英独仏など欧州連合(EU)各国の主要なデータ保護機関は2019年4月から11月にかけて、商業用Webサイトやモバイルアプリでの広告目的のクッキー(cookie)などの利用について監視を強化する方針を相次いで打ち出した。欧州向けのサービスで欧州データ保護規則(GDPR)の適用がある場合、日本企業も他人事ではない。

 インターネットイニシアティブ(IIJ)は2019年11月11日に都内で開催したシンポジウム「世界プライバシー保護法制の最前線」で、英独仏などのEU主要国が公表したクッキーの取り扱いを定めたガイダンスなどについて、IIJの鎌田博貴ビジネスリスクコンサルティング副本部長が解説した。その内容を基にGDPRが適用される場合に日本企業も必要とみられる対応を紹介する。

 英国データ保護機関のICO(Information Commissioner's Office)は2019年7月3日(現地時間)、インターネットユーザーの端末に搭載したWebブラウザーといったソフトウエアにクッキーなどを保存してユーザーのデバイスを識別できる技術について、企業などの取り扱いルールを定めた新しいガイダンスを公表した。

 ICOのガイダンスはGDPRや現行の規制である「eプライバシー指令」を基に、クッキーの扱い方に公正性や透明性といった原則の適用を求めるものだ。ICOは「今後クッキーのコンプライアンス(法令順守)状況は規制対応の優先事項になる。今すぐコンプライアンスのための作業を始めてほしい」と訴えている。

公表したガイダンスを説明する英国データ保護機関ICOのWebサイト
[画像のクリックで拡大表示]

 すでにEU各国のデータ保護機関が制裁金を科す執行事例も相次いでいる。フランスの個人データ保護機関CNIL(情報処理・自由に関する国家委員会)は2019年1月、米グーグル(Google)に対して5000万ユーロ(約62億円)の制裁金を科す方針を発表した。

 CNILはグーグルがAndroidなどのサービスを通じて集めた個人データについて、ユーザーに説明すべきデータの処理目的や保存期間といった重要情報を複数のドキュメントに分散して記載しており「透明性が欠けている」と指摘。さらに、グーグルによるデータの処理目的の説明があいまいで不適切なうえ、ユーザーから得た同意がGDPRが求める規定に準拠していないので無効だとした。

 2019年9月6日にもスペインのデータ保護機関(AEPD)が、バルセロナを拠点とする格安航空会社であるブエリング航空(Vueling Airlines)に対して3万ユーロ(約420万円)の制裁金を科すと公表した。

 AEPDなどの公表資料によると、同社のWebサイトはユーザーに対してすべてのクッキーを受け入れるか拒否するかを選択できる画面を表示するだけで、詳細なクッキー利用の同意・拒否を選択できる機能を実装せず、同社のクッキーポリシーに記載した内容とも異なっていたという。

 こうした動きを踏まえてIIJの鎌田副本部長は「2020年はEU各国でクッキーに対する取り締まりが強化されるのではないか」と警鐘を鳴らす。

EUは包括的情報提供とオプトイン求める

 EUのクッキーに対する規制は、EU市場で商品やサービスなどを提供したり紹介したりする「電子商取引(eコマース)サイト」や「ブランドサイト」、さらにはターゲティング広告などネット広告の目的でクッキーを利用する場合に適用される。

この先は有料会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら