« 欧州 NIS2 指令 条文 (2022.12.27) | Main | 米国 NIST サイバーセキュリティフレームワークの改訂の方向性(CSF2.0に向けて...) »

2023.01.20

EDPB 公共部門によるクラウドサービス利用のためのプライバシーに関する勧告を決定、クッキー バナータスクフォースの報告書を採択

こんにちは、丸山満彦です。

EDPBが、

  1. 公共部門によるクラウドサービス利用のためのプライバシーに関する勧告を決定し、
  2. クッキー バナータスクフォースの報告書 (2021.09.27) を採択

していますね。。。

 

EDPB

・2022.01.18 EDPB determines privacy recommendations for use of cloud services by public sector & adopts report on Cookie Banner Task Force

EDPB determines privacy recommendations for use of cloud services by public sector & adopts report on Cookie Banner Task Force EDPB、公共部門によるクラウドサービス利用のためのプライバシーに関する勧告を決定、クッキー バナータスクフォースの報告書を採択
Brussels, 18 January - Commissioner for Justice Didier Reynders participated in the Plenary meeting. He presented the draft adequacy decision for the EU-U.S. Data Privacy Framework to the Board and had an exchange of views with its Members. The Board is currently working on its opinion on the draft decision, which will be finalised in the coming weeks. ブリュッセル、1月18日 - ディディエ・レインダース欧州委員会司法担当委員は、全体会合に参加した。 同委員は、EU-米国データ・プライバシー・フレームワークの妥当性決定案を理事会に提出し、理事会メンバーとの意見交換を行った。理事会は現在、決定書案に対する意見書を作成中であり、今後数週間のうちに最終決定がなされる予定である。
The EDPB has adopted a report on the findings of its first coordinated enforcement action, which focused on the use of cloud-based services by the public sector. The EDPB underlines the need for public bodies to act in full compliance with the GDPR and includes recommendations for public sector organisations when using cloud-based products or services. In addition, a list of actions already taken by data protection authorities (DPAs) in the field of cloud computing is made available.  EDPBは、公共部門によるクラウドベースのサービスの利用に焦点を当てた、最初の協調的執行措置の結果に関する報告書を採択した。EDPBは、公共機関がGDPRを完全に遵守して行動する必要性を強調し、公共機関がクラウドベースの製品またはサービスを使用する際の推奨事項を含んでいる。さらに、クラウドコンピューティングの分野でデータ保護当局(DPA)がすでに取っている措置のリストが公開されている。 
Andrea Jelinek, Chair of the European Data Protection Board said: “The Coordinated Enforcement Framework (CEF) pilots deeper collaboration methods between DPAs to achieve better efficiency and consistency. Across Europe, public sector organisations are turning to cloud services and they face difficulties in obtaining GDPR-compliant services and products. Personal data handled by public services must be treated with utmost care, especially when processed by a third party. The EDPB CEF 2022 report provides a useful yardstick for this and I trust it will become an important point of reference for public bodies looking at sourcing GDPR-compliant cloud services.” 欧州データ保護委員会のAndrea Jelinek委員長は、次のように述べてた。「調整された執行フレームワーク(CEF)は、より良い効率性と一貫性を実現するために、DPA間のより深い協力方法を試験的に導入するものである。欧州全域で、公共機関はクラウドサービスを利用するようになっており、GDPRに準拠したサービスや製品を入手することの難しさに直面している。公共サービスが扱う個人データは、特に第三者によって処理される場合、最大限の注意を払って扱われなければなりません。EDPB CEF 2022レポートはそのための有用な基準を提供しており、GDPRに準拠したクラウドサービスの調達を検討している公共機関にとって重要な参考資料となることを信じている。」
In the course of 2022, 22 DPAs across the EEA (including the EDPS)* launched coordinated investigations into the use of cloud-based services by the public sector. 2022年の間に、EEAの22のDPA(EDPSを含む)*が、公共部門によるクラウドベースのサービス利用について協調的な調査を開始した。
Around 100 public bodies in total were addressed across the EEA, including European institutions, covering a wide range of sectors (such as health, finance, tax, education, buyers and providers of IT services). 欧州機関を含むEEA全域で、幅広い分野(医療、金融、税務、教育、ITサービスの買い手やプロバイダなど)を対象に、合計約100の公共機関が対象となった。
The CEF is a key action of the EDPB under its 2021-2023 Strategy, aimed at streamlining enforcement and cooperation among SAs. The CEF 2023 action will be on the designation and role of the Data Protection Officer (DPO). CEFは、EDPBの2021-2023年戦略における重要なアクションであり、執行とSA間の協力の合理化を目的としている。CEFの2023年のアクションは、データ保護責任者(DPO)の指定と役割に関するものである。
In addition, the EDPB adopted a report on the work undertaken by the Cookie Banner Task Force, which was established in September 2021 to coordinate the response to complaints concerning cookie banners filed with several EEA DPAs by NGO NOYB. The Task Force aimed to promote cooperation, information sharing and best practices between the DPAs, which was instrumental in ensuring a consistent approach to cookie banners across the EEA. In the report, the DPAs agreed upon a common denominator in their interpretation of the applicable provisions of the ePrivacy Directive and of the GDPR, on issues such as reject buttons, pre-ticked boxes, banner design, or withdraw icons. さらに、EDPBは、NGO NOYBが複数のEEA DPAに提出したクッキーバナーに関する苦情への対応を調整するために2021年9月に設置されたクッキーバナータスクフォースが行った作業に関する報告書を採択した。タスクフォースは、DPA間の協力、情報共有、ベストプラクティスを促進することを目的としており、EEA全体でクッキーバナーに対する一貫したアプローチを確保するために役立った。報告書では、DPAは、拒否ボタン、事前選択ボックス、バナーデザイン、または撤回アイコンなどの問題に関して、eプライバシー指令およびGDPRの適用規定の解釈における共通分母に合意している。
*Further information on national cloud projects: *各国のクラウドプロジェクトに関する詳細な情報
DE SA: EDSA entscheidet über Cookie-Banner und Cloud-Dienste DE SA: EDSAは、クッキーバナーやクラウドサービスに関する情報を提供している。
NL SA: Privacytoezichthouders wijzen overheden op vereisten bij gebruik clouddiensten NL SA: プライバシー保護団体は、クラウドサービス利用時のプライバシー保護に努める。

