store or gain access to information stored, in the terminal equipment of a subscriber or user unless the requirements of paragraph (2) are met. (2) The requirements are that the subscriber or user of that terminal equipment-(a) is provided with clear and comprehensive information about the purposes of the storage of, or access to, that information; and (b) has given his or her consent. Regulation6ofthePrivacyandElectronicCommunicationsRegulations2003(PECR)
  • 2003年法では説明責任とオプトアウトが求められていたが、2011年改正で説明責任に加え同意取得が求められるように(P11-12)
  • 説明責任&同意取得義務に例外あり(P12)
    There is an exception to the requirement to provide information about cookies and obtain consent where the use of the cookie is:
    (a) 通信等のためだけに使われるクッキーfor the sole purpose of carrying out the transmission of a communication over an electronic communications network; or
    (b) 電子サービス提供に厳に必要なクッキーwhere such storage or access is strictly necessary for the provision of an information society service requested by the subscriber or user.
  • (b) 電子サービス提供に厳に必要なクッキーとは例えば、ユーザがオンラインショッピングをする際に、「カートに入れる」「購入する」ボタンを押した場合に、前のページでユーザが何を選んだかをサイト側が記憶しておくために使うクッキーなど(P12)。セキュリティのためのクッキーも例外に当たるし、負荷分散のためのクッキーも例外に当たる。これに対し、PVやユニークユーザカウントのための統計目的クッキーは例外に当たらないし、広告のためのクッキー、ユーザへのあいさつを調整するためのクッキー(水町注:カスタマイズ用のもののイメージ)も例外には当たらない。ヨーロッパでは例外を幅広くとり、例えばリソース計画、容量計画など、ウェブサイト運営のためのクッキーは例外に当たるべきかといった議論もあるが、そういうことを言いだすと、広告用のクッキーも、ウェブサイトの資金化に役立ちこれらと同様に考えられたりもするし、そもそもこの例外は狭いものであるから、ICOとしてはこういったものは例外に当たらないという2003年法の解釈を変えることはしない。(P13)
  • Cookieだけでなく同様の技術にも規制は及ぶ。例えば、Local Shared Objects (commonly referred to as “Flash Cookies”→Flash用のクッキー(WikipediaChromeで削除可能とのInternetWatch記事), web beacons(Wikipedia) or bugs (including transparent or clear gifs)
  • ブラウザを開いて閉じるまでの間有効なセッションクッキー Session cookies – allow websites to link the actions of a user during a browser session. remembering what a user has put in their shopping basket as they browse around a site. for security when a user is accessing internet banking or to facilitate use of webmail.
  • 永続クッキー(パーシステントクッキー)Persistent cookies – are stored on a users’ device in between browser sessions which allows the preferences or actions of the user across a site (or in some cases across different websites) to be remembered. Persistent cookies may be used for a variety of purposes including remembering users’ preferences and choices when using a site or to target advertising.
  • ファーストパーティクッキー(当事者クッキー)/サードパーティクッキー(第三者クッキー)First and third party cookies – Whether a cookie is ‘first’ or ‘third’ party refers to the website or domain placing the cookie. First party cookies in basic terms are cookies set by a website visited by the user - the website displayed in the URL window. Third party cookies are cookies that are set by a domain other than the one being visited by the user. If a user visits a website and a separate company sets a cookie through that website this would be a third party cookie.
  • Subscriberはインターネット接続等の料金を支払う人 means a person who is a party to a contract with a provider of public electronic communications services for the supply of such services. In this context the person who pays the bill for the internet connection (that is, the person legally responsible for the charges)
  • Userはそのサービスを使っている人 means any individual using a public electronic communications service. In this context a user would be the person sat at a computer or using a mobile device to browse the internet.

