ものづくり経営革新等支援機関

【当社WebのGDPR対応計画】Cookie ConsentでCookie使用通知・同意を得る仕組みをつくる

https://imamura-net.com

おはようございます!マネジメントオフィスいまむらの今村敦剛です。

5月25日から施行された、GDPR(General Data Protection Regulation: EU一般データ保護規則)に、当社ホームページも対応したいと思っています。今回はCookie使用通知・同意を得る仕組みをつくってみます。

GDPRとは?

EUが定めた個人情報保護のための規則です。EU内の全ての個人のために保護を強化し統合することを目的としています。もともとEUでは、データ保護指令という個人情報保護のための指令がありました。これが日本の個人情報保護法のベースにもなっているのですが、2018年5月25日からは、強固な罰則規定のある規則(≒法律)が施行され、より一層の個人情報保護が図られることになりました。

当社(マネジメントオフィスいまむら)はどうGDPRに関係するの?

当社はEU域内の個人・法人向けのサービスを行っているわけではありません。しかし、EU域内に短期出張中、または出向した日本人からの問い合わせの可能性はゼロではありません。このようなケースも、GDPRに基づく個人情報保護の対象となります。JETROのハンドブックの記述を見てみましょう。

GDPRの保護対象となる「個人データ」とは、EEA域内に所在する個人(国籍や居住地などを問わない)の個人データをいう。短期出張や短期旅行で EEA 域内に所在する日本人の個人データや、日本企業から EEA域内に出向した従業員の情報(元は日本から EEA域内に移転した情報)も、処理および第三国への移転の制限を受ける個人データに含まれる。

また、当Webでは、マーケティング目的としてGoogle AnalyticsやGoogle AdsenseといったCookie使用サービスを利用しています。Cookie情報もGDPRで保護される個人情報のひとつであり、GDPRではWebサイトで使用されている Cookie についての情報を、EU からの訪問者に対して提供することを義務付けています。ですので「Cookie使ってますよ」という通知や同意を得る仕組みを構築しないといけないわけです。

免責事項

当ページの内容は、情報提供のみを目的として提供されており、GDPRがどのようