フランス CNIL より良いプライバシー保護のためのモバイルアプリケーションについての勧告（2025.05.13）

こんにちは、丸山満彦です。

CNILが”Recommendation on mobile applications”を公表していますね...

・2025.05.13 Mobile applications: CNIL publishes its recommendations for better privacy protection

 

Mobile applications: CNIL publishes its recommendations for better privacy protection	モバイルアプリケーション CNIL、より良いプライバシー保護のための勧告を発表
Following a public consultation, the CNIL has published the final version of its recommendations to help professionals design mobile applications that respect privacy. Starting from 2025 onwards, it will ensure that these recommendations are taken into account through enforcement actions.	公開協議の結果、CNILはプライバシーを尊重したモバイルアプリケーションを設計する専門家を支援するための勧告の最終版を公表した。2025年以降、CNILは強制措置を通じてこれらの勧告が考慮されるようにする。
French citizens increasingly use mobile applications in their daily life, whether to communicate, play, find their way around, shop, meet new people, monitor their health... In 2023, for example, they downloaded 30 applications on average and used their cell phones for an average of 3 hours 30 minutes a day (source: data.ai).	フランス国民は、コミュニケーション、遊び、道案内、買い物、新しい人との出会い、健康管理など、日常生活でモバイルアプリケーションを利用する機会が増えている。例えば、2023年には、平均30個のアプリケーションをダウンロードし、1日平均3時間30分携帯電話を使用している（出典：data.ai）。
However, the mobile environment poses greater risks to data confidentiality and security than the web.	しかし、モバイル環境はウェブよりもデータの機密性とセキュリティに大きなリスクをもたらす。
Mobile applications have access to more varied and sometimes more sensitive data, such as real-time location, photographs and health data. Moreover, the permissions required from users to access functions and data on their device are often quite extensive (microphone, contact list, etc.). Finally, many stakeholders are involved in the operation of a single application, and are therefore likely to collect or share personal data.	モバイル・アプリケーションは、リアルタイムの位置情報、写真、健康データなど、より多様で、時にはよりセンシティブなデータにアクセスできる。さらに、ユーザーがデバイス上の機能やデータにアクセスするために必要なアクセス許可は、かなり広範囲に及ぶことが多い（マイク、連絡先リストなど）。最後に、1つのアプリケーションの運用には多くの関係者が関与するため、個人データを収集または共有する可能性が高い。
In its recommendations, the CNIL reiterates the principles laid down by law and offers advice to help professionals design privacy-friendly applications.	CNILは勧告の中で、法律で定められた原則を繰り返し、専門家がプライバシーに配慮したアプリケーションを設計するのに役立つアドバイスを提供している。
Recommendations for better GDPR compliance	GDPRコンプライアンス向上のための提言
Resources for all mobile application stakeholders	すべてのモバイルアプリケーション関係者のためのリソース
The CNIL recommendations are aimed at all those involved in developing and making available mobile applications, to ensure enhanced protection of personal data at every stage:	CNILの勧告は、モバイルアプリケーションの開発および提供に携わるすべての関係者を対象としており、あらゆる段階で個人データの保護を強化することを目的としている：
・Mobile application publishers, who make mobile applications available to users.	・モバイルアプリケーションをユーザーに提供するモバイルアプリケーション発行者。
・Mobile application developers, who write the computer codes that make up a mobile application.	・モバイルアプリケーション開発者：モバイルアプリケーションを構成するコンピュータコードを記述する。
・Software development kit (SDK) providers, who develop "ready-to-use" functionalities that can be directly integrated by developers into mobile applications (audience measurement, advertising targeting, etc.).	・ソフトウェア開発キット（SDK）プロバイダ：開発者がモバイルアプリケーションに直接統合できる「すぐに使える」機能（オーディエンス測定、広告ターゲティングなど）を開発する。
・Operating system providers, who provide the operating systems (e.g. iOS or Android) on which mobile applications will run.	・オペレーティングシステムプロバイダー：モバイルアプリケーションが動作するオペレーティングシステム（iOSやAndroidなど）を提供する。
・Application store providers, who offer platforms for downloading new applications.	・アプリケーションストア・プロバイダは、新しいアプリケーションをダウンロードするためのプラットフォームを提供する。
The objectives of the recommendations	勧告の目的
1. Clarifying and framing the role of each stakeholder	1. 各ステークホルダーの役割を明確にし、枠組みを作る。
The recommendations specify the division of responsibilities between stakeholders in the mobile ecosystem, and clarify their respective obligations to provide legal certainty. They also provide practical advice on how to manage their collaboration.	勧告は、モバイルエコシステムにおける利害関係者間の責任分担を明確にし、それぞれの義務を明確にして法的確実性を提供する。また、各ステークホルダーの協力関係を管理する方法について、実践的なアドバイスを提供する。
