英国 ICO 意見募集 ストレージとアクセス技術に関する改訂版ガイドライン案（Cookieやトラッキングピクセルなど...）(2024.12.20)

こんにちは、丸山満彦です。

英国のICOが、ストレージとアクセス技術に関する改訂版ガイドライン案を公表していますね...

昔から英国のICOはクッキーの確認の仕方がについて、「そんなやりかた、茶番でしょう...『だれも理解していないけど、前に進みたいから、おすだけでしょう...』みたいな対応なんて意味がないよ」という感じでしたが、さて、今回のガイドライン案はどのようになっていますでしょうか...

このガイダンスは...

• Web 開発者やアプリ開発者などのオンライン サービス プロバイダーを対象として、
  
  
• 誰かのデバイス（コンピューターや携帯電話など）に情報を保存したり、保存されている情報にアクセスしたりする技術を利用する場合に、2003 年プライバシーおよび電子通信規制（修正版）（PECR）および該当する場合はデータ保護法がどのように適用されるか

について説明しているものですね...

なお、PECR が適用される技術には、例えば、以下のものが含まれますね...

• Cookie
• トラッキングピクセル
• リンクデコレーション、ナビゲーショントラッキング
• ローカルストレージ
• デバイスフィンガープリンティング
• スクリプト、タグ

 

「How do we manage consent in practice?」のパートでは、同意をどのように管理するのか？ということで、ちょっとしたアニメーションのついた例示を使って、わかりやすく説明していますね...

ガイドラインもPDFって感じではないかもですね...

このガイド案では、

• PECR でカバーされる技術 (Cookie、トラッキング ピクセルなど)
• ストレージおよびアクセス技術を使用する組織のコンプライアンス義務
• ポップアップ、ブラウザ設定、設定主導のメカニズムなどの方法を含む、同意の取得と管理に関する期待
• 子どもが利用するサービスに対する特別な配慮、透明性と同意のメカニズムの要件
• 追跡、プロファイリング、広告測定に関する同意要件、「Cookieの壁」や同意メカニズムなどのモデルについての説明

などなどを取り扱っていますね...

参考になると思います...

意見は2025.03.14まで...

 

● U.K. Information Commissioner's Office; ICO

プレス...

・2024.12.20 ICO consultation on the draft updated guidance on storage and access technologies

ICO consultation on the draft updated guidance on storage and access technologies	ICO、ストレージとアクセス技術に関するガイダンスのドラフト更新に関するコンサルテーションを実施
The Information Commissioner's Office (ICO) is consulting on this draft updated guidance on storage and access technologies (previously known as the ‘detailed cookies guidance’).	情報コミッショナー事務局（ICO）は、ストレージおよびアクセス技術に関するガイダンス（以前は「詳細なクッキーガイダンス」として知られていた）の更新ドラフトについてコンサルティングを行っている。
Your responses will help us to provide any additional further clarity required in the final guidance update.	皆様からのご回答は、最終的なガイダンスの更新に必要なさらなる明確性を提供するために役立つ。
Respond to the consultation via SmartSurvey here.	SmartSurveyでこのコンサルテーションに対応する。
You can also respond to the consultation by contacting us at [mail]	また、 [mail] までご連絡いただいても対応可能である。
We welcome feedback to the questions set out in the survey. This survey is split into the following sections:	アンケートに記載された質問に対するフィードバックを歓迎する。このアンケートは以下のセクションに分かれている：
・Section 1: Your views on our proposed regulatory approach	・セクション1：提案されている規制アプローチに関するご意見
・Section 2: Questions to assess the impact of our approach	・セクション 2： セクション2：我々のアプローチの影響を評価するための質問
・Section 3: About you and your organisation	・セクション3：あなたとあなたの組織について
・Section 4: Final comments	・セクション4：最終コメント
The consultation will remain open until 5pm on Friday 14 March 2025. We may not consider responses received after the deadline.	コンサルテーションは2025年3月14日（金）午後5時まで受け付ける。期限を過ぎた回答は考慮しない場合がある。
This survey will take around 15 - 20 minutes to complete.	このアンケートの所要時間は約15～20分である。
Impact Assessment	影響アセスメント
We have produced a draft impact assessment to accompany this draft guidance.	我々は、このガイダンス草案に付随する影響評価のドラフトを作成した。
The draft impact assessment is available here.	インパクトアセスメントのドラフトはこちらから入手できる。
We are seeking feedback on this draft impact assessment through the above survey to inform the final version, which will accompany the final updated guidance.	最終的なガイダンスに添付される最終版に反映させるため、上記のアンケートを通じてこの影響アセスメント案に対するフィードバックを求めている。

 

 ガイドライン案...

