CNILが採択したトレーサーに関する改訂ガイドラインを読む

CNILが採択したトレーサーに関する改訂ガイドラインを読む

2020年11月13日

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。

当記事で取り上げるのは以下の配信です。

  • 配信日:2020年10月22日 
  • タイトル: CNILが採択したトレーサーに関する改訂ガイドラインを読む
  • 発表者:株式会社データサイン 代表取締役社長 太田祐一

Cookie設定などについて利用者の同意を得る義務を規定

フランスの情報処理及び自由に関する国家委員会「CNIL」(日本語では一般に「クニール」と発音)では、Cookieおよびその他のトレーサー(追跡技術)に関するガイドラインの改訂版を2020年9月に採択しました。日本でデジタル広告に関わるマーケターの方々にも役立つ情報が記されたガイドラインの概要と、改訂版に盛り込まれたポイントについて、データサインの代表取締役社長 太田祐一が解説しました。

フランスが定めるデータ保護法の第82条は、EU各国での法制化を求めるePrivacyDirective(いわゆる、eプライバシー指令)第5条3項すなわち、ネットワーク利用者のスマートフォンやPCへの情報の保存または情報へのアクセスは、一般データ保護規則(GDPR)に基づく同意があった場合に許される、という条項に相当しています。

「特に、Cookieを含むトレーサーの書き込み/読み取り操作をする前に、一定の例外を除いてインターネット利用者の同意を得る義務について規定しています」(太田)

トレーサーに該当するのはCookieをはじめ、HTML5に標準実装されるローカルストレージや、(Flash Cookieとも呼ばれる)ローカルシェアードオブジェクト、フィンガープリンティング計算による識別、OSによって生成された識別(IDFA、IDVF、Android IDなど)、MACアドレスやシリアル番号といったハードウェア識別子などです。

本ガイドラインに示された勧告がCNILによって初めに採択されたのは2013年のことです。当時のCookieによる読み取り/書き込み操作に関する実装方法などが示されました。その後2018年5月に適用開始されたGDPRで、同意の有効性に関する要件が強化されたことを受け、勧告の一部を見直して2019年7月にGDPR対応版のガイドラインを採択しました。さらに翌2020年6月にフランスの国務院(行政事件裁判の終審裁判所)の判決を受けて一部を変更した改訂案が、今回紹介する2020年6月に採択されたガイドラインになります。

同意が不要なトレーサーに関する具体的な記述も

ガイドラインには、トレーサーの利用に関する同意について、次のような主旨の記述があります。

  • 利用者は明確な肯定的な行為(例えば、Cookieのバナーで『同意します』をクリックするなど)によってトラッカーの提供に同意しなければならない
  • サイト上で、ページ回遊を続けることはユーザーの同意の有効な表現とは見なさない
  • 利用者がいつでも簡単に同意を撤回できるようにしなければならない
  • トレーサーを使用するすべての行為者の身元を知らされなければならない

などです

「改訂版では新たに次の記述が追記されています。『明確で肯定的な行為による同意の表明がない場合には、利用者は端末装置における読み書きを拒否したものと考えなければならない』、そして『トレーサーの利用を同意・拒否する方法を示し、同意・拒否することによりどのような影響を受けるのかについて情報を提供すべき』という、より踏み込んだ内容です」(太田)

一方、同意の必要がないトレーサーについての記述が拡充しています。

  • 利用者がログインした際に書き込むセッションクッキーによる認証
  • ショッピングカートに仮登録された商品コンテンツの保存
  • 円滑なアクセスを提供する負荷分散といった目的

であれば同意は不要です。

また、ニュースサイトなどで見られる「今月はあと○本まで無料で読めます」といった、

  • 有料サイトで利用者が要求したコンテンツのサンプルへの無料アクセスを制御するトラッカー
  • アクセス解析では広告主など第三者に情報を提供しない、当該組織内に閉じた用途

においても同意が不要とされています。

「同意が不要なのはあくまでトレーサーが、GDPRにおける(データコントローラーではなく)、データプロセッサーとしてのみ動作する、ということが条件と見なせます」(太田)

Cookieウォールを用いたサービスの有料化はOK?

ガイドラインには、トレーサーの利用に同意しない利用者に対してWebサイトやモバイルアプリの利用を拒否する、Cookieウォール(wall)の扱いについて言及されています。

「CookieウォールはGDPRにおいては違反である、としつつも、改訂版での追記からは、フランスにおいては『Cookie設定への同意を、サービス提供やWebサイトの条件とすることはケースバイケースで判断する』というように読み取れました。例えば、『もしCookie設定に同意すれば無料でサービスを利用できるが、Cookie設定に同意しないのであればサービス利用は有料』という課金ビジネスは問題ない、と解釈する余地があります。このように有料化を図るビジネスモデルが今後増えていくのではないかと見られます」(太田)

フランスにおけるデータ保護法とEUのGDPRのどちらが優先されるのか、明確な言及が避けられていますが、日本のデジタル広告業界の今後の動向を見る上で本ガイドラインは参考になりそうです。データサインでも海外におけるプライバシーテックや法制度の動向は折を見て取り上げてまいります。

※注意とお願い

本ガイドラインの原文はPDFファイルでWeb公開されていますが、フランス語で記されています。今回、読解のために原文を無償のWeb翻訳ツールで和訳しました。そのため、本レポート内の記述の正確性はデータサインで保証しかねる点をご了承ください。フランス語に堪能で本ガイドラインの内容について補足・アップデートしていただける方のご意見、ランチタイムトークへのご出演を心より歓迎いたします。


お問合せ