ブログ
欧州Cookie法について
2020.12.25
2020年12月に、フランス当局が世界的なIT企業に対して、1億ユーロという巨額の制裁金を課したことを公表しました。フランス当局はその理由として、同社がCookie(クッキー)を用いて行っていた情報収集(オンライン・トラッキング)について、ユーザから必要な同意を取得していなかったことや、十分な説明を行っていなかったことを挙げています。
この制裁金はフランスのデータ保護法(French Data Protection Act)に基づいて課されたものですが、実は、他のEU加盟国もCookieについて同じような内容の法律を制定しています。これは、ePrivacy指令という欧州連合(EU)が制定したルールが、EU加盟国に対してそのような法律を制定することを義務付けているためです。EUが制定するルールには、「指令(Directive)」と呼ばれる、EU加盟国に一定の内容の国内法の制定を義務付けるものと、「規則(Regulation)」と呼ばれる、それ自体が法律としての効力を持ち、直接適用されるものの二種類があります。ePrivacy指令は前者であり、欧州一般データ保護規則(GDPR)は後者ということになります。
そうすると、ePrivacy指令を見れば、EU加盟国のCookieに関するルールの概要を把握できることになりますので、実際にePrivacy指令の規定がどうなっているか見てみましょう。以下は、ePrivacy指令5条3項の規定です。
“Member States shall ensure that the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information 〔以下略〕”
ざっくりと言えば、①ユーザの端末(PC、スマホなど)に情報を保存したり、②端末に既に保存された情報にアクセスしたりする場合には、ユーザに対して十分な説明を行ったうえで、ユーザの同意を取得しなければならないというルールになっています。
このルールがCookieとどのように関係するのか考えてみます。Cookieを利用しているウェブサイトをユーザが訪問すると、ウェブサイトのサーバからユーザが使用しているブラウザに対して、Cookieを作成・保存するように指示が出ます。この指示を受けて、ユーザの端末ではCookieが作成・保存されます(これは、上記①に該当します)。次に、同じブラウザで、再びウェブサイトに訪問すると、サーバはユーザの端末に保存されているCookieにアクセスして情報を取得します(これは、上記②に該当します)。このため、ePrivacy指令のルール(厳密には、ePrivacy指令に基づいて制定されたEU加盟各国の法律)を守るためには、サーバがブラウザに対してCookieの作成・保存を指示する前に、ユーザから同意をとる必要があります。
これを可能にするのが、Cookieバナーと呼ばれるものです。ウェブサイトを最初に訪問した時にポップアップ表示され、そのウェブサイトによるCookieの利用に同意するかをユーザに尋ねるものですが、実際に見たことがある方も多いのではないでしょうか。近年では、日本企業の中にも、ePrivacy指令に対応するために、あるいは、プライバシー配慮の観点からCookieバナーを導入するところが増えているように思います。
なお、ePrivacy指令については、指令から規則への格上げが検討されています。報道などでは、この規則のことを「クッキー法」と呼ぶことが多いようですが、ePrivacy指令に基づくEU加盟各国の「クッキー法」は上で述べたとおり既に存在します。ルールに違反した場合の制裁は、現在は各国の「クッキー法」で定められていますが、規則に格上げされた場合には、GDPR並みの高額な制裁金が一律に課されることになる見込みであり、更にルールの重要性が増すといえるでしょう。
注:本ブログでは、分かりやすさの観点より、必ずしも正確でない用語・表現を用いて説明していることがあります。個別具体的な法解釈については、必ず法律専門家にご相談ください。 |
Member
PROFILE