・2024.12.20 Guidance on the use of storage and access technologies

Guidance on the use of storage and access technologies	ストレージおよびアクセス技術の使用に関するガイダンス
Contents	目次
What's new	最新情報
About this guidance	このガイダンスについて
Why have you produced this guidance?	なぜこのガイダンスを作成したのか？
Who is it for?	誰のためのガイダンスなのか？
What does it cover?	何をカバーしているのか？
What doesn’t it cover?	何をカバーしていないのか？
How should we use this guidance?	このガイダンスをどのように使うべきか？
What are storage and access technologies?	保管技術とアクセス技術とは何か？
What technologies does PECR apply to?	PECRはどのような技術に適用されるのか？
Cookies	クッキー
Tracking pixels	トラッキングピクセル
Link decoration and navigational tracking	リンク装飾とナビゲーショントラッキング
Device fingerprinting	デバイスフィンガープリント
Web Storage	ウェブストレージ
Scripts / tags	スクリプト／タグ
Using storage and access technologies in different contexts	さまざまなコンテキストでストレージとアクセス技術を使用する
What are the rules?	規則とは何か？
What does PECR say about storage and access technologies?	PECRはストレージとアクセス技術について何を言っているのか？
Who are subscribers and users?	加入者とユーザーとは誰か？
What is terminal equipment?	端末機器とは何か？
What does ‘clear and comprehensive information’ mean?	明確かつ包括的な情報」とは何か？
What does 'consent' mean?	同意」とは何か？
Do all storage and access technologies require consent?	すべての保管・アクセス技術に同意が必要か？
What is the ‘communication’ exemption?	コミュニケーション」の適用除外とは何か？
What is the ‘strictly necessary’ exemption?	「厳密に必要な」適用除外とは何か？
When do the exemptions not apply?	適用除外はどのような場合に適用されないのか？
Do the rules only apply to websites and web browsers?	規則はウェブサイトとウェブブラウザにのみ適用されるのか？
Do the rules apply to our internal network?	規則は社内ネットワークにも適用されるのか？
Do the rules apply to public authorities?	規則は認可機関に適用されるか？
Do the rules apply to services based outside the UK?	規則は英国外に拠点を置くサービスに適用されるか？
What if children are likely to access our online service?	当社のオンラインサービスに子供がアクセスする可能性がある場合はどうするのか？
How do the PECR rules relate to the UK GDPR?	PECR規則は英国のGDPRとどのように関連しているか？
What is the relationship between PECR and the UK GDPR?	PECRと英国GDPRの関係は？
What does the UK GDPR say about storage and access technologies?	英国のGDPRは、保管およびアクセス技術についてどう述べているか？
How does PECR consent fit with the lawful basis requirements of the UK GDPR?	PECRの同意は、英国GDPRの合法的根拠要件とどのように適合するか？
What does PECR say about subsequent processing?	PECRは事後処理についてどのように述べているか？
How do we comply with the rules?	どのように規則を遵守するのか？
Who is responsible for compliance?	誰が遵守の責任を負うのか？
How do we consider PECR when designing a new online service?	新しいオンラインサービスを設計する際、PECRをどのように考慮するか？
What do we need to consider if we use someone else’s technologies on our online service?	オンラインサービスで他者の技術を使用する場合、何を考慮する必要があるか？
How do we tell people about the storage and access technologies we use?	私たちが使用するストレージやアクセス技術について、どのように人々に伝えるか？
How do we tell people about storage and access technologies set on websites that we link to?	リンク先のウェブサイトに設定されているストレージやアクセス技術について、どのように人々に伝えるか？
Can we pre-enable any non-essential storage and access technologies?	必要でないストレージやアクセス技術を事前に有効にすることは可能か？
How long can we store or access information for?	どれくらいの期間、情報を保存したりアクセスしたりすることができるか？
What is an audit and how can we do one?	監査とは何か、監査はどのように行うのか。
How do we manage consent in practice?	同意はどのように管理するのか？
When do we need to get consent?	いつ同意を得る必要があるのか？
Who do we need consent from?	誰からの同意が必要か？
How do we request consent?	どのように同意を求めるのか？
Can we use pop-ups and similar techniques?	ポップアップや類似のテクニックを使用してよいか？
Our expectations for consent mechanisms	同意の仕組みに対する期待
Can we rely on settings-led consent?	設定主導の同意に頼ることができるか？
Can we rely on feature-led consent?	機能主導の同意に頼ることができるか？
Can we rely on browser settings and other control mechanisms for consent?	同意のためにブラウザの設定やその他の制御メカニズムに頼ることができるか？
Can we use ‘terms and conditions’ to gain consent?	同意を得るために「利用規約」を使用できるか？
Can we bundle consent requests?	同意の要請を束ねることができるか？
How often do we need to request consent?	どれくらいの頻度で同意を求める必要があるか？
What if our use of storage and access technologies changes?	保存技術やアクセス技術の使用に変更があった場合はどうするか？
How do we keep records of user preferences?	ユーザーのプリファレンスの記録はどのように保存するか？
What if a user withdraws their consent?	ユーザーが同意を撤回した場合はどうするか？
How do the rules apply to online advertising?	ルールはオンライン広告にどのように適用されるか？
Do we need consent for tracking and profiling for online advertising?	オンライン広告のトラッキングやプロファイリングに同意は必要か？
Does ad measurement require consent?	広告測定には同意が必要か？
What types of online advertising can we use?	どのようなオンライン広告を利用できるか？
Can we use ‘cookie walls’ or ‘consent or pay’ models?	「Cookieの壁」や「同意または支払い」モデルを使用できるか？
What happens if we don’t comply?	コンプライアンスに従わない場合はどうなるのか？
Glossary	用語集