 

・[PDF] 2022 Coordinated Enforcement Action - use of cloud-based services by the public sector

20230120-24913

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー
In October 2020, the European Data Protection Board (EDPB) decided to set up a Coordinated Enforcement Framework (CEF), with a view to streamlining enforcement and cooperation among Supervisory Authorities (SAs), consistently with the EDPB 2021-2023 Strategy.   2020年10月、欧州データ保護理事会(EDPB)は、EDPB 2021-2023年戦略と整合的に、執行と監督官庁(SA)間の協力を合理化する目的で、調整執行枠組み(CEF)を設定することを決定した。 
In October 2021, the EDPB selected “the use of cloud in the public sector” for its 2022 Coordinated Enforcement Action.  2021年10月、EDPBは2022年の協調執行行動として「公共部門におけるクラウドの利用」を選択した。
Throughout 2022, 22 Supervisory Authorities across the EEA launched coordinated investigations into the use of cloud-based services by the public sector. The CEF was implemented at national level in one or several of the following ways: fact-finding exercise; questionnaire to identify if a formal investigation is warranted; commencement of a formal enforcement investigation, or follow-up of ongoing formal investigations.   2022年を通じて、EEAの22の監督機関は、公共部門によるクラウドベースのサービスの利用について協調して調査を開始した。CEFは、事実調査、正式な調査が必要かどうかを確認するためのアンケート、正式な執行調査の開始、進行中の正式な調査のフォローアップのいずれか、または複数の方法で、国レベルで実施された。 
Between November 2021 and January 2023, these SAs have discussed the aims and the means of their actions in the context of the CEF, and decided that a questionnaire would be sent to investigate public bodies. They drafted the questionnaire, then discussed the first results of their investigations, and the way they planned to bring public bodies to compliance through the CEF. Some elements, in particular the corrective measures they could decide at national level, are still under discussion.  2021年11月から2023年1月にかけて、これらのSAは、CEFの文脈でその行動の目的と手段を議論し、調査票を公的機関に送付することを決定した。質問票を作成した後、最初の調査結果や、CEFを通じて公的機関をコンプライアンスに適合させる方法について議論した。いくつかの要素、特に国レベルで決定できる是正措置については、まだ議論中である。
The present joint-report aggregates the findings of all the Supervisory Authorities participating in the CEF. A particular attention is paid to 8 challenges identified by SAs during the CEF action. These include issues at the pre-contractual phase relating to the performance of a Data Protection Impact Assessment (and/or a risk assessment) and the role of the parties. With regard to the contracts with the CSP, the issues of lack of contract and difficulty to negotiate a tailored contract were identified, as well as the public bodies’ knowledge or control over sub-processors. Furthermore, challenges relating to international transfers and access by foreign public authorities are raised. Finally, processing of telemetry data and auditing are discussed.   今回の共同報告書は、CEFに参加したすべての監督官庁の調査結果を集約したものである。特に、CEFの活動中にSAが特定した8つの課題に注目している。これらの課題には、データ保護影響評価(および/またはリスク評価)の実施と当事者の役割に関する契約前の段階での問題が含まれている。CSPとの契約に関しては、契約書の欠如やニーズに合わせた契約交渉の難しさ、また、公共機関がサブプロセッサーを把握・管理しているかどうかという問題が確認された。さらに、国際的な移転や外国の公的機関によるアクセスに関する課題も挙げられている。最後に、テレメトリーデータの処理と監査について議論している。 
Taking into account the possible sensitive nature and large amounts of data processed by public bodies, it is however essential that the fundamental right to the protection of personal data is guaranteed by all public administrations. The EDPB therefore underlines the need for public bodies to act in full compliance with the GDPR when using cloud-based products or services. In this regard, the report also provides a list of points of attention that stakeholders should take into account when concluding agreements with CSPs:  公共機関によって処理されるデータの機密性と量の多さを考慮すると、個人データ保護の基本的な権利がすべての公共機関によって保証されることが不可欠である。したがって、EDPBは、公共機関がクラウドベースの製品やサービスを利用する際に、GDPRを完全に遵守して行動する必要性を強調している。また、この点に関して、CSPと契約を締結する際に関係者が留意すべき点を挙げている。
•       Carry out a DPIA;  ・DPIAを実施すること。
•       Ensure that the roles of the involved parties are clearly and unequivocally determined;  ・関係者の役割が明確かつ明白に決定されていることを確認すること。
•       Ensure the CSP acts only on behalf of and according to the documented instructions of the public body and identify any possible processing by the CSP as a controller;  ・CSP が公的機関に代わって、かつ公的機関の文書化された指示にのみ従って行動することを確認し、CSP が管理者として行う可能性がある処理を特定すること。
•       Ensure that a meaningful way to object to new sub processors is possible;  ・新しいサブプロセッサーに異議を唱える有意義な方法が可能であることを確認すること。
•       Ensure that the personal data are determined in relation to the purposes for which they are processed;  ・個人データが処理される目的との関連で決定されることを確実にすること。
•       Promote the DPO’s involvement;  ・DPOの関与を促進すること。
•       Cooperate with other public bodies in negotiating with the CSPs;  ・CSPとの交渉において他の公共機関と協力すること。
•       Carry out a review to assess if processing is performed in accordance with the DPIA;  ・DPIAに従って処理が行われているかどうかを評価するためのレビューを実施すること。
•       Ensure that the procurement procedure already envisages all the necessary requirements to achieve compliance with the GDPR;  ・調達手順が、GDPRの遵守を達成するために必要なすべての要件をすでに想定していることを確認すること。
•       Identify which transfers may take place in the context of routine services provision, and in case of processing of personal data for the CSPs’ own business purposes (see related point) and ensure Chapter V provisions of the GDPR are met, also by identifying and adopting supplementary measures when necessary;  ・通常のサービス提供の文脈で、およびCSP自身の事業目的のために個人データを処理する場合に、どのような移転が行われるかを特定し(関連点を参照)、GDPRの第5章の規定が満たされるようにし、必要に応じて補足措置を特定および採用することも行う。
•       Analyse if a legislation of a third country would apply to the CSP and would lead to the possibility to address access requests to data stored by the CSP in the EU;  ・第三国の法律がCSPに適用され、CSPがEU内で保管するデータへのアクセス要求に対応する可能性が生じるかどうかを分析する。
•       Examine closely and if necessary renegotiate the contract;  ・契約を精査し、必要であれば再交渉する。
•       Verify the conditions under which the public body is allowed for and can contribute to audits and ensure that they are in place.  ・公的機関が監査に貢献できる条件を確認し、その条件を満たしていることを確認する。
The action undertaken by SAs in the CEF are still ongoing at national level, especially when formal investigations were launched. Accordingly, this document does not constitute a definitive statement of the actions carried out within the CEF as the purpose of this report is not to conclude on the measures to be adopted but to reflect on the actions undertaken by competent SAs and identify the possible points of attention. It may need to be updated in the course of 2023 to take into account the progress of the procedures which have not yet been completed to date and given the issues identified, further complementary work on general recommendations to public actors concerning the use of cloud service providers could be foreseen.  CEFのSAが行った行動は、特に正式な調査が開始された場合、国レベルではまだ進行中である。したがって、この報告書の目的は、採用すべき措置について結論を出すことではなく、管轄のSAによって行われた措置を振り返り、考えられる注意点を特定することであるため、この文書はCEF内で行われた措置の決定的な声明ではありません。本報告書は、2023年中に、現在までに完了していない手続きの進捗を考慮し、更新する必要があるかもしれない。また、特定された問題を考慮し、クラウドサービスプロバイダの使用に関する公的機関への一般勧告に関するさらなる補完的な作業も予見され得る。

 

目次...
1 INTRODUCTION 1 序論
2 STATISTICS 2 統計
3  CHALLENGES IDENTIFIED DURING THE CEF ACTION 3 CEFの活動で明らかになった課題
3.1  Data protection impact assessment (DPIA) 3.1 データ保護影響評価(DPIA)
3.2  Role of the parties 3.2 当事者の役割
3.3  Negotiating tailored contracts between public bodies and cloud service providers 3.3 公共機関とクラウドサービスプロバイダの間で交わされる個別契約の交渉
3.4  Sub-processors 3.4 サブプロセッサー
3.5  International transfers 3.5 国際的な移転
3.6  Risk of access by foreign governments when using non-EU CSPs storing data in the EEA 3.6 EEAにデータを保管するEU域外のCSPを利用する際の外国政府によるアクセスのリスク
3.7  Telemetry/diagnostic information 3.7 テレメトリー/診断情報
3.8 Auditing 3.8 監査
4 ACTIONS TAKEN BY SAS 4 SASがとるべき行動
5 POINTS OF ATTENTION FOR PUBLIC BODIES 5 公的機関の注意点
6 CONCLUSION 6 結論
Annex 1: Definitions 附属書 1: 定義

20230120-25212

 


 

・2021.09.27 EDPB establishes cookie banner taskforce

EDPB establishes cookie banner taskforce EDPBがクッキー・バナーのタスクフォースを設立
During its latest plenary, the EDPB decided to set up a taskforce to coordinate the response to complaints concerning cookie banners filed with several EEA SAs by NOYB. EDPBは最新の総会において、NOYBが複数のEEA SAに提出したクッキーバナーに関する苦情への対応を調整するタスクフォースの設立を決定しました。
This taskforce was established in accordance with Art. 70 (1) (u) GDPR and aims to promote cooperation, information sharing and best practices between the SAs. In particular, the taskforce will: このタスクフォースは、GDP70 (1) (u)に基づいて設立されました。70 (1) (u) GDPRに基づき設立され、SA間の協力、情報共有、ベストプラクティスを促進することを目的としている。特に、タスクフォースは以下を行う。
・exchange views on legal analysis and possible infringements; ・法的分析および違反の可能性について意見交換を行う。
・provide support to activities on the national level; ・国家レベルでの活動に対するプロバイダの支援。
・streamline communication. ・コミュニケーションの効率化

 

・2023.01.18 [PDF] Report of the work undertaken by the Cookie Banner Taskforce

20230120-30356

 

Report of the work undertaken by theCookie Banner Taskforce クッキーバナータスクフォースによる作業報告書
Table of Contents 目次
DISCLAIMER 免責事項
1. APPLICABLE LEGAL FRAMEWORK 1. 適用される法的枠組み
2. APPLICATION OF THE OSS 2. OSSの適用
3. TYPE A PRACTICE – “NO REJECT BUTTON ON THE FIRST LAYER” 3. タイプAの慣行 -「第一階層に拒否ボタンがない」
4. TYPE B PRACTICE – “PRE-TICKED BOXES” 4. タイプBの慣行 - 「あらかじめチェックされたボックス」
5. TYPE C PRACTICE 5. タイプCの慣行
6. TYPE D & E PRACTICES : “DECEPTIVE BUTTON COLOURS” & “DECEPTIVE BUTTON CONTRAST” 6. タイプDとEの慣行:「ボタンの色のごまかしとボタンのコントラストのごまかし」
7. TYPE H PRACTICE: “LEGITIMATE INTEREST CLAIMED, LIST OF PURPOSES” 7. タイプHの慣行:「正当な利益の主張、目的の一覧」
8. TYPE I PRACTICE: “INACCURATELY CLASSIFIED « ESSENTIAL » COOKIES” 8. タイプ Iの慣行:「不正確に分類された「不可欠な」クッキー」
9. TYPE K PRACTICE: “NO WITHDRAW ICON 9. タイプKの慣行:「撤回しないアイコン」
DISCLAIMER 免責事項
The positions presented in this document result from the coordination of the members of the TF with a view to handling the “cookies banner” complaints received from NOYB. They reflect the common denominator agreed by the SAs in their interpretation of the applicable provisions of the ePrivacy Directive, and of the applicable provisions of the GDPR, for the analysis to be led when handling these complaints. These positions reflect a minimum threshold in this multi-layered legal framework to assess the placement/reading of cookies and subsequent processing of the data collected. They do not constitute stand-alone recommendations or findings to obtain a greenlight from a competent authority. The positions do not prejudge the analysis that will have to be made by the authorities of each complaint and each website concerned. These positions have to be combined with the application of additional national requirements stemming from the national laws transposing the ePrivacy Directive in the Member States, as well as to further clarifications and guidance provided by the national competent authorities to enforce the law transposing the ePrivacy Directive at national level, which remain fully applicable. この文書に示された見解は、NOYB から寄せられた「クッキー・バナー」に対する苦情を処理するため の TF メンバーの調整の結果得られたものである。これらの見解は、eプライバシー指令の適用条項およびGDPRの適用条項の解釈において、これらの苦情を処理する際に導くべき分析について、SAが合意した共通項を反映している。これらの見解は、クッキーの配置/読み取りと、それに続く収集データの処理を評価するための、この多層的な法的枠組みにおける最小限の閾値を反映したものである。これらは、所轄官庁からグリーンライトを得るための独立した勧告や調査結果を構成するものではありません。この見解は、各苦情や関係する各ウェブサイトの当局が行わなければならない分析を予見するものではありません。これらの見解は、加盟国におけるeプライバシー指令の国内法から生じる追加的な国内要件の適用、およびeプライバシー指令の国内法への置き換えを実施するために各国の主管庁が提供するさらなる明確化およびガイダンスと組み合わせる必要があり、これらは引き続き完全に適用可能なものとなっている。
Following thirteen meetings of the taskforce members to coordinate their actions in handling the complaints received from NOYB, the following points were noted: NOYBから寄せられた苦情への対応について、タスクフォースメンバーが13回の会合を開き、次のような指摘がなされた。
1.     APPLICABLE LEGAL FRAMEWORK 1. 適用される法的枠組み
1.          Where the complaints concern the placement or reading of cookies the delegations confirmed that the applicable framework is only the national law transposing the ePrivacy Directive to the placement of cookies[1]. 1.          苦情がクッキーの配置または読み取りに関するものである場合、適用される枠組みは、クッキーの配置にeプライバシー指令を適用した国内法のみであることを代表団が確認した[1]。
2.          Concerning the subsequent processing activities undertaken by the controller of data, meaning the processing which takes place after storing or gaining access to information stored in the terminal equipment of a user in accordance with Article 5(3) Directive 2002/58/EC (for example, the placement or reading of cookies), the delegations confirmed that the applicable framework is the GDPR  (including to consent, even if given at the same moment of the placement of cookies, as far as this consent constitutes the legal basis of the subsequent processing), in line with the conclusions of EDPB Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR[2]. 2.          データの管理者によって行われるその後の処理活動、すなわち、指令2002/58/EC第5条3項に従ってユーザーの端末機器に保存された情報へのアクセスを取得した後に行われる処理(例えば、クッキーの配置または読み取り)に関して代表団は、eプライバシー指令とGDPRの相互作用に関するEDPB意見書5/2019の結論に沿って、適用される枠組みはGDPR(クッキーの配置と同じ瞬間に与えられたとしても、この同意がその後の処理の法的根拠を構成する限り、同意に対するものも含む)であることを確認した[2]。
3.          In accordance with the ePrivacy framework, it was recalled that certain concepts from the GDPR (e.g. the conditions for valid consent[3] and the right to information) are indispensable to assess whether there is an infringement of the national law transposing the ePrivacy Directive or not. 3.         eプライバシーの枠組みに従って、GDPRからの一定の概念(例えば、有効な同意の条件[3]や情報を得る権利)が、eプライバシー指令を移項した国内法の侵害があるか否かを評価するために不可欠であることが想起された。
2.     APPLICATION OF THE OSS 2. OSS の適用
4.          Delegations recalled that the OSS mechanism does not apply to issues that fall under the ePrivacy Directive. 4.          代表団は、OSS の仕組みが eプライバシー 指令に該当する問題には適用されないことを想起した。
5.          When the GDPR applies, the taskforce members favoured the position that article 4(23)(b) may apply but does not per se apply to complaints against website owners just because you can access the respective website from all Member States. The CSAs will be identified based on the factual elements to conclude on cross-border cases. 5.          GDPRが適用される場合、タスクフォースのメンバーは、4条23項(b)は適用されるかもしれないが、すべての加盟国からそれぞれのウェブサイトにアクセスできるからといって、それ自体がウェブサイト所有者に対する苦情に適用されるわけではないとの立場を支持した。CSAは、クロスボーダーのケースについて結論を出すために、事実上の要素に基づいて特定されることになる。
3.     TYPE A PRACTICE – “NO REJECT BUTTON ON THE FIRST LAYER” 3. タイプAの慣行 -「第一階層に拒否ボタンがない」

