Cookie等の追跡技術の使用に関する報告書 by アイルランド・データ保護委員会

こんにちは、丸山満彦です。

アイルランドのデータ保護委員会が、Cookie等の追跡技術の使用に関する報告書を公開していますね。。。

● Ireland - the Data Protection Commission (DPC) 

・2020.04.06 Report by the DPC on the use of cookies and other tracking technologies

この調査の目的は、Cookie等の追跡技術の企業等への導入状況を把握し、企業等が法律をどのように遵守しているかについての情報提供を求めることのようです。特に、Cookie等の追跡技術の使用に関して、どのようにユーザの同意を得ているかを調査したいと考えていたようです。

その結果、広告技術と顧客の追跡がビジネスモデルの中核をなしていることが明らかになったとのことです。。。

 

・2020.04.06 [PDF]Report by the Data Protection Commission on the use of cookies and other tracking technologies [Downloaded]

・2020.04.06 [PDF]Guidance note on cookies and other tracking technologies [Downloaded]

 

新しいCookieガイダンスの重要なポイントは次のような感じです。。。

• 組織は、不要なCookieおよび類似技術（SDK、ピクセルトラッカー、「いいね」ボタン、ソーシャル共有ツール、デバイスのフィンガープリント技術等）がサイトまたはアプリのランディングページに設定されていないことを確認する。
• Cookieバナーまたはポップアップを実装することで利用者の同意を得ることは、次の条件で許容される。
  • Cookieバナーまたはポップアップは、組織が特定の目的のためにCookie等の使用について同意を要求していることを概説し、利用者が不要なCookie等を拒否するか、Cookie等の使用に関する詳細情報を要求することができるようにしている。「サイトを継続して使用することにより、Cookieの使用に同意する」などの表現は許容されない。
  • Cookieのバナーまたはポップアップは、利用者を「拒否」ではなく「受け入れ」を誘導ように設計されていない。実際には、バナーに「承認」ボタンがある場合、バナーは「拒否」ボタン、または利用者に第二層で、Cookieの設定が管理できるようにしておかなければならない。
    
  • この第二層は、設定されているCookie等の種類と目的、およびそれらのCookie等が展開されたときに収集された情報を処理する第三者について、より詳細な情報を提供する必要がある。Cookieの種類と目的別に、事前にチェックしてはならないチェックボックスや、デフォルトで「オン」に設定してはならないスライダなどを介して、そのようなCookie等を受け入れるか拒否するかのオプションをユーザーに提供しなければならない。チェックボックスやスライダは、利用者が機能性を推測する必要がないように、たとえ二値の色の選択があったとしても、「オン」または「オフ」と明確にマークされるべきです。
    
• 利用者が、Cookieの設定をいつでも変更できるようにしなければならない。例えば、各ウェブページで利用可能なCookieボタンを使って、スライダやオン/オフのオプションを明らかにする。
• 利用者がCookieの使用に同意した記録を保存するためにCookieが使用される場合、このCookieの有効期間は6か月でなければなりません。フランスのCNILと同様に、DPCは6ヶ月後に利用者から再び同意を得ることが適切であると考えている。
• 同意の記録は、利用者の同意の表明（または撤回）が効果的に行われることを保証する実証可能な組織的および技術的手段によってバックアップする必要がある。
• Analytics Cookie、ターゲティングCookie、およびマーケティングCookieには、利用者の事前の同意が必要である。ただし、ファーストパーティの分析Cookieは潜在的にリスクが低いと見なされているため、DPCによる正式な執行措置の優先事項となることはほとんどない。
• 組織は（共同の）データコントローラーまたはデータプロセッサとして、WebサイトまたはアプリでCookie等を使用する第三者の役割を調査する必要がある。特に、第三者のアセットとプラグインの使用から生じる可能性のある共同データコントローラーの問題を調査する必要がある。必要に応じて、これらの第三者との適切なデータ処理契約を締結する必要がある。これには、処理の実際の事実が反映されている必要がある。

 

【参考】

● PrivSec Report - news

・2020.04.06 Report by the DPC on the use of cookies and other tracking technologies by PRIVSEC REPORT

● Hunton Andrews Kurth

・2020.04.08 Irish DPC Publishes New Cookie Guidance

。

-----

Guidance note on cookies and other tracking technologies

 

Contents

 

The DPC’s regulatory role in relation to cookies and tracking technologies

The ePrivacy Regulations

What are cookies?

What other types of tracking technologies are in use?

What is terminal equipment? .

What is the law on cookies and what is its purpose?

Consent

Which cookies are exempt from the requirement to obtain consent from the user or subscriber?

Do analytics cookies require consent? . Can you obtain consent for multiple purposes at the same time?

Withdrawal of consent

How do you obtain consent in practice?

Can you use implied consent for the use of cookies and tracking technologies?

Clear and comprehensive information

Transparency information and responsibilities under the GDPR

Pre-checked boxes and sliders

Requirements for the use of consent management providers (CMPs)

Requirements for cookie banners

Can you rely on the user’s browser settings to infer consent?

Confusing interfaces

Cookie lifespans

Joint controllers

Processing of personal data

Do you need to conduct a data protection impact assessment (DPIA)?

Special category data

Location tracking or derivation of location information from cookies

Compliance