 

 

---

 

そして、重要なのは「影響アセスメント」です...日本もこういうアセスメントをきっちりと義務付けることが、重要なのではないかと思います。。。

 

・[PDF] Guidance on the use of storage and access technologies impact assessment - DRAFT

 

目次...

Contents	目次
Executive summary	エグゼクティブサマリー
1. Introduction	1. 序文
1.1. Our approach to impact assessment	1.1. 影響アセスメントへのアプローチ
1.2. Report structure	1.2. 報告書の構成
2. Problem definition	2. 問題の定義
2.1. What are storage and access technologies?	2.1. ストレージ技術とアクセス技術とは何か？
2.2. Problem definition	2.2. 問題の定義
2.3. Use of storage and access technologies within the UK	2.3. 英国内でのストレージとアクセス技術の利用
3. Rationale for Intervention	3. 介入の理由
3.1. Data protection (DP) harms	3.1. データ保護（DP）の弊害
3.2. Policy Context	3.2. 政策の背景
3.3. Market failures	3.3. 市場の失敗
3.4. Summary of rationale for intervention	3.4. 介入の根拠
4. Options appraisal	4. オプション評価
4.1. Options for consideration	4.1. 検討すべき選択肢
4.2. Assessment of options	4.2. オプションのアセスメント
5. Detail of proposed intervention	5. 介入案の詳細
5.1. The guidance	5.1. ガイダンス
5.2. Scope of draft guidance	5.2. ドラフトガイダンスの範囲
5.3. Guidance timeline	5.3. ガイダンスのスケジュール
5.4. Affected groups	5.4. 影響を受けるグループ
6. Cost-benefit analysis	6. 費用便益分析
6.1. Identifying impacts	6.1. 影響の識別
6.2. Counterfactual	6.2. 反事実
6.3. Costs and Benefits	6.3. 費用と便益
7. Monitoring and review	7. モニタリングとレビュー
Annex A: What are storage and access technologies?	附属書A：保管技術とアクセス技術とは何か？
Annex B: Measurement of affected groups	附属書B：影響を受けるグループの測定
Annex C: Familiarisation costs	附属書C：周知コスト

 

 

