欧州データ保護会議 クッキーバナータスクフォースの報告

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

• 配信日：2023年1月19日
• タイトル：EDPB クッキーバナータスクフォースの報告
• メインスピーカー/MC：データサイン 代表取締役社長 太田祐一

フランスのデータ保護機関がプラットフォーマーなどに制裁金

この日のランチタイムトークでは、EUにおける個人データ保護関連の動向をお伝えしました。

まず、フランスのデータ保護機関「CNIL」が大手プラットフォーマーなどに相次いで制裁金の支払いを命じたニュースです。

「2022年10月から2023年1月にかけて、CNILはマイクロソフト、アップル、TikTokの運営企業など少なくとも7件の制裁を命じています。最も高額な制裁金を科されたのがマイクロソフトで 6000 万ユーロでした。検索エンジン（Bing.com）がユーザーの事前同意なしに広告目的のCookieを収集していたことが理由の1つに挙げられています」（データサイン 代表取締役社長 太田祐一）

ファーストパーティーによるオンライン識別子の扱いも要注意

一方、CNILがアップルに制裁を科した理由としては、iOS14.6ではApp Storeで掲載される広告のためのオンライン識別子が、デフォルトでユーザーの同意を得ることなく、端末で自動的に読み取られていた点が記されています。

「マイクロソフトのBing.comでも同様ですが、自社で収集したユーザーに関するデータを用いて自社メディアに広告を配信する場合でも、ユーザーの同意なく実施することが問題視されています。従来の第三者によるユーザーに関するデータの収集および、それに基づく広告配信だけでなく、ファーストパーティーによるオンライン識別子の扱いについても、フランスでは規制があります」（太田）

Cookieバナーの配置やデザインの規制がEU全域で統一化？

次に取り上げたのは、欧州データ保護会議（EDPB：European Data Protection Board）が設立したCookieバナータスクフォースが、2023年1月に報告書を発表したニュースです。報告書は、プライバシーキャンペーングループ「noyb」（ノイブ）が訴求したCookieバナーについての苦情を処理する目的でまとめられました。

Cookieバナーは、Cookie利用に関するユーザーの同意/拒否を確認するなど、同意取得のためにブラウザに表示されるポップアップなどのことですが、それに対する規制がEU各国で足並みが揃っていないので、揃えるべきだとnoybは主張しています。

「これについて報告書では、Cookieバナーの配置または読み取りに関してはeプライバシー指令（ディレクティブ）が適用される一方、データ管理者（データコントローラー）によって行われるその後の処理活動にはGDPRが適用されることを説明しています」（太田）

報告書ではCookieバナーの配置やデザインについて、タイプ別に対応を記しています。いくつか例を挙げると、

• 同意をするボタンと拒否/拒絶/同意しない意志を表明するボタンは同じ層になければならない。
• オプトインのための事前選択ボックスはGDRPまたはePrivacy指令で言及される有効な同意につながらない。
• 同意撤回も、同意と同じように容易に行えるように、ボタンを配置する

などです。

ファーストパーティーCookieおよびCookieバナーに対する規制に関して、EUにおけるGDPRとeプライバシー指令および、日本における個人情報保護法と電気通信事業法にはベースとなる考え方に違いもあります。欧州各国とビジネスする際のデータ移転やプライバシー対応、今後の日本における法規制の展開を考えるうえで、引き続きウォッチしたいと思います。