トラッキングクッキー|Cookie Firstブログ
あるウェブサイトにアクセスしようとしたとき、トラッキングやクッキーを受け入れないという選択をしたら、すぐにアクセスを拒否されたことがありませんか?多くのユーザーがこのような経験をしていますが、Webサイトがこのようなことをする権利があるのかどうか疑問に思いませんか?
ウェブサイトは私たちに選択肢を与えていないこと、ありますよね?クッキーのトラッキングやコンピュータ上で実行される他のスクリプトを受け入れるか、必要なものがある他のウェブサイトを探すか、どちらかの選択を迫られることが多々あるでしょう。あまり柔軟なシステムではないので、ほとんどのユーザーは、サイトの閲覧を継続できるように、ポップアップが言うことには何でも同意してしまいます。
トラッキングクッキーにはいくつかの法的規定が適用され、このガイドではこれらの意味を探っていきます。ほとんどの場合、トラッキングクッキーを受け入れる場合にのみ訪問者にコンテンツへのアクセスを許可するウェブサイトは、GDPRやその他のプライバシー法に直接違反していることになります。
クッキー(Cookies)って何?
データトラッキングや各種プライバシー保護法に触れる前に、まずクッキーを理解する必要があります。クッキーとは何でしょうか?なぜ企業やマーケティング担当者は、自社のウェブサイトでクッキーを多用するのでしょうか?
クッキーは、ウェブサイトを閲覧する際にあなたのデバイスにダウンロードされるファイルを表すために使用される名前です。サイトプロバイダーは、これらのファイルをあなたのスマートフォンやコンピューターに設置し、あなたの訪問に関するデータを収集し保存します。
トラッキング・クッキーは、訪問者がウェブサイト上で何をしているかを判断することができます。同様に、訪問者が閲覧した他のウェブサイトに関する情報を収集することまで可能です。このデータを活用してターゲット広告を作成することができるため、マーケティング担当者にとって不可欠なツールだということです。
シークレット・モードを使用することで、あなたのデバイスにクッキーがダウンロードされるのを防ぐことができます。ブラウザでこの設定をオンにすると、履歴データや不要なクッキーは保存されません。
この記事では、クッキーのトラッキングサブセットに焦点を当てます。他の種類のクッキーに適用される規制要件について詳しく知りたい場合は、オランダ消費者市場庁(ACM)の情報をご覧ください。
クッキー又は、全種類のクッキーについてもっと知りたい場合は、クッキーについてのガイドをお読みください: クッキーって何?
データトラッキングクッキー
最も一般的に使用されているクッキーは、お客様のプライバシーを一番侵害するものでもあります。それはまさに、データトラッキング・クッキー(Data Tracking Cookie)です。これらのスクリプトは、主にオンライン行動をよりよく理解し追跡したいマーケティング担当者によって使用されます。
トラッキングクッキーを使えば、ウェブサイトを訪問者が使用したデバイスの種類、IPアドレス、訪問したウェブサイトなどのデータを記録することができます。この情報を収集することで、企業は個々の消費者プロファイルを作成し、商業活動やターゲット広告に使用することができます。
クッキー法 - ターゲティングトラッキングクッキー
クッキーのトラッキングについては、オランダ電気通信法などの法的規定があります。この法律は、Cookieを管理するためのルールをまとめたものであるため、略してクッキー法(Cookie Act)と呼ばれています。ヨーロッパのプライバシーガイドラインに基づいており、2021年末から2022年初めにかけて最終決定される予定です。
電気通信法(Telecommunication Act)には、事業者がデバイスやブラウザにクッキーを設置する前に、ユーザーの同意を得ることを義務付けるルールが含まれており、ユーザーはクッキーを使用する理由を知らされる権利を持つことになります。
この規則にはいくつかの例外がありますが、それはウェブサイトが適切に動作することを保証するためにクッキーが必要な場合のみです。また、クッキーが電子通信ネットワーク内の通信を可能にするためにのみ機能する場合にも、例外が存在します。このような場合、通知と同意取得の必要性は適用されません。
GDPRを理解すること
EUの代表的な個人情報保護法であるGDPR(一般データ保護規則)とクッキーがどう関係性があるのか、気になる方もいらっしゃるかもしれません。この法律の目的は、加盟国の居住者の個人データを保護することです。
GDPRはトラッキングクッキーの使用について直接規定するものではありませんが、個人情報の処理と転送に関わるため、その関連性が示唆されています。では、トラッキングクッキーの使用に関して、GDPRは具体的にどのようなことを述べているのでしょうか?
必要性 対 同意
GDPRとトラッキングクッキーの関係を理解する秘訣は、必要性 対 同意です。組織は、正当な根拠がある場合にのみ、個人データを処理することができます。データ処理が許可されるには、正当な理由が存在しなければならないだけでなく、事業者はその理由を証明しなければなりません。
GDPRは、これを可能にする6つの正当な理由を挙げています。例えば、契約の履行に不可欠な情報などが含まれるなどという理由です。
そうだとしても、企業がクッキーを通じてデータを収集し、活動を追跡する場合、必ず最初に訪問者からクッキーの同意を得なければなりません。この同意は法的に有効な方法で要求されなければならず、スクリプトがデバイスにロードされる前に取得されなければなりません。
同意が法的に有効であると見なされるためには、同意は具体的で、自由に与えられ、明確な情報を与えられ、曖昧でないものでなければなりません。つまり、単にデフォルト設定でチェックが入っているボックスを使用するだけでは不十分なのです。
トラッキングクッキーを受け入れないとコンテンツにアクセスできないようなクッキウォールを持つウェブサイトは、この規則に準拠しているとは言えません。この場合ユーザーはこれらの条件に同意するよう圧力をかけられているため、同意は自由に与えられないということになります。
しかし、使用されるクッキーがユーザーのプライバシーを侵害しないのであれば、組織は前もって同意を得る必要はありません。
透明性が鍵 - トラッキングクッキー
考慮すべきもう一つの点は、透明性です。GDPRはオランダの電気通信法のようなもので、組織はどのような情報がなぜ収集されるのか、ユーザーに詳細を伝えなければなりません。なぜデータを収集しなければならないのか、どのように処理するのかを示さなければなりません。
また、企業はこれらの詳細を細かい文字で隠すこともできません。簡潔で分かりやすい方法で提供しなければなりません。
トラッキングクッキーについて最終的な考え
ウェブサイトがトラッキング・クッキーを使用する場合は常に、ユーザーにすぐに通知しなければなりません。同様に、トラッキングクッキーをブラウザやデバイスに配置する前に、サイトが有効な同意を得る必要があります。言い換えれば、ユーザーはこれらのクッキーを拒否する現実的な選択肢を持つ必要があり、そうでなければ、この規則の下で付与されたプライバシー権を行使することはできないのです。
ユーザーがクッキーのトラッキングを拒否した場合でも、サイトはアクセス可能な状態でなければなりません。
-Cookie First ブログより引用