エグゼクティブサマリー

Executive summary	エグゼクティブサマリー
This draft impact assessment accompanies our draft guidance on the use of storage and access technologies. The overarching objectives of the guidance are to provide regulatory certainty to organisations:	本影響評価ドラフトは、保管・アクセス技術の使用に関するガイダンスのドラフトに付随するものである。ガイダンスの包括的な目的は、組織に規制上の確実性を提供することである：
• on compliant practices for using storage and/or access to information on a device;	- デバイス上の情報へのストレージおよび／またはアクセスを使用する際の、コンプライアンスに準拠した慣行について；
• in the application and use of consent mechanisms, where required; and	- 必要な場合には、同意メカニズムの適用と使用に関して。
• regarding our expectations when they are using storage and access technologies.	- また、必要な場合には、同意の仕組みの適用と使用についてである。
This document sets out our initial impact findings for consultation, alongside consultation on the draft guidance itself. It is important to note that this isn’t an exhaustive assessment, and we will develop our analysis further as we move towards publication of the final guidance based on information and feedback received. We are seeking feedback on this draft impact assessment, as well as any other information and insights stakeholders can provide on impacts through the consultation process.	本書は、ドラフトガイダンス自体に関するコンサルテーションと並行して、コンサルテーションのための初期影響調査結果を示すものである。これは網羅的な評価ではないことに留意することが重要であり、最終ガイダンスの公表に向けて、寄せられた情報やフィードバックに基づき、さらに分析を深めていく予定である。我々は、この影響アセスメント草案に対するフィードバックを求めるとともに、コンサルテーション・プロセスを通じて、利害関係者が影響に関して提供できるその他の情報や洞察も求めている。
Problem definition and rationale for intervention	問題の定義と介入の根拠
Storage and access technologies refer to any technology that stores information, or accesses information that is stored on a subscriber or user’s ‘terminal equipment’ (for instance a smartphone or laptop). This is explained further in Annex A, and includes, but is not limited to:	ストレージおよびアクセス技術とは、加入者またはユーザーの「端末機器」（例えば、スマー トフォンやラップトップ）に保存されている情報を保存したり、情報にアクセスしたりするあらゆる 技術を指す。これについては附属書Aで詳しく説明し、以下を含むが、これらに限定されない：
• cookies;	- クッキー；
• tracking pixels;	- トラッキングピクセル
• link decoration and navigational tracking;	- リンク装飾およびナビゲーショントラッキング
• scripts and tags; • web storage; and	- スクリプトとタグ。
• device fingerprinting.	- デバイスのフィンガープリンティング。
Since our current guidance was produced in 2019 there have been important developments in relation to storage and access technologies. As a result, our guidance no longer reflects current market practices and has given rise to a need for greater regulatory certainty.	2019年に現行のガイダンスが作成されて以来、ストレージとアクセス技術に関連して重要な進展があった。その結果、我々のガイダンスはもはや現在の市場慣行を反映しておらず、より確実な規制の必要性が生じている。
The ICO is well placed to provide this regulatory certainty and reduce the risk of harms materialising to individuals and wider society from the use of storage and access technologies. With the growing adoption of these technologies across the economy it is expected that without intervention the potential for these harms will rise.	ICOは、この規制上の確実性を提供し、ストレージ・アクセス技術の使用から個人やより広範な社会が被害を受けるリスクを低減するために十分な立場にある。このような技術の採用が経済全体に拡大する中、介入がなければ、このような危害の可能性が高まることが予想される。
Options appraisal	選択肢の評価
In the context of the identified problem, the following options for intervention were considered:	識別された問題を踏まえ、以下の介入オプションが検討された：
• Do nothing: Do not update the current version of the detailed cookies guidance, published in 2019.	- 何もしない：2019年に発行される詳細なクッキーガイダンスの現行版を更新しない。
• Provide a significant update to guidance (preferred option):	- ガイダンスに大幅な更新をプロバイダする（好ましい選択肢）：
Provide a significant update to the detailed cookies guidance, that will: o Clarify and expand on established policy positions where we can provide further regulatory certainty.	詳細なCookieガイダンスに大幅な更新をプロバイダとして提供する。
o Provide equal weight to “similar technologies” (such as web storage and scripts and tags) alongside cookies by renaming the guidance products and providing new examples.	o ガイダンスの製品名を変更し、新しい例を提供することで、クッキーと並ぶ「類似の技術」（ウェブストレージやスクリプト、タグなど）に同等の重みを与える。
o Provide clarity by using the new style guide and must / should / could framework.	o 新しいスタイルガイドとmust/should/couldの枠組みを使用することにより、明確性を提供する。
• Provide a light update to guidance (do less): Provide a light update to the detailed cookies guidance, that will:	- ガイダンスを軽く更新する（do less）： 詳細なクッキーのガイダンスに軽いアップデートを提供する：