同意

  • 同意はany freely given specific and informed indication(英国法UK Data Protection Act)
  • 同意は事前同意が必要Prior Consent UK法に明示されていないが、一般的な同意概念からしてそうだしユーザの期待もそうである。多くのウェブサイトは、訪問するや否やクッキーを発行しているので、事前同意は難しいかもしれない。だが可能な限り(Wherever possible)、ユーザがクッキーを理解し選択できる機会を得るまで、クッキー発行は遅らせるべき。
  • 一回限りの訪問者に永続クッキーを発行しているか?クッキーの期限を短くするとリスクも軽減できる。
  • 必ずしも明示の同意(Explicit Consent)だけではなく、黙示の同意(Implied Consent)もありうるが、黙示の場合、ちゃんとユーザが合理的に理解してクッキー発行に同意していることが重要で、UKのガイダンスに従う必要あり(そのガイダンスが何かは私にとっては不明。P7の第2段落)。
  • ユーザが訪問している時点で同意しているとみなすことは困難。プライバシーノーティスの一部に記載があったとしてもめったに読まれないし、その説明があることをもって、ユーザから明示の同意を取らなくてもよいとするのは無理。有効な同意とはならない。
  • ブラウザの設定をもってユーザが同意しているとみなすことも困難(P15)。現実的にいって今のブラウザ設定はそこまでなっていないし、ユーザが理解して選んだと解釈することはできない。政府としてはメジャーなブラウザ会社と調整中ではある。
  • サイトを訪れると何が起こって、ユーザはどうそれをコントロールできるかについて、明瞭な説明をしなければならない。
  • 説明に当たっての重要な要素1:サイト閲覧者の属性。技術的知識があるユーザであれば、クッキーとは何かについての基礎的な情報は不要かもしれない。
  • 説明に当たっての重要な要素2:ユーザがわかりやすいと思う方法で説明する(意訳)The way in which users expect to receive information from and on the site. The more the information about cookies fits with the rest of the site the more likely users are to read it and, in turn, the more likely the website operator is able to assume that users understand and accept how the site works.
  • 説明に当たっての重要な要素3:ユーザに対して適切な言語で説明する(水町注:EEAの人に対する説明を日本語でして大丈夫ですか??といったこと)
  • An indication of wishes。明確な説明があった上でのユーザの行動は、十分なIndicationになる。例えば、クッキーがどう使われるか等の明確なノーティスを与えられたうえで、ユーザがクリックしてサイトを使い続ける場合等。但し、クリアなノーティスが与えられることなしでは、認められない。Clear Noticeはとても重要。特にアクセス解析において重要となる。ICOは、アクセス解析のためのクッキーに、明示の同意を得ることが難しく、黙示の同意が最も現実的であることを認識している。(P9)
  • Regulationsは、同意は、Subscriber又はUserから得るように述べている。RegulationsはSubscriberとUserの意思が異なる場合にどちらが優先するか特に述べていないが、一般的にブラウザ設定などはSubscriberの権限なので、Subscriberが優先すると考えられるが、場合によってはユーザが優先することもある。例えば、Subscriberが雇用主で、Userが労働者の場合、雇用主のCookieに関する意思が優先するとするのは不合理である。(P10)
  • ヘッダーやフッターに出すポップアップのクッキー同意を求める方式は、注意深く作ればよいかもしれない。ユーザが同意ボタンをクリックしないで他のページを見て回ったとして、その場合、Clear Noticeを得たユーザがそのような行動をしていることをもって、同意を察しても良いだろう(you could set a cookie and infer consent)。但し、Cookieに関するNoticeがどこからでも見られる(Appearing elsewhere)ようにしていなければならない(P20)(水町コメント:ICOが明示のクリック無で無視したユーザも同意を推認してよいとしていることに驚いた。しかし実際上すべてのユーザからクリックを取得するというのは無理かもしれないので、こういうガイドラインになっているのかもしれないと思った。)
  • 利用規約でもって、Cookie同意を取るのだってよい。但し、包括的な以前の規約への同意をもって、Cookie同意があるとしてはダメ。ちゃんとCookieの利用と規約変更を具体的にお知らせして、新しい規約に同意するクリックをさせるようにする(P21に具体的な例示の図あり)。
  • 設定による同意(Settings-led consent)設定を覚えさせる機能のためにCookieを使っている例がある。例えば、表示言語を覚える、表示サイズ、色、挨拶等を覚えさせる場合等。この場合、Cookie使うことで毎回毎回聞かれないで済むよということを説明する。選択を覚えさせる許可をすることをもってクッキー設定への同意となっている(You can explain to them that by allowing you to remember their choice they are giving you consent to set the cookie. Agreement for the cookie could therefore be seamlessly integrated with the choice the user is already making. P21)(P22に具体的な許可設定の画面イメージあり)。
  • 機能による同意(Feature-led consent):動画視聴、遷移元ページを覚えるなど特定の機能のためのCookieがある。ユーザがそのための行動をとったときに同意を取るべき。ユーザが特定のアクションを取って、それゆえ何かが起こって、そしたらそれを同意を解釈しても良い。もっともより侵襲性の高いものや複雑なものはもっと情報を説明すべき。これらの機能がサードパーティーが提供するものであっても、サイト運営者等がユーザに対し何が起こるか気づかせるべき。(P22)
  • 分析のためのクッキー(アクセス解析等)も物による。ただ単にサイト内の分析クッキーもあれば、複数サイトでトラックするクッキーもある。ユーザがログインするときに同意を求めて、明瞭な説明をすれば、合意と捉えられる(P23)。収集した情報を第三者に提供する際は、ものすごく明瞭に説明しないといけない(Absolutely Clear)。
  • サードパーティークッキー(P23-):関係する全当事者が、ユーザがちゃんと何を誰から収集されているか気づけるようにしなければならない。クリアな説明を与えられてユーザが選択できる状況を確保するということについて、できることをするということが大事。非常に法遵守が難しい分野だが、ICOも引き続き産業界と協働していくし、他のEU当局も正しい答えを見つけるために支援する(水町コメント:なかなかすごい文章だが、現時点では正解がないのだし、日本の当局ってこういうことを言いたがらないけど、日本でもこういうことをいうのって、いいのかもしれない)
  • 具体的なWebsiteの例とCookieの例ごとに、対処方法が書いてある表が、P23-24にあり。
  • 複数の関連サイトを運営している場合、一か所で同意取得することも可(P25)
  • クッキー同意を得た後にクッキー変更した場合、変更を気づかせてユーザに選択させるようにすべき
  • クッキー同意はいつ何時でも撤回できるようにすべき。撤回の仕方などについてプライバシーポリシーに書いておく(P25)
  • クッキーだけに注意すればいいというわけではなくて、例えばDevice Fingerprinting等の別の手法を使っても、プライバシーのことをちゃんと考えて、何を収集してどう使っているのかをユーザに知らせるべきである

