ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

CNILクッキーガイドライン

フランスのデータ保護当局CNIL(くにーる)が、Webのcookie等に関し、新たなレコメンデーションを公表したようです。フランスをはじめとするヨーロッパ等のユーザがアクセスしてくるWeb等を運営する日本企業にとっても、大きな影響があるかなと思います。Websiteのアクセス分析のためのクッキーであっても13カ月後には無効にしなくてはならず、再度の訪問をもって期間延長してはなりません、などとあります。

 

しかし、国ごとにクッキー規制が細かには違うっていうのもやめてほしいですよね。ePrivacy Regulationみたいにしてくれないと、ヨーロッパからアクセスされるWebサイトは、論理的にいえば、全EU加盟国の国内法とデータ保護当局のガイドラインをチェックしなければならなくなってしまうので。遵守が現実的に不可能ではないでしょうか。さらにいえば、英語以外ってなかなか読めないです。

 

イギリスのデータ保護当局ICOの、cookieガイドラインに関する過去ブログはコチラ

 

以下では、フランスCNILのガイドラインについて記載しましたが、但し、このブログはフランス語を自動翻訳して読んでみただけなので、かなり正確性に疑義あります。個人情報保護委員会JETROで、CNIL文書の英訳をしていただけると助かります。フランス語読めないので。それか、CNILもすべての文書を英語化してくれませんかね…。結局、データ保護当局の資料も、英語じゃないと読めないんですよね、私の語学力だと。

www.cnil.fr

 

リコメンデーションの背景

  • ePrivacy指令(Privacy and Electronic Communications Directive)に対応するフランス法として、2009年改正Informatique et Libertés法が。2013年にはリコメンデーションを出した。
  • しかし2013年リコメンデーションはGDPRと整合するものではないと考え、EUのePrivacy regulationを待たずに(これは短期間で施行に向けてまとまりそうもない)、リコメンデーションを更新する。これは2020年の第1四半期に公表予定である。
  • 公表後6カ月以内に、これを遵守するように。

 

第1条ガイドラインの範囲

  • 加入者またはユーザの端末にすでに保存されている情報に電子送信によってアクセスすること、またはその機器に情報を入力することを目的としたすべての取引に適用されるガイドラインである
  • タブレット、多機能モバイル(「スマートフォン」)、デスクトップまたはモバイルコンピュータ、ビデオゲーム機、コネクテッドテレビ、コネクテッドビークル、ボイスアシスタントなどの一般的に使用される多くのデバイスを網羅
  • このガイドラインでは、HTTP Cookieの使用について説明します。これにより、これらのアクションが最も頻繁に実行されますが、他の技法の使用にも適用。例:Flashクッキー、MACアドレス、ローカルストレージ、指紋?
  • 情報(保存および/またはアクセスされた)がGDPRの意味の範囲内で個人データであるかどうかという事実は、指令2002/58 / 5の第3条(3)の適用の前提条件ではありません。 したがって、関係するデータが個人的なものであるかどうかにかかわらず、第82条が適用されます

第2条 同意

  • 同意は、自由で、具体的で、啓発された、そして明白な方法での意志。
    同意の自由性については、関係者がその選択を正当に行使することができ、同意がない場合または同意を取り消された場合に大きな不都合を被らない場合にのみ、同意が有効であると見なします。 
  • 追跡されることに同意しない人(「クッキーウォール」)のためにWebサイトまたはモバイルアプリケーションへのアクセスをブロックすることは、認められない
  • ユーザによる包括的な同意、一般的な使用条件の一般的な承認は、それが各目的のために別々に与えられない限り、同意を得るための有効な方法ではあり得ない
  • 情報はすべての人にとって単純でわかりやすい言葉で書かれなければならないこと、そして使用されるトレーサーの異なる目的についてユーザーが十分に知らされることを可能にしなければならない
  • 情報が同意の収集時に完全で、見えてそして強調されなければならない
  • 表示すべき情報
    - コントローラの身元
    - データの読み書き操作の目的
    - 同意を撤回する権利の存在。
  • 同意が通知されるためには、ユーザーが同意する前にトレーサーを使用してすべてのエンティティを識別できなければならないことを思い出します。したがって、これらのエンティティの網羅的で定期的に更新されたリストは、ユーザーの同意を集めるときにユーザーが直接利用できるようにする必要があります。
    (水町コメント)日本語の意味が不明。すべての個別クッキーの識別が必要ということ?
  • 積極的な行動を通して同意が明示されなければならない。ウェブサイトを閲覧し続けること、モバイルアプリケーションを使用すること、またはウェブサイトまたはモバイルアプリケーションのページをスクロールすることでは、有効な同意に等しい明確な前向きな行動とは考えられない=有効な同意ではない
    それはまた、事前にチェックされたボックスの使用、および一般的な使用条件の一般的な受け入れは、その同意を与えるための明確な前向きな行為と見なすことはできないと考えています。
  • 同意が証明可能でなければだめ。個人の同意を得ていない状況では、組織の1つに有効な同意を得ることを約束する契約条項が存在するだけでは果たせない。
  • 同意を与えることと同じくらい簡単に同意を拒否または撤回できるようにする必要がある。同意した人々はいつでもそれを撤回できなければならないことを意味します。したがって、ユーザーが同意したのと同じくらい簡単に同意を取り下げることができるように、ユーザーフレンドリーなソリューションを実装する必要があります。
  • 広告代理店発行等のサードパーティクッキーに関する記載もあるが、翻訳日本語が不明すぎて、意味がわからない。

第4条端末設定

  • 現状では、ブラウザ設定がクッキーを許可しているからといって、それをもって同意とみなすことはできない。

第5条アクセス分析

  • アクセス分析や、バージョンごとのテストなどのためのクッキー等は、同意取得不要。但し以下の条件を満たす必要あり。
    - それらはサイトの発行者か彼の下請業者によって実行されなければなりません。
    - その人は彼らの実施の前に知らされなければならない。
    - すべての端末、オペレーティングシステム、アプリケーション、およびWebブラウザで簡単に使用できる対立メカニズムによって対抗できなければなりません。人が反対した端末では、読み書き操作は行われません。
    - デバイスの目的は、(i)公開されたコンテンツの評価およびサイトまたはアプリケーションのエルゴノミクスを可能にするために表示されるコンテンツの視聴者測定、(ii)視聴者のセグメンテーションに限定される必要があります。これは、一人の人物をターゲットにしたり、(iii)グローバルな方法でサイトを動的に修正したりすることにはつながりません。収集された個人データを他の処理(顧客ファイルや他のサイトの出席統計など)と照合したり、第三者に送信したりしないでください。トレーサの使用も匿名の統計の作成に厳密に限定されなければなりません。その範囲は単一のサイト編集者に制限されるべきです。
    - ユーザーにジオタグを付けるためのIPアドレスの使用は、市よりも正確な情報を提供してはなりません。収集されたIPアドレスは、ジオロケーションが完了したら削除または匿名化する必要もあります。
    - これらの治療法で使用されるトレーサーは13ヶ月を超える寿命を持ってはいけません、そしてこの期間は新しい訪問の間に自動的に延長されてはいけません。トレーサーを通じて収集された情報は、最大25ヶ月間保管されなければなりません。

第6条 同意不要なもの

  • ユーザーの端末機器に保存されている情報へのアクセスまたはユーザーの端末機器への情報の入力がある場合、事前の同意要求は適用されない。

    - 電子通信を可能にする又は促進するという独占的な目的。または
    - ユーザーの明示的な要求に応じてオンライン通信サービスを提供するために厳密に必要。

  • 組織のプライバシーポリシーで言及される必要あり