o Provide clarity by using the new style guide and must / should / could framework.	o 新しいスタイルガイドとmust、should、couldの枠組みを使用することで明確性を提供する。
• Provide sector specific guidance (do more): Provide sector specific guidance and/ or detailed device-specific guidance.	- セクター別のガイダンスを提供する(もっとやる)： 新しいスタイルガイドとmust、should、couldの枠組みを使用することで明確性を提供する。
These options were assessed against a number of critical success factors and the production of a significant update to guidance was identified as the preferred option. The preferred option ensures that guidance on storage and access technologies reflects the current use of technology and reduces the risk of the ICO being challenged on outdated guidance.	これらの選択肢は、多くの重要成功要因に照らしてアセスメントされ、ガイダンスの大幅な更 新が好ましい選択肢として特定された。好ましい選択肢は、保管とアクセス技術に関するガイダンスが現在の技術利用を反映することを保証し、ICOが時代遅れのガイダンスについて異議を唱えられるリスクを軽減する。
Details of proposed intervention	介入案の詳細
The update to the ‘guidance on the use of cookies and similar technologies’ will expand on existing guidance, reframing it as ‘guidance on the use of storage and access technologies’. The guidance is aimed at providers of online services, including web or app developers, who need a deeper understanding of how PECR (Reg 6) and UK GDPR (where the use of these technologies involves the processing of personal data) apply to the use of storage and access technologies. It provides greater regulatory certainty by setting out what organisations must, should, and could do to comply with legislative requirements within the ICO’s remit or relevant established case law.	クッキーおよび類似技術の使用に関するガイダンス」の更新は、既存のガイダンスを拡大し、「保存およびアクセス技術の使用に関するガイダンス」として再構成する。このガイダンスは、ウェブやアプリの開発者を含むオンラインサービスのプロバイダを対象としており、PECR（規則6）と英国GDPR（これらの技術の使用がパーソナルデータの処理を伴う場合）がストレージとアクセス技術の使用にどのように適用されるかを深く理解する必要がある。このガイダンスは、ICOの権限または関連する確立された判例法の範囲内で、組織が法律上の要件を遵守するために何をしなければならず、何をすべきで、何ができるかを示すことにより、規制の確実性を高めるものである。
The route to impact for the guidance is set out in the theory of change in Figure 1 in Section 5. There are various groups that could be affected by the guidance including:	ガイダンスの影響経路は、セクション 5 の図 1 の変化理論に示されている。ガイダンスの影響を受ける可能性のあるグループは以下の通りである：
• Online service providers: Organisations that use storage and access technologies for essential and non-essential purposes;	- オンラインサービスプロバイダ： オンライン・サービス・プロバイダー：必須および非必須の目的でストレージおよびアクセス技術を使用する組織；
• Supply chain: Organisations that interact with and assist in collection and processing of information stored and/or accessed on online services; using storage and access technologies;	- サプライチェーン： サプライチェーン：オンラインサービス上に保存及び／又はアクセスされた情報の収集及び処理に関与し、それを支援する組織；
• UK organisations: Organisations that use online advertising;	- 英国の組織： 英国の組織：オンライン広告を利用する組織；
• UK population users: People who interact with online services that use storage and access technologies;	- 英国の人口ユーザー： 英国の利用者：ストレージおよびアクセス技術を使用するオンラインサービスとやりとりする人々；
• The ICO; and	- ICO、および
• Wider society.	- より広い社会
Cost-benefit analysis	費用便益分析
The costs and benefits of the intervention have been identified, as far as is possible and proportionate. Our ability to fully quantify and monetise impacts has been limited given the evidence gaps around the scale of affected groups.	介入によるコストと便益は、可能かつ適切な範囲で特定した。影響を完全に定量化し、収益化する能力は、影響を受けるグループの規模に関するエビデンスのギャップを考慮すると、限定的である。
We will develop our cost-benefit analysis further as we move towards publication of the final guidance based on information and feedback received through the consultation process.	最終ガイダンスの公表に向け、協議プロセスを通じて得られた情報やフィードバックに基づき、費用便益分析をさらに発展させる予定である。
Although there will be costs to organisations from reading, understanding and implementing the guidance, this is expected to be outweighed by the wider societal benefits of reduced data protection harms. On balance we expect the guidance to have a net positive impact.	ガイダンスを読み、理解し、実施することによって、組織にはコストがかかるが、データ保護の害が減少するというより広い社会的利益によって、このコストは上回ると予想される。バランスとしては、このガイダンスは正味でプラスに働くと期待している。
Monitoring and evaluation	モニタリングと評価
An appropriate and proportionate review structure will be put in place when finalising our guidance. This will follow best practice and align with our organisational reporting and measurement against ICO25 objectives.	ガイダンスを最終化する際には、適切かつ適切なレビュー体制が導入される。これはベストプラクティスに従ったものであり、ICO25 の目標に対する我々の組織的な報告および測定と整合するものである。