6.          It appears that some cookie banners displayed by several controllers contain a button to accept the storage of cookies and a button that allows the data subject to access further options, but without containing a button to reject the cookies. 6.          いくつかの管理者によって表示されるクッキーバナーには、クッキーの保存を承諾するボタンと、データ対象者がさらなるオプションにアクセスするためのボタンが含まれているが、クッキーを拒否するボタンが含まれていないようである。
7.          As a preliminary remark, the task force members recalled that by default, no cookies which require consent can be set without a consent and that consent must be expressed by a positive action on the part of the user. 7.          予備的な発言として、タスクフォースのメンバーは、デフォルトでは、同意が必要なクッキーは同意なしに設定できず、同意はユーザー側の積極的な行動によって表明されなければならないことを想起した。
8.          When authorities were asked whether they would consider that a banner which does not provide for accept and refuse/reject/not consent options on any layer with a consent button is an infringement of the ePrivacy Directive, a vast majority of authorities considered that the absence of refuse/reject/not consent options on any layer with a consent button of the cookie consent banner is not in line with the requirements for a valid consent and thus constitutes an infringement. Few authorities considered that they cannot retain an infringement in this case as article 5(3) of the ePrivacy Directive does not explicitly mentioned a “reject option” to the deposit of cookies. 8.          同意ボタンのある層で承諾と拒否/拒絶/同意しないオプションを提供しないバナーはeプライバシー指令の侵害であると考えるかどうかを当局に尋ねたところ、大多数の当局は、クッキー同意バナーの同意ボタンのある層に拒否/拒絶/同意しないオプションがないことは、有効な同意に対する要求と一致しないため侵害を構成すると考えた。eプライバシー指令の5条3項がクッキーの寄託に「拒否オプション」を明示的に言及していないため、本件の侵害を保持できないと考える当局は少数であった。
4.     TYPE B PRACTICE – “PRE-TICKED BOXES” 4. タイプBの慣行 - 「あらかじめチェックされたボックス」
9.          It appears that several controllers provide users with several options (typically, representing each category of cookies the controller wishes to store) with pre-ticked boxes on the second layer of the cookie banner (after the user clicked on the “Settings” button of the first layer). 9.          いくつかのプロバイダが、クッキーバナーの第二層(ユーザーが第一層の「設定」ボタンをクリックした後)で、いくつかの選択肢(典型的には、コントローラが保存したいクッキーの各カテゴリーを表す)をあらかじめチェックしたボックスでユーザーに提供していると思われる。
10.       The taskforce members confirmed that pre-ticked boxes to opt-in do not lead to valid consent as referred to either in the GDPR (see in particular recital 32 “Silence, pre-ticked boxes or inactivity should not therefore constitute consent.”) or in Article 5(3) of the ePrivacy Directive. 10.       タスクフォースのメンバーは、オプトインのための事前選択ボックスは、GDPR(特に説明32「沈黙、事前選択ボックス、非アクティブは、したがって、同意を構成してはならない」を参照)またはeプライバシー指令の第5条(3)で言及されている有効な同意につながらないことを確認した。
5.     TYPE C PRACTICE 5. タイプCの慣行
11.       Deceptive “Link Design”It appears that some cookie banners displayed by several controllers contain a link, not a button, as an option to reject the deposit of cookies (direct link to reject or link to a second layer where a user can reject the deposit of cookies). 11.       欺瞞的な「リンクデザイン」複数の管理者によって表示される一部のクッキーバナーには、クッキーの預託を拒否するオプションとして、ボタンではなくリンク(拒否への直接リンクまたはユーザーがクッキーの預託を拒否できる第二層へのリンク)が含まれていると思われる。
12.       The taskforce members agreed that in any case, there should be a clear indication on what the banner is about, on the purpose of the consent being sought and on how to consent to cookies. 12.       タスクフォースのメンバーは、いかなる場合でも、バナーの内容、同意を求める目的、およびクッキーに同意する方法について、明確な表示を行うべきであることに同意した。
13.       The members agreed that for the consent to be valid, the user should be able to understand what they consent to and how to do so. In order for a valid consent to be freely given, the taskforce members agreed that in any case a website owner must not design cookie banners in a way that gives users the impression that they have to give a consent to access the website content, nor that clearly pushes the user to give consent (one way could be on the contrary to allow the continuation of the navigation without cookies from the first level in particular for example). 13.       同意が有効であるためには、ユーザーが何にどのように同意するのかを理解できるようにする必要があることに同意した。有効な同意が自由に与えられるために、タスクフォースのメンバーは、いかなる場合でも、ウェブサイトの所有者は、ウェブサイトのコンテンツにアクセスするために同意を与えなければならないような印象をユーザーに与えたり、同意を与えることを明確に押し付けるような方法でクッキーバナーを設計してはならないことに同意した(例えば、特に最初のレベルからクッキーなしでナビゲーションを継続できるようにすることも、その方法の一つと考えられる)。
14.       The taskforce members agreed that the following examples do not lead to valid consents (nonexhaustive list): 14.       タスクフォースのメンバーは、以下の例は有効な同意につながらないということで合意した(非網羅的なリスト)。
-       the only alternative action offered (other than granting consent) consists of a link behind wording such as ‘refuse’ or ‘continue without accepting’ embedded in a paragraph of text in the cookie banner, in the absence of sufficient visual support to draw an average user’s attention to this alternative action; ・提供される唯一の代替行為(同意の付与以外)が、平均的なユーザーの注意をこの代替行為に向ける十分な視覚的サポートがないまま、クッキーバナーのテキストの段落に埋め込まれた「拒否」または「受け入れずに続ける」といった文言の後ろのリンクで構成されている場合。
-       the only alternative action offered (other than granting consent) consists of a link behind wording such as ‘refuse’ or ‘continue without accepting’ placed outside the cookie banner where the buttons to accept cookies are presented, in the absence of sufficient visual support to draw the users’ attention to this alternative action outside the frame; ・提供される唯一の代替行為(同意の付与以外)が、クッキーを受け入れるボタンが表示されるクッキーバナーの外側に配置された「拒否」または「受け入れずに続ける」などの文言の背後にあるリンクで構成されており、フレームの外側のこの代替行為にユーザーの注意を引くための十分な視覚的サポートがない場合。
6. TYPE D & E PRACTICES : “DECEPTIVE BUTTON COLOURS” & “DECEPTIVE BUTTON CONTRAST” 6. タイプDとEの慣行:「ボタンの色のごまかしとボタンのコントラストのごまかし」
15.       It appears that the configuration of some cookie banners in terms of colours and contrasts of the buttons (“contrast ratio between the accept button and the background” – type D practice) could lead to a clear highlight of the “accept all” button over the available options. 15.       ボタンの色とコントラストに関するいくつかのクッキーバナーの構成(「承諾ボタンと背景のコントラスト比」-タイプDの慣行)は、利用可能な選択肢の中で「すべて承諾」ボタンを明確に強調することにつながる可能性があるようである。