義務がかかるのは誰でしょうか?(P13-)

  • オンラインサービスを運営してクッキーを使っている人は、説明責任&同意取得義務が生じる。
  • クッキーを発行する人が第一次的にコンプライアンスの責任を負う。
  • サードパーティクッキーの場合は、クッキー発行者とそのサイトの運営者双方が責任を負うWhere third party cookies are set through a website both parties will have a responsibility
  • もっとも、ユーザと直接の接点がない第三者の場合は難しいけれども、重要なのは誰が同意を取得するかではなく、よく説明された上で有効な同意が取得されることである
  • クッキー発行者又はクッキーを要求する商品を提供する者は、契約で相互の責任を決めておくべきだろう(意訳)
  • 他社のためにウェブサイトやシステム開発をする会社は、法規制に特に注意を払うべきで、Privacy by designをよく踏まえるべきである
  • UKで設立された組織は、規制対象となる。たとえウェブサイトが海外サーバにあったとしてもである。またヨーロッパ外の組織であっても、ヨーロッパ市場用のウェブサイトであったり、ヨーロッパの顧客に商品やサービスを提供する場合は、説明責任とクッキーに関するユーザの選択権をユーザは期待するだろう。

 

Cookie Regulation対応に当たってのやること

  • 1.Check what type of cookies and similar technologies you use and how you use them.
    2.Assess how intrusive your use of cookies is.
    3.Where you need consent - decide what solution to obtain consent will be best in your circumstances. 
    プライバシー侵害性が高い(意訳、intrusive)ほど、より意味のある同意を得る必要がある。
  • Cookie Audit
    Identify which cookies are operating on or through your website
    Confirm the purpose(s) of each of these cookies
    Confirm whether you link cookies to other information held about users - such as usernames
    Identify what data each cookie holds
    Confirm the type of cookie – session or persistent
    If it is a persistent cookie how long is its lifespan?
    Is it a first or third party cookie? If it is a third party cookie who is setting it? Double check that your privacy policy provides accurate and clear information about each cookie
  • クッキーのより広い説明(クッキーがどう働くか)と、クッキーの種類の説明は多くのユーザにとって有益だろう。全クッキーに関する長い表と詳細リストは人によっては要るかもしれない。Long tables or detailed lists of all the cookies operating on the site may be the type of information that some users will want to consider. For most users it may be helpful to provide a broader explanation of the way cookies operate and the categories of cookies that you use on your website. A description of the types of things analytical cookies are used for on the site will be more likely to satisfy the requirements than simply listing all the cookies you use with basic references to their function.
  • ICOによる説明例
    For example
    Our website uses four cookies. A cookie is a small file of letters and numbers that we put on your computer if you agree. These cookies allow us to distinguish you from other users of the website which helps us to provide you with a good experience when you browse our website and also allows us to improve our site. The cookies we use are ‘analytical’ cookies. They allow us to recognise and count the number of visitors and to see how visitors move around the site when they’re using it. This helps us to improve the way our website works, for example by making sure users are finding what they need easily. Read more about the individual analytical cookies we use and how to recognise them [link] 
  • Privacy Statementの中に含めないで、Cookieに関するリンクを明示的に貼ったり、Privacy and Cookiesっていうリンク名にしたりして、わかりやすく表示する
  • 同意取得方法もわかりやすくやることが大事。既にウェブサイトでは、ユーザの注意を惹く方法をいろいろやっている。例えばプロモーション、スペシャルオファー、「本当に買いますか?」といったダブルチェック(確認画面)等。そういう風に、わかりやすく注意喚起するように。

その他

  • 1年間の猶予期間あり(P26)
  • イントラネットにも適用になるが、すべてインターネットと全く同じというわけではない(P28)(水町コメント:読んでもあまり客観的にははっきりとした意味がわからず、言いたいことはたぶん私がこういう風に訳した通りなんだと思う。そういう意味ではICOの言いたいことは意味がわかる)
  • Q&Aが面白い。「みんな、この法律は現実的でないと言ってますが?」とか「誰もクッキーについて苦情を言いません。なんでこんな法律遵守にコストをかけさせるんですか?」とかの質問への回答が載っている。
  • これさえやればOKというガイドラインではないが、ある意味非常にICOの考え方が良くわかる良いガイドラインだと思った。

参考

  • 「イギリスのほとんどのサイトが「Cookie規制」に従っていないことが判明。条件を満たしているのは1割ほど」2020.1.14

    japanese.engadget.com