欧州の規制当局はCookie同意をより重視 – EDPB|CookieFirstブログ
目次
欧州データ保護委員会(EDPB)は最近、クッキー・バナーに対応する新しいタスクフォースを設置しました。
欧州データ保護委員会(EDPB)は最近、クッキーのバナーに対処する新しいタスクフォースを設置した。彼らは、NOYB非営利団体によって提出された、すべてクッキーに関連する苦情を調整する責任を負うことになります。
では、欧州の規制当局がクッキーの同意についてより真剣に考え始めたとき、何を知っておくべきでしょうか?
このブログでは、新しいクッキーバナータスクフォースの意味合いを確認し、GDPR、ePrivacy規制、およびその他のデータセキュリティ法への準拠を維持するために組織が行う必要があることを確認します。
クッキーバナーのタスクフォース
EDPB(欧州データ保護委員会)は、新しいクッキー・バナー・タスクフォースを創設したばかりです。この対応は、規制当局がクッキーの同意についてより真剣に考え始めていることを示しており、NOYBが大きな推進力となったことが分かります。
NOYB(None of Your Business)は、Max Schremsが設立した非営利団体で、オーストリアを拠点としています。EUにフォーカスし、GDPRと提案されているePrivacy Regulationの導入と施行をサポートするための戦略的な取り組みを開始することを目的としています。一般的には、EU全域で情報プライバシーに対する支持を集めることを目標としている。
現在、4,000人以上のメンバーがおり、民間企業で発生するプライバシー侵害に焦点をあてている。ベルギーでは集団訴訟を起こすことができる団体として認知されているほどです。
では、Cookieの同意はどのように関係しているのでしょうか?NOYBは、クッキーバナーに関して400件以上の苦情を提出しており、新しいタスクフォースは、これらの苦情に対する調整と対応を担当することになります。
NOYB組織とNOYBクッキーバナーガイドラインについて詳しく知りたい方はこちらをご覧ください。
これらは、クッキー・バナー・タスクフォースの主な責務です:
- SA間の協力とベストプラクティスの共有の推進
- コミュニケーションの合理化
- 国家レベルでのクッキー関連活動へのサポート提供
- 法的分析およびクッキーのコンプライアンス違反の可能性の共有
多くの人が、クッキーはプライバシー法の壮大な計画の中では優先順位の低い問題と見られていると感じていましたが、今回の進展により、より真剣に取り組まれるようになったことが明らかになりました。EDPBや他の規制当局にとってホットな話題となるにつれ、追加のガイダンスや執行の強化が期待されます。
例えば、スペインとフランスのデータ保護当局は、クッキーに関する法律を遵守していない企業に対して、すでに罰金を科し始めています。組織はそれに応じて対応し、自社に適用されるクッキーの規則に確実に従わなければなりません。
クッキー コンプライアンス: 知っておきたいこと
Cookieの規制や要件に準拠するための基本的なルールがあります。これらのルールを理解することは、プライバシーおよびデータ管理ポリシーを策定し、適切な同意管理プラットフォームを選択する上で非常に重要です。
ここでは、最も重要なポイントをいくつか紹介します。
オプトイン同意
Cookieのコンプライアンスで最も重要な点の1つは、オプトインの同意を得ることです。組織は、Cookieやその他のトラッキングツールに同意するようユーザーを説得するために、あらかじめチェックされたボックスや誤解を招くようなバナーに頼ることはできません。
同様に、同意は推論することができません。たとえユーザーがクッキーのバナーを見た後、企業のウェブサイトを使い続けたとしても、企業はそのユーザーが個人データを共有することに同意したと見なすことはできないのです。
つまり、同意は、オプトインまたはオプトアウトのプロセスを通じて明示的に与えられる必要があります。この同意はまた、細かくなければなりません。つまり、ユーザーはどのクッキーを受け入れるか選択することができます。たとえば、ユーザーは分析用Cookieには同意しても、広告に使用されたり、第三者に販売されたりするスクリプトには同意しないかもしれません。
このように、包括的な同意書では、GDPRおよび提案されているePrivacy規制の要件を満たすことはできません。また、ウェブサイトの訪問者は、Google AnalyticsやYouTubeの埋め込みリンクのようなサードパーティのクッキーを含む、ページに埋め込まれたすべてのクッキーを制御できるようにしなければなりません。
データセキュリティ法ごとの同意のもう一つの点は、インフォームドコンセント(情報提供された同意)でなければならないことです。これはGDPRの主要な構成要素で、組織は自社のクッキーとスクリプトのリストを公開することを要求しています。このリストを公開するだけでなく、ツールを使用する理由や、ユーザーのデバイスにどれくらいの期間残存するかも記述しなければなりません。この情報のほとんどは、ウェブサイトのクッキー・ポリシーに記載されています。
クッキーの必要性
ユーザーの同意なしに、ユーザーのデバイスにクッキーやその他のトラッキングツールを置くことができるのは、目的のサービスを提供するために明示的に必要な場合だけです。
厳密に必要なクッキーの例としては、言語設定、オンラインカートに入れたアイテムの記憶、ロードバランシングクッキーなどがあります。一方、分析クッキーは、それがファーストパーティまたはサードパーティのスクリプトであるかどうかにかかわらず、このカテゴリーには含まれません。
同意の取り消し
スクリプトやクッキーを起動する前にユーザーが同意する必要があるのと同様に、ユーザーは同意を撤回する手段も持っている必要があります。この取り消しは、最初のオプトインと同じくらい簡単であるべきです。つまり、ユーザーが自分の好みを更新できる同意管理プラットフォームが必要なのです。
クッキーウォール
Webサイトにアクセスするために、ユーザーがクッキーに同意することを組織が要求することは合法ではありません。このクッキーの壁は、ウェブサイト上のコンテンツを閲覧したい場合、ユーザーが同意する以外に選択肢がないため、同意の「自由に与えられた」点を奪ってしまうのです。
未来への準備
では、EDPBのようなヨーロッパの規制当局がクッキーの承諾をより真剣に受け止めていることは、あなたの組織にとって何を意味するのでしょうか。
まず始めに、あなたのウェブサイトの同意管理システムを見直し、そのプロセスが適用されるすべての規制と一致していることを確認するために時間をかける必要があります。クッキーの使用を分析し、どのクッキーに依存しているかを判断してください。ほとんどのクッキーについてオプトインの同意が必要ですか、それとも活用するクッキーは厳密に必要ですか?
これらの質問に答えることは、データセキュリティを取り巻く規制環境が進化し続ける中で、将来に備えた同意プロセスを構築するのに役立ちます。また、プロセスを合理化し、ユーザー体験をサポートできるCookieFirstのようなCMPと提携することも意味があります。
– CookieFirstブログより引用
