毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。
- 配信日:2020年5月21日
- タイトル: 欧州データ保護会議による「同意取得ガイドライン」
- 発表者:株式会社データサイン 代表取締役社長 太田祐一
Cookieウォールは認められません
欧州データ保護会議(EDPB:European Data Protection Board)が、2020年5月4日に公表したガイドラインのポイントをデータサイン代表取締役社長 太田祐一が解説しました。
このガイドラインのタイトルは「Guidelines 05/2020 on Consent under Regulation 2016/679」という名称で、2018年4月に公表されたガイドラインの改訂版にあたります。タイトル内の「Regulation 2016/679」とは、GDPR(EU一般データ保護規則)のバージョンを意味します。
「修正された部分は多くないですがポイントは、いわゆるCookieウォールに対してデータ対象者が提供する同意の妥当性と、スクロール同意に関するものでした」(太田)
Cookieウォール(wall)とは、「同意しますか」というポップアップを表示する仕組みで、同意管理プラットフォーム(CMP:Consent Management Platform)により提供されるものです。同意しないと利用者はWebサイトの閲覧や利用ができません。
「Cookieウォールについては、オランダでは認めない、など欧州でも個別の立場がありましたが、このガイドラインの『3.1.2 Conditionality』セクションのパラグラフ38から41にかけて、Cookieウォールの仕組みは、データ対象者に同意が自由に与えられたとは認められず、有効な同意を構成しないと、明確に記述されています」(太田)
パラグラフ38には、「第三者が提供する代替オプションに依存した同意はGDPRに準拠していない」とあります。
「換言すると、『同意しないのであれば、弊社のサービスは利用できません。他者の同様のサービスを利用してください。それでもよいですか?』という同意の求め方のことです。ただ、本当に他社が本当に『同様のサービス』を提供しているか保証してくれているわけではありません。そのため、同意を得るための理由にはならない、とガイドラインは明記しています」(太田)
スクロール同意も認められません
スクロール同意とは、あるWebサイトをスクロールして閲覧し続けた場合、サイトの利用規約やCookieポリシーに同意したと見なす、という同意取得の考え方です。
「『3.4 Unambiguous indication of wishes』セクションのパラグラフ86には、GDPRのリサイタル32によれば、Webページをスクロールしたりスワイプしたりするような行為や、それに類するユーザーの行為は、どのような状況でも明確かつ肯定的な行為の要件を満たすことはできず、さらにたいていそのような場合、ユーザーが同意を与えるのと同じくらい簡単に同意を撤回する方法を提供することが困難になっている、という例が示されています」(太田)
GDPRのリサイタル32では、データ対象者(ユーザー)が自分に関する個人データの処理に同意していることを、自由に与えられた、具体的かつ明確な意思表示を確立する肯定的行為、例えば、電子的手段を含む書面や口頭による陳述によって与えられるべきである、と定めています。
「ユーザーの沈黙ならびに、事前にチェックボックスにチェックを入れていない、もしくは何もしていない状態は同意を構成するものではない、とされています。いわば、本ガイドラインでは、スクロール同意は認められない、と述べています」と太田は補足します。
日本における個人情報保護法との違いは?
日本の個人情報保護法では、Cookieウォールとスクロール同意はどのような取り扱いになっているのでしょうか。
個人情報の保護に関する法律についてのガイドライン(通則編)の2-12「本人の同意」には、次のような記述があります。
「本人の同意を得(る)」とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない」
太田は、これについて、GDPRの内容とほぼ同じだと認識しています。
「要するに、データ主体が、自分のデータがどのように使われるかを理解していることを確認したうえで、データを取り扱わないといけない、ということを述べています。情報銀行をめぐるディスカッションの際には、国はいわゆるスクロール同意は認めず、明示的に同意を得なければならない、というスタンスでした」(太田)
ただ、GDPRと個人情報保護法で異なる点もあると太田は指摘します。
「まず、同意が必要な場面です。日本では、要配慮個人情報を除いて、なおかつ、第三者提供しない場合は、データを取得・処理する場面では同意は原則不要です。言い換えると、組織内で一般的な個人情報を扱う場合は、同意は必要がない、という点がGDPRとの差異です」(太田)
その一方で「同意が必要とされないWebサイトで『このサイトではクッキーを使用しています。サイトを見続けると同意したとみなします』と言った類のポップアップが表示されることが多々あります」(太田)
Webサイトの提供者と利用者との間の適切な信頼関係を確立するためには、いまいちど個々のWebページが、どのような目的でどのような個人情報を得ているのか、目的と取得内容をデータ提供者である利用者に伝えているかどうか、いまいちど点検する必要がありそうです。