PECR クッキー同意 – クッキーと同意に関するICOのガイダンス|CookieFristブログ
英国の「プライバシーおよび電子通信規則」は、Cookieやその他のトラッキング技術の使用、および個人データの処理について規定する重要な法律です。この記事では、これらの規制の基本的な内容、規制が義務付けていること、そしてビジネスを保護するために講じるべき措置についてご紹介します。
プライバシー・電子通信規則(PECR)とは何か?
PECRと略される「Privacy and Electronic Communications Regulations」は、英国における電子通信のあり方を規定するガイドラインです。これには、企業が顧客にマーケティング資料を送付する方法や、ウェブサイト上で使用できるクッキーの種類などを規制することが含まれます。
このガイドラインは、デジタルネットワーク上で消費者が直面するプライバシーリスクがますます高まっていることを認識し、ePrivacy指令として知られる既存の欧州法を再定義したものである。PECRは2003年に導入されましたが、現在の技術との関連性を維持するため、何度も改正されています。直近では、2018年にクレーム管理サービスのコールドコールを禁止する改正が行われ、2019年には年金機構に対する同じ行為を禁止する改正が行われました。
現時点では、PECRはデジタル・プライバシーについて以下のような大まかなカテゴリーを対象としています:
- 電話、テキスト、電子メール、ファックスなどの電子的手段によるマーケティング
- ユーザーがウェブサイトを訪問した際に、ユーザーの情報を追跡するCookieやそれに類するツールの使用
- 公衆電子通信サービスのセキュリティについて
- トラフィックおよびロケーションデータ、項目別請求、回線識別サービスおよびディレクトリリストのための通信ネットワークの使用に関する消費者の安全性
PECRとGDPRの違いとは?
クッキーの同意についてすでにご存知の方は、英国の著名なプライバシー法の1つである一般データ保護規則(GDPR)がどのような位置づけにあるのか気になるかもしれません。
この2つの違いで注意しなければならないのは、両者が扱うサブ的な問題です。GDPRは、英国におけるデータプライバシー規制のためのより広範で包括的な枠組みを構築するために2016年に制定されましたが、PECRは電子マーケティングコミュニケーションに特に焦点を当てるために設計されています。
両法律は、クッキーの使用やウェブサイト訪問者からの同意の取得など、いくつかの点で共通していますが、PECRは、どのような種類の電子通信がマーケティングとみなされるか、またそれに対してどのように同意を得るべきかについて、より詳細に規定しています。
2つの法律の連携について
PECRは、英国でGDPRと並ぶ多くのプライバシー法の一つです。両者は同じ問題を扱っているため、必然的に両者の間には重複する部分があります。そこで、以下のポイントを通して、両者の関係について知っておくべき重要事項を列挙しました。
PECRはGDPRの同意の解釈を踏まえる
同意の定義は、組織が特定の行為を行う前に、どのように個人の許可を得るべきかを規定するものであり、個人情報保護法のどの部分においても主要な要素です。
PECRは、GPDRの同意基準を採用しており、オプトインの枠組みに従って、以下のことを求めています:
- 個人は、同意を与えるかどうかについての真の選択肢を与えられること。
- 十分な情報に基づいた選択ができるような情報が提供されていること
- 同意を与えるためには、ボックスにチェックを入れるなど、意図的な行動を取らなければならないこと。
サービスプロバイダーにとって、PECRはGDPRに優先して適用される
英国GDPRの第95条では、その規定が、既存のPECRの規定がある場合には、サービスプロバイダーには適用されないとされています。つまり、両者に矛盾がある場合は、PECRが優先されることになります。
PECRは、個人データが関与していない状況にも適用できる。
GDPRは個人データが処理されている場合にのみ適用されますが、PECRは必ずしもそうでない状況も対象としています。これは、PECRが電子的なマーケティングコミュニケーションを対象としているためで、個人データを介さずに送信することができます。
PECRはどのように施行されるか
プライバシーおよび電子通信規則は、英国の情報コミッショナー事務所によって管理されており、同事務所は法律を執行するためのいくつかの権限を持っています。これには、コンプライアンス違反の監査、非犯罪的執行、刑事訴追が含まれます。ICOは、PECRに違反した組織やその取締役に対して、最高50万ポンドの罰金を科すこともできます。
英国のPECRを遵守するためのベストプラクティス
以上のことから、PECRとその関連法に準拠し続けることが、組織にとって最善の利益であることは理解しがたいことではありません。結局のところ、罰金、罰則、そして調査だけでも、企業にとっては災難であり、時間とリソースを使い果たし、評判を落とすことになりかねません。
そこで、PECRを遵守するためのベストプラクティスをいくつかご紹介します。これらのヒントに従うことで、顧客やウェブサイト訪問者の個人データを保護するために必要な措置を確実に講じると同時に、ICOから罰金や処罰を受けるリスクを最小限に抑えることができます。
クッキーの監査
PECRやその他のプライバシー規制を遵守するための最初のステップは、あなたのウェブサイトのクッキーの使用状況を把握することです。あなたのウェブサイトのクッキーを監査して、絶対に必要なものと、なくても大丈夫なものを判断してください。必要なクッキーのリストができたら、必要でないクッキーの使用に対する同意を得るための作業を開始することができます。
オプトイン・コンセントの仕組みの構築
先に述べたように、PECRはオプトイン・コンセントの枠組みで運用されています。つまり、ウェブサイトの訪問者や顧客がクッキーの使用や個人データの処理に同意していると考えることはできないのです。その代わりに、そのようなことに積極的にオプトインする方法を提供する必要があります。
これを実現する方法はいくつかありますが、最もシンプルで効果的な方法の1つは、ウェブサイトに同意の仕組みを組み込むことです。これは、誰かがあなたのサイトを訪問したときに表示されるポップアップやバナーの形で、どのようなクッキーが使用されているか、なぜ使用されているかを説明し、訪問者にオプトインまたはアウトするオプションを与えることができます。
受領した同意の記録を保管する
もう一つの重要なベストプラクティスは、個人から受け取った同意の記録を残すことです。これは、いくつかの理由から重要です。まず、ユーザーから積極的に同意を得ることで、法令を遵守していることを証明することができます。次に、万が一、ICOがあなたの組織を調査した場合、コンプライアンス違反の主張に対する防御として機能します。
結論
デジタル社会は常に変化していますが、人々の個人データを保護することの重要性は不変です。PECRの詳細を知り、その遵守に努めることで、組織はそれを確実に実行することができるのです。
CookieFirstブログ
