【当社WebのGDPR対応計画】Cookie ConsentでCookie使用通知・同意を得る仕組みをつくる

2018年6月14日

https://imamura-net.com

おはようございます！マネジメントオフィスいまむらの今村敦剛です。

5月25日から施行された、GDPR(General Data Protection Regulation: EU一般データ保護規則）に、当社ホームページも対応したいと思っています。今回はCookie使用通知・同意を得る仕組みをつくってみます。

GDPRとは？

EUが定めた個人情報保護のための規則です。EU内の全ての個人のために保護を強化し統合することを目的としています。もともとEUでは、データ保護指令という個人情報保護のための指令がありました。これが日本の個人情報保護法のベースにもなっているのですが、2018年5月25日からは、強固な罰則規定のある規則（≒法律）が施行され、より一層の個人情報保護が図られることになりました。

ja.wikipedia.org

EU一般データ保護規則 - Wikipedia

https://ja.wikipedia.org/wiki/EU一般データ保護規則

当社（マネジメントオフィスいまむら）はどうGDPRに関係するの？

当社はEU域内の個人・法人向けのサービスを行っているわけではありません。しかし、EU域内に短期出張中、または出向した日本人からの問い合わせの可能性はゼロではありません。このようなケースも、GDPRに基づく個人情報保護の対象となります。JETROのハンドブックの記述を見てみましょう。

GDPRの保護対象となる「個人データ」とは、EEA域内に所在する個人（国籍や居住地などを問わない）の個人データをいう。短期出張や短期旅行で EEA 域内に所在する日本人の個人データや、日本企業から EEA域内に出向した従業員の情報（元は日本から EEA域内に移転した情報）も、処理および第三国への移転の制限を受ける個人データに含まれる。

www.jetro.go.jp

https://www.jetro.go.jp/ext_images/_Reports/01/dcfcebc8265a8943/20160084.pdf

また、当Webでは、マーケティング目的としてGoogle AnalyticsやGoogle AdsenseといったCookie使用サービスを利用しています。Cookie情報もGDPRで保護される個人情報のひとつであり、GDPRではWebサイトで使用されている Cookie についての情報を、EU からの訪問者に対して提供することを義務付けています。ですので「Cookie使ってますよ」という通知や同意を得る仕組みを構築しないといけないわけです。

免責事項

当ページの内容は、情報提供のみを目的として提供されており、GDPRがどのようにあなたおよびあなたの組織に適用されるかについて、法的な助言として提供するものではありません。したがって、当ページの記載事項に基づいて判断してはなりません。あなたの弁護士等と協力して、GDPRがあなたの組織に具体的にどのように適用されるのかを、話し合うことをお勧めします。

したがって当社は、このページの情報について、法的な保証を行いません。このページに記載されている情報や見解は、予告なしに変更することがあります。

Cookie使用通知・同意の必要性

まず、GDPRではCookieは個人情報に該当します。前文の(30)にこう記されていますね。これがGDPRがCookieについて触れた唯一の箇所でもあります。

(30) 自然人は、インターネットプロトコルアドレス、クッキー識別子、又は、無線識別タグのようなその他の識別子といったような、当該自然人のデバイス、アプリケーション、ツール及びプロトコルによって提供されるオンライン識別子と関連付けられうる。これは、特に、サーバによって受信されるユニーク識別子及びその他の情報と組み合わされるときは、自然人のプロファイルをつくり出し、そして、自然人を識別するために用いられうる痕跡を残しうるものである。