16.       The taskforce members agreed to examine type D and E practices together as the issues are linked and raise similar points of discussion. 16.       タスクフォースメンバーは、タイプ D とタイプ E の慣行は、問題が関連しており、同様の論点を提起しているため、一緒に検討することに合意した。
17.       The taskforce members agreed that a general banner standard concerning colour and/or contrast cannot be imposed on data controllers. In order to assess the conformity of a banner, a case-by-case verification must be carried out in order to check that the contrast and colours used are not obviously misleading for the users and do not result in an unintended and, as such, invalid consent from them. As a result, it was also agreed that a case-by-case analysis would be necessary to address specific cases, although some examples of features manifestly contrary to the ePrivacy Directive provisions have been identified. 17.       タスクフォースメンバーは、色やコントラストに関する一般的なバナー標準をデータ管理者に課すことはできないことに合意した。バナーの適合性を評価するためには、使用されているコントラストと色が明らかに利用者を誤解させるものではなく、意図しない、つまり利用者の無効な同意につながらないことを確認するために、ケースバイケースで検証を行う必要がある。その結果、eプライバシー指令の規定に明らかに反する機能の例がいくつか確認されたが、特定のケースに対応するためには、ケースバイケースの分析が必要であることも合意された。
18.       Based on concrete examples, the taskforce members took the view that at least this practice could be  manifestly misleading for users: 18.       具体的な事例に基づいて、タスクフォースのメンバーは、少なくともこのような慣行は、利用者を明らかに誤解させる可能性があるという見解を示した。
- an alternative action is offered (other than granting consent) in the form of a button where the contrast between the text and the button background is so minimal that the text is unreadable to virtually any user. - テキストとボタンの背景のコントラストが最小限のため、事実上すべてのユーザーがテキストを読むことができないボタンの形で、(同意の付与以外の)代替アクションが提供されている場合。
19.       While the design choices above are considered problematic, the taskforce members reiterated that each specific cookie banner needs to be assessed on a case-by-case basis. 19.       上記のようなデザインの選択は問題であると考えられているが、タスクフォースのメンバーは、特定のクッキーバナーはケースバイケースで評価される必要があることを再確認している。
7.     TYPE H PRACTICE: “LEGITIMATE INTEREST CLAIMED, LIST OF PURPOSES” 7. タイプHの慣行:「正当な利益の主張、目的の一覧」
20.       It appears that some controllers put in place a banner which highlights the possibility of accepting the read/write operation at the first level (of the banner) but does not include an option to refuse at this level, which can lead the average user to believe that he has no possibility of objection to the deposit of cookies at all, and, incidentally, to the subsequent processing that results from them. 20.       一部の管理者は、(バナーの)最初のレベルで読み取り/書き込み操作を受け入れる可能性を強調するバナーを設置しているようであるが、このレベルで拒否するオプションを含んでいないため、一般ユーザーは、クッキーの預託と、ついでにその結果生じるその後の処理に対して異議を唱える可能性が全くないと考える可能性がある。
21.       In addition, at the second level (of the banner), a distinction is made between the refusal given to read/write operations and the potential objection to further processing presented as falling within the legitimate interest of the data controller. 21.       さらに、(バナーの)第二のレベルでは、読み取り/書き込み操作に与えられる拒否と、情報管理者の正当な利益の範囲内にあるものとして提示されるさらなる処理に対する拒否の可能性とが区別されます。
22.       In those cases, it appears that:  22.      それらの場合、以下のように思われる。
-       The controller relied on legitimate interests under article 6(1)(f) GDPR for different processing activities as, for example, “Create a personalised content profile” or “Select personalised ads” whereas it could be considered that no overriding legitimate interest would exist for such processing activities. ・管理者は、例えば「パーソナライズされたコンテンツプロファイルの作成」または「パーソナライズされた広告の選択」のような異なる処理活動に対して、GDPR第6条第1項(f)に基づく正当な利益に依拠したが、そのような処理活動には優先する正当な利益が存在しないと考えられる。
-       The integration of this notion of legitimate interest for the subsequent processing “in the deeper layers of the banner” could be considered as confusing for users who might think they have to refuse twice in order not to have their personal data processed. ・この正当な利益の概念を「バナーのより深い層」の後続処理に統合することは、個人データを処理させないために二度拒否しなければならないと考えるユーザーにとって、混乱を招くと考えられる。
23.       The taskforce members agreed that whether the subsequent processing based on cookies is lawful requires to determine if: 23.       タスクフォースのメンバーは、クッキーに基づく後続の処理が適法であるかどうかは、以下の点を判断する必要があることに合意した。
-       the storage/gaining of access to information through cookies or similar technologies is done in compliance with Article 5(3) ePrivacy directive (and the national implementing rules). ・クッキーまたは類似の技術による情報の保存/アクセス取得が、eプライバシー指令(および国内実施規則)第5条3項を遵守して行われるかどうか。
-       any subsequent processing is done in compliance with the GDPR. ・その後の処理がGDPRに準拠して行われているかどうか。
24.       In this regard, the taskforce members took the view that non-compliance found concerning Art. 5 (3) in the ePrivacy directive (in particular when no valid consent is obtained where required), means that the subsequent processing cannot be compliant with the GDPR[4]. Also, the TF members confirmed that the legal basis for the placement/reading of cookies pursuant to Article 5 (3) cannot be the legitimate interests of the controller. 24.       この点に関して、タスクフォースのメンバーは、eプライバシー指令の第5条3項に関して発見された非遵守が、GDPRに適合しているとの見解を示した。この点に関して、タスクフォースのメンバーは、eプライバシー指令の第5条(3)に関してコンプライアンス違反が見つかった場合(特に、必要な場合に有効な同意が得られない場合)、その後の処理がGDPR[4]に準拠することができないことを意味するとの見解を示した。また、TFメンバーは、第5条(3)に基づくクッキーの配置/読み込みの法的根拠は、管理者の正当な利益ではありえないことを確認している。
25.       The TF members agreed to resume discussions on this type of practice should they encounter concrete cases where further discussion would be necessary to ensure a consistent approach. 25.       TFメンバーは、一貫したアプローチを確保するためにさらなる議論が必要となる具体的なケースに遭遇した場合、この種の実務に関する議論を再開することに合意した。
8.     TYPE I PRACTICE: “INACCURATELY CLASSIFIED « ESSENTIAL » COOKIES” 8. タイプ Iの慣行:「不正確に分類された「不可欠な」クッキー」
26.       It appears that some controllers classify as “essential” or “strictly necessary” cookies and processing operations which use personal data and serve purposes which would not be considered as “strictly necessary” within the meaning of Article 5(3) ePrivacy Directive or the ordinary meaning of “strictly necessary” or “essential” under the GDPR. 26.       一部の管理者は、eプライバシー指令第5条3項の意味またはGDPRの「厳密に必要」もしくは「不可欠」の通常の意味において「厳密に必要」とみなされない個人データを使用し、目的を果たすクッキーおよび処理操作を「不可欠」または「厳密に必要」と分類しているようである。