2. Improving user information on the use of their data	2. データ利用に関するユーザー情報の改善
The recommendations are aimed at improving user information on the use of their data. This information should always be clear, accessible and presented at the right time in the application.	勧告は、データの利用に関するユーザー情報の改善を目的としている。この情報は常に明確で、アクセスしやすく、アプリケーションの適切なタイミングで提示されるべきである。
They offer advice and best practices to stakeholders, in particular to ensure that users understand whether the permissions requested are really necessary for the application to function.	特に、要求された許可がアプリケーションの機能にとって本当に必要なものであるかどうかをユーザーが理解できるようにするために、関係者に助言とベストプラクティスを提供する。
3. Ensuring that consent is informed and not forced	3. 同意がインフォームド・コンセントであり、強制されたものでないことを保証する。
The recommendations reiterate that applications must obtain consent to process data that is not necessary for their operation, e.g. for targeted advertising purpose.	勧告は、アプリケーションが、例えばターゲット広告の目的のために、その運用に必要でないデータを処理する同意を得なければならないことを繰り返し述べている。
They specify the conditions under which consent must be sought, and in particular that it must not be forced. Users must be able to refuse consent, or to withdraw their consent if they change their mind, as simply as they are asked to give it. Finally, the recommendations indicate how the collection of consent can be articulated with the system of technical permissions.	特に、同意を強制してはならない。利用者は、同意を求められたときと同様に、同意を拒否したり、気が変わったら同意を撤回したりできなければならない。最後に、勧告は、同意の収集と技術的許可のシステムをどのように関連づけることができるかを示している。
Read the recommendation	勧告を読む
This document is a courtesy translation. Only the French version is legally binding.	この文書は表向きの翻訳である。法的拘束力を持つのはフランス語版のみである。
A follow-up of the consultation with stakeholders	利害関係者との協議のフォローアップ
Rich contributions from a variety of stakeholders	様々な利害関係者からの豊富な貢献
Following the example of its work on cookies, the CNIL held consultations with various stakeholders representing the mobile application ecosystem, to gain a better understanding of all the issues at stake in this complex sector. The CNIL's work was also informed by a reflection on the economic issues associated with data collection in the mobile world.  The CNIL published a summary of the contributions received on its website (in French).	CNILは、Cookieに関する作業の例に倣い、モバイルアプリケーションのエコシステムを代表する様々な利害関係者と協議を行い、この複雑な分野で問題となっているすべての問題について理解を深めた。CNILの作業は、モバイルの世界におけるデータ収集に関連する経済的な問題についての考察からも情報を得ていた。CNILはウェブサイトに寄せられた意見の概要を掲載した（フランス語）。
The draft recommendations resulting from this work was then submitted for public consultation in July 2023, to gather the opinions of all stakeholders, whether from the associative sector, the general public or professional circles.	この作業から得られた勧告のドラフトは2023年7月に公開協議に付され、団体部門、一般市民、専門家を問わず、すべての利害関係者の意見を収集した。
The CNIL received contributions from various stakeholders in the mobile application ecosystem.	CNILは、モバイルアプリケーションのエコシステムにおける様々な利害関係者から寄稿を受けた。
► Read the summary of contributions to the public consultation (in French)	公開協議への意見の概要を読む（フランス語）
The opinion of the French Competition Authority, a first concrete expression of the ADLC-CNIL joint declaration	ADLC-CNIL共同宣言の最初の具体的な表現であるフランス競争当局の見解
For the first time, this work led the CNIL to formally refer the matter to the French Competition Authority (Autorité de la concurrence or ADLC in French), in view of the growing interaction between personal data protection and competition law. The ADLC delivered its opinion on December 4, 2023.	個人データ保護と競争法との相互作用の高まりを踏まえ、CNILはこの作業により初めて、この問題をフランス競争当局（Autorité de la concurrence、仏語ではADLC）に正式に付託した。ADLCは2023年12月4日に意見書を提出した。
The referral to the ADLC, which follows on from the joint declaration signed by the two authorities in December 2023, is the first concrete expression of the commitments made by the two institutions. They thus reaffirm their shared desire to develop and exploit the synergies in the framework of their missions as regulators, for a responsible and equitable digital industry.	ADLCへの付託は、2023年12月に両当局が署名した共同宣言に続くものであり、両当局のコミットメントの最初の具体的表現である。このように両者は、責任ある公正なデジタル産業のために、規制当局としての使命の枠組みにおいてシナジーを発展させ、活用するという共通の願いを再確認している。
► Read the joint document on close cooperation between the CNIL and the Autorité de la concurrence on mobile applications (in French)	モバイルアプリケーションに関するCNILとAutorité de la concurrenceの緊密な協力に関する共同文書（フランス語）を読む。
New clarifications from the CNIL	CNILによる新たな説明
The contributions received during the public consultation and the opinion of the ADLC have broaden and consolidated the recommendations, published in their final version.	パブリックコンサルテーションで寄せられた意見とADLCの意見により、最終版として公表された勧告はより広範になり、統合された。
The CNIL has clarified its recommendations on several points, both in form and substance:	CNILは、形式的にも実質的にも、いくつかの点について勧告を明確化した：
・In particular, the CNIL has made a clearer distinction between what is mandatory – and applies to everyone – and what is a recommendation or best practice, in order to provide greater legal certainty.	特に、CNILは、法的な確実性を高めるため、すべての人に適用される義務的なものと、勧告やベストプラクティスとの区別を明確にした。
It also explained the interactions between the recommendations and the consideration of competition issues. It points out that the recommendation must be applied in compliance with competition law and the Digital Market Act (DMA).	また、勧告と競争問題の検討との相互作用についても説明している。勧告は競争法とデジタル市場法（DMA）を遵守して適用されなければならないと指摘している。
・Finally, the CNIL has refocused its recommendations on permissions systems, targeting so-called "technical" permissions, designed by OS suppliers, which enable the user to give or block access to certain information (contact book, geolocation, microphone, camera, etc.), regardless of the purposes for which they might be used (advertising, statistics, technical, etc.).	最後に、CNILは、OSサプライヤーが設計した、いわゆる「技術的」アクセス許可を対象とするアクセス許可システムに関する勧告に焦点を絞っている。これは、利用目的（広告、統計、技術など）にかかわらず、ユーザーが特定の情報（連絡帳、ジオロケーション、マイク、カメラなど）へのアクセスを許可またはブロックできるようにするものである。
Next steps	次のステップ
Over the coming months, the CNIL will be providing support to the industry, notably through webinars. The aim is to help them make the most of the rules and guarantees set out in the recommendation, and implement the necessary measures to ensure that they are effectively complied with.	今後数ヶ月間、CNILは特にウェビナーを通じて、業界へのサポートを提供する予定である。その目的は、勧告に規定された規則や保証を最大限に活用し、それらが効果的に遵守されるよう必要な措置を講じることを支援することである。
From early spring 2025, the CNIL will deploy a specific investigation campaign on mobile applications to ensure compliance with the applicable rules. In the meantime, the CNIL will continue to deal with any complaints it receives, carry out any investigation it deems necessary and, if necessary, adopt any corrective measures required to effectively protect the privacy of mobile application users.	2025年初春から、CNILはモバイルアプリケーションに関する特定の調査キャンペーンを展開し、適用される規則の遵守を確保する。その間、CNILは引き続き、受けた苦情に対応し、必要と思われる調査を実施し、必要であれば、モバイルアプリケーション利用者のプライバシーを効果的に保護するために必要な是正措置を採用する。
This investigation campaign will complement the investigations already carried out by the CNIL, notably as part of its 2023 investigation priorities, on applications that track users for various purposes (advertising, statistics, etc.) in the absence of user consent.	この調査キャンペーンは、CNILがすでに実施している調査を補完するものであり、特に2023年調査優先事項の一環として、ユーザーの同意がないにもかかわらず、様々な目的（広告、統計など）でユーザーを追跡するアプリケーションについて実施される。
Read more	さらに読む
Mobile applications: CNIL publishes its recommendations for better privacy protection (in French)	モバイルアプリケーション CNIL、より良いプライバシー保護のための勧告を発表（フランス語）
Mobile applications: your privacy must be better protected (in French)	モバイルアプリケーション：あなたのプライバシーはよりよく保護されなければならない（フランス語）
Reference text	参考テキスト
Délibération n° 2024-061 du 18 juillet 2024 portant adoption de la recommandation relative aux applications mobiles (in French) - Légifrance	モバイルアプリケーションに関する勧告の採択に関する2024年7月18日付法令第2024-061号（フランス語） - フランス