27.       Taskforce members agreed that the assessment of cookies to determine which ones are essential raises practical difficulties, in particular due to the fact that the features of cookies change regularly, which prevents the establishment of a stable and reliable list of such essential cookies. 27.       タスクフォースのメンバーは、どのクッキーが必須であるかを決定するためのクッキーの評価は、特にクッキーの機能が定期的に変化し、そのような必須クッキーの安定した信頼できるリストの確立を妨げるという事実のために、実用上の困難をもたらすということに同意した。
28.       The existence of tools to establish the list of cookies used by a website has been discussed, as well as the responsibility of website owners to maintain such lists, and to provide them to the competent authorities where requested and to demonstrate the « essentiality » of the cookies listed. 28.       ウェブサイトが使用するクッキーのリストを作成するツールの存在と、そのようなリストを維持し、要求に応じて所轄官庁に提供し、リストされたクッキーの「必須性」を証明するウェブサイト所有者の責任について議論された。
29.       On that point, it has been mentioned that specific tools exist and may be used to analyse a website and create a report that shows all the cookies that were placed when visiting the website. However, the only available tools do not allow to check the nature of the cookies but only to list the cookies placed in order to ask the website owner to provide documentation on their purposes. These tools are thus an additional help for the competent authorities to seek further clarifications and information from the website owners in addition to the information also provided on the website. 29.       この点については、特定のツールが存在し、ウェブサイトを分析し、ウェブサイトを訪問したときに配置されたすべてのクッキーを示すレポートを作成するために使用することができることが言及されている。しかし、利用可能な唯一のツールは、クッキーの性質をチェックすることはできず、ウェブサイトの所有者にその目的に関する文書を提供するよう求めるために、置かれたクッキーをリストすることだけを可能にします。したがって、これらのツールは、ウェブサイト上で提供される情報に加えて、管轄当局がウェブサイトの所有者にさらなる説明と情報を求めるための追加的な助けとなるものである。
30.       The opinion n°04/2012 on Cookie Consent Exemption of WP 29 has also been recalled in relation to the criteria mentioned to assess which cookies are essential, and in particular the fact that cookies allowing website owners to retain the preferences expressed by users, regarding a service, should be deemed essential. 30.       WP29のクッキーに関する同意の免除に関する意見n°04/2012も、どのクッキーが必須かを評価するために言及された基準、特にサービスに関してユーザーが表明した好みをウェブサイト所有者が保持できるクッキーが必須とみなされるべきという事実に関連して、想起されている。
9.     TYPE K PRACTICE: “NO WITHDRAW ICON” 9. タイプKの慣行:「撤回しないアイコン」
31.       It appears that where controllers provide an option allowing to withdraw consent, different forms of options are displayed. In particular, some controllers have not chosen to use the possibility to show a small hovering and permanently visible icon on all pages of the website that allows data subjects to return to their privacy settings, where they can withdraw their consent. 31.       管理者が同意の撤回を可能にするオプションを提供する場合、異なる形式のオプションが表示されるようである。特に、一部の管理者は、データ対象者がプライバシー設定に戻り、そこで同意を撤回できるようにするために、ウェブサイトのすべてのページに小さなカーソルを合わせて常時表示するアイコンを表示する可能性を選択していないようである。
32.       Website owners should put in place easily accessible solutions allowing users to withdraw their consent at any time, such as an icon (small hovering and permanently visible icon) or a link placed on a visible and standardized place. 32.       ウェブサイトの所有者は、ユーザーがいつでも同意を撤回できるよう、アイコン(小さなアイコン)やリンクなど、目につきやすく標準的な場所に、簡単にアクセスできるソリューションを設置する必要がある。
33.       The ePrivacy Directive’s reference to consent in the GDPR includes both a reference to the definition of consent (article 4 of the GDPR) as well as to the conditions of it (article 7 of the GDPR). 33.       eプライバシー指令のGDPRにおける同意への言及は、同意の定義(GDPRの第4条)だけでなく、その条件(GDPRの第7条)への言及も含んでいる。
34.       In addition to the requirements for the collection of consent to be valid in accordance with the GDPR and under Article 5(3) ePrivacy Directive, three additional cumulative conditions are mandatory (i) the possibility to withdraw consent, (ii) the ability to withdraw consent at any time, (iii) withdrawal of consent must be as easy as to give consent. 34.       GDPRとeプライバシー指令第5条3項に基づく同意の収集が有効であるための要件に加え、さらに3つの累積的条件が必須である(i)同意を撤回できること、(ii)いつでも同意を撤回できること、(iii)同意を撤回することは同意を与えることと同じくらい容易でなければならない。
35.       However, website owners can only be imposed that easily accessible solutions are implemented and displayed once consent has been collected, but they cannot be imposed a specific withdrawal solution, and in particular to set up a hovering solution for the withdrawal of consent to the deposit of cookies and other trackers. A case-by-case analysis of the solution displayed to withdraw consent will always be necessary. In this analysis, it must be examined whether, as a result, the legal requirement that it is as easy to withdraw as to give consent is fulfilled. 35.       しかし、ウェブサイトの所有者は、同意が収集された後、簡単にアクセスできるソリューションが実装されて表示されていることを課すことができるが、彼らは特定の撤退ソリューションを課すことはできない、特にクッキーやその他のトラッカーの堆積への同意を撤回するためのホバリングソリューションを設定する。同意を撤回するために表示されるソリューションについては、常にケースバイケースの分析が必要となる。この分析では、結果として、同意を与えるのと同じくらい簡単に撤回できるという法的要件が満たされているかどうかを検証する必要がある。
[1] In accordance with article 15.3 of ePrivacy directive, and as it has been done in the context of these works, the EDPB shall also carry out its tasks with regard to matters covered by the ePrivacy Directive [1] eプライバシー指令の第15.3条に従い、またこれらの作業の文脈で行われているように、EDPBはeプライバシー指令の対象となる事項に関してもその任務を遂行するものとする。
[2] See also the EDPB Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications. [2] 接続された車両及びモビリティ関連アプリケーションの文脈における個人データの処理に関するEDPBガイドライン01/2020も参照のこと。
[3] By taking into consideration the EDPB Guidelines 05/2020 on consent under Regulation 2016/679 4 The names of the violations used in the complaints have been kept. [3] 規制2016/679に基づく同意に関するEDPBガイドライン05/2020を考慮することにより 4 苦情に使用された違反の名称は保管されている。
[4] See EDPB guidelines on connected vehicles; also see ECJ C-597/19 para. 118. [4] コネクテッドビークルに関するEDPBガイドライン参照、またECJ C-597/19 para. 118.