 

原文

・[PDF] Recommandation relative aux applications mobiles

 

英語仮訳

・[PDF] Recommendation on mobile applications

 

目次...

Table of contents	目次
1.  Introduction	1. 序論
2.  Scope of the recommendation	2. 勧告の範囲
2.1.  Who is this recommendation addressed to?	2.1. 本勧告は誰に向けたものか？
2.2.  What is meant by "mobile application"?	2.2. モバイルアプリケーション」とは何か？
2.3.  Who are the stakeholders in the mobile applications sector?	2.3. モバイルアプリケーション分野の利害関係者は誰か？
3.  Is the application subject to the rules on the protection of personal data?	3. アプリケーションは個人データ保護に関する規則の対象者か？
3.1.  Application of the ePrivacy Directive	3.1. eプライバシー指令の適用
3.2.  Application of the GDPR	3.2. GDPRの適用
3.3.  Processing covered by the domestic exemption	3.3. 国内適用除外の対象となる処理
4.  What are the roles of each stakeholder in the use of the application?	4. アプリケーションの使用における各関係者の役割は何か？
4.1.  Why is it important to determine the role of every stakeholder within the meaning of the GDPR?	4.1. GDPRの意味における各関係者の役割を決定することがなぜ重要なのか？
4.2.  Determine the qualifications of each stakeholder	4.2. 各利害関係者の資格を決定する
5.  Publisher-specific recommendations	5. 提供社固有の勧告
5.1.  Design its application	5.1. アプリケーションを設計する
5.2.  Mapping partners	5.2. パートナーのマッピング
5.3.  Managing consent and people's rights	5.3. 同意と人々の権利を管理する
5.4.  Maintain compliance throughout the lifecycle of the application	5.4. アプリケーションのライフサイクルを通じてコンプライアンスを維持する
5.5.  Permissions and data protection by design	5.5. 設計による防御とデータ保護
5.6.  Checklist	5.6. チェックリスト
6.  Developer-specific recommendations	6. 開発者固有の勧告
6.1.  Formalise your relationship with the publisher	6.1. 提供社との関係を正式にする
6.2.  Assume its advisory role towards the publisher	6.2. 提供社に対する助言的役割を引き受ける
6.3.  Making good use of SDKs	6.3. SDKをうまく活用する
6.4.  Ensure the security of the application	6.4. アプリケーションのセキュリティを確保する
6.5.  Checklist	6.5. チェックリスト
7.  Software Development Kit (SDK) Provider Specific Recommendations	7. ソフトウェア開発キット（SDK）プロバイダ固有の勧告
7.1.  Designing your service	7.1. サービスの設計
7.2.  Documenting the right information	7.2. 正しい情報を文書化する
7.3.  Managing consent and people's rights	7.3. 同意と人々の権利を管理する
7.4.  Participate in maintaining compliance of the application over time	7.4. 長期にわたるアプリケーションのコンプライアンス維持に参加する
7.5.  Checklist	7.5. チェックリスト
8.  Operating System (OS) Provider Specific Recommendations	8. オペレーティングシステム（OS）プロバイダ固有の勧告
8.1.  Ensure the compliance of the processing of personal data implemented	8.1. 実施されるパーソナルデータの処理のコンプライアンスを確保する。
8.2.  Ensuring that partners are properly informed	8.2. パートナーへの適切な情報提供を徹底する
8.3.  Provide tools to enable respect for users' rights and consent	8.3. 利用者の権利と同意の尊重を可能にするツールを提供すること
8.4.  Provide a secure platform	8.4. 安全なプラットフォームを提供する。
8.5.  Checklist	8.5. チェックリスト
9.  Application Store Provider Specific Recommendations	9. アプリケーションストア・プロバイダ固有の勧告
9.1.  Analyze applications submitted by publishers	9.1. パブリッシャーから提出されたアプリケーションを分析する
9.2. Implement transparent application review processes that incorporate verification of basic data protection rules	9.2. 基本的なデータ保護ルールの検証を組み込んだ、透明性のあるアプリケーション審査プロセスを導入する。
9.3.  Inform users and provide them with reporting tools	9.3. ユーザーに情報を提供し、報告ツールを提供する。
9.4.  Checklist	9.4. チェックリスト
10.  Glossary	10. 用語集