 

 

 

 

EDPB determines privacy recommendations for use of cloud services by public sector & adopts report on Cookie Banner Task Force EDPB、公共部門によるクラウドサービス利用のためのプライバシーに関する勧告を決定、クッキー バナータスクフォースの報告書を採択
Brussels, 18 January - Commissioner for Justice Didier Reynders participated in the Plenary meeting. He presented the draft adequacy decision for the EU-U.S. Data Privacy Framework to the Board and had an exchange of views with its Members. The Board is currently working on its opinion on the draft decision, which will be finalised in the coming weeks. ブリュッセル、1月18日 - ディディエ・レインダース欧州委員会司法担当委員は、全体会合に参加した。 同委員は、EU-米国データ・プライバシー・フレームワークの妥当性決定案を理事会に提出し、理事会メンバーとの意見交換を行った。理事会は現在、決定書案に対する意見書を作成中であり、今後数週間のうちに最終決定がなされる予定である。
The EDPB has adopted a report on the findings of its first coordinated enforcement action, which focused on the use of cloud-based services by the public sector. The EDPB underlines the need for public bodies to act in full compliance with the GDPR and includes recommendations for public sector organisations when using cloud-based products or services. In addition, a list of actions already taken by data protection authorities (DPAs) in the field of cloud computing is made available.  EDPBは、公共部門によるクラウドベースのサービスの利用に焦点を当てた、最初の協調的執行措置の結果に関する報告書を採択した。EDPBは、公共機関がGDPRを完全に遵守して行動する必要性を強調し、公共機関がクラウドベースの製品またはサービスを使用する際の推奨事項を含んでいる。さらに、クラウドコンピューティングの分野でデータ保護当局(DPA)がすでに取っている措置のリストが公開されている。 
Andrea Jelinek, Chair of the European Data Protection Board said: “The Coordinated Enforcement Framework (CEF) pilots deeper collaboration methods between DPAs to achieve better efficiency and consistency. Across Europe, public sector organisations are turning to cloud services and they face difficulties in obtaining GDPR-compliant services and products. Personal data handled by public services must be treated with utmost care, especially when processed by a third party. The EDPB CEF 2022 report provides a useful yardstick for this and I trust it will become an important point of reference for public bodies looking at sourcing GDPR-compliant cloud services.” 欧州データ保護委員会のAndrea Jelinek委員長は、次のように述べてた。「調整された執行フレームワーク(CEF)は、より良い効率性と一貫性を実現するために、DPA間のより深い協力方法を試験的に導入するものである。欧州全域で、公共機関はクラウドサービスを利用するようになっており、GDPRに準拠したサービスや製品を入手することの難しさに直面している。公共サービスが扱う個人データは、特に第三者によって処理される場合、最大限の注意を払って扱われなければなりません。EDPB CEF 2022レポートはそのための有用な基準を提供しており、GDPRに準拠したクラウドサービスの調達を検討している公共機関にとって重要な参考資料となることを信じている。」
In the course of 2022, 22 DPAs across the EEA (including the EDPS)* launched coordinated investigations into the use of cloud-based services by the public sector. 2022年の間に、EEAの22のDPA(EDPSを含む)*が、公共部門によるクラウドベースのサービス利用について協調的な調査を開始した。
Around 100 public bodies in total were addressed across the EEA, including European institutions, covering a wide range of sectors (such as health, finance, tax, education, buyers and providers of IT services). 欧州機関を含むEEA全域で、幅広い分野(医療、金融、税務、教育、ITサービスの買い手やプロバイダなど)を対象に、合計約100の公共機関が対象となった。
The CEF is a key action of the EDPB under its 2021-2023 Strategy, aimed at streamlining enforcement and cooperation among SAs. The CEF 2023 action will be on the designation and role of the Data Protection Officer (DPO). CEFは、EDPBの2021-2023年戦略における重要なアクションであり、執行とSA間の協力の合理化を目的としている。CEFの2023年のアクションは、データ保護責任者(DPO)の指定と役割に関するものである。
In addition, the EDPB adopted a report on the work undertaken by the Cookie Banner Task Force, which was established in September 2021 to coordinate the response to complaints concerning cookie banners filed with several EEA DPAs by NGO NOYB. The Task Force aimed to promote cooperation, information sharing and best practices between the DPAs, which was instrumental in ensuring a consistent approach to cookie banners across the EEA. In the report, the DPAs agreed upon a common denominator in their interpretation of the applicable provisions of the ePrivacy Directive and of the GDPR, on issues such as reject buttons, pre-ticked boxes, banner design, or withdraw icons. さらに、EDPBは、NGO NOYBが複数のEEA DPAに提出したクッキーバナーに関する苦情への対応を調整するために2021年9月に設置されたクッキーバナータスクフォースが行った作業に関する報告書を採択した。タスクフォースは、DPA間の協力、情報共有、ベストプラクティスを促進することを目的としており、EEA全体でクッキーバナーに対する一貫したアプローチを確保するために役立った。報告書では、DPAは、拒否ボタン、事前選択ボックス、バナーデザイン、または撤回アイコンなどの問題に関して、eプライバシー指令およびGDPRの適用規定の解釈における共通分母に合意している。
*Further information on national cloud projects: *各国のクラウドプロジェクトに関する詳細な情報
DE SA: EDSA entscheidet über Cookie-Banner und Cloud-Dienste DE SA: EDSAは、クッキーバナーやクラウドサービスに関する情報を提供している。
NL SA: Privacytoezichthouders wijzen overheden op vereisten bij gebruik clouddiensten NL SA: プライバシー保護団体は、クラウドサービス利用時のプライバシー保護に努める。
   

|

« 欧州 NIS2 指令 条文 (2022.12.27) | Main | 米国 NIST サイバーセキュリティフレームワークの改訂の方向性(CSF2.0に向けて...) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 欧州 NIS2 指令 条文 (2022.12.27) | Main | 米国 NIST サイバーセキュリティフレームワークの改訂の方向性(CSF2.0に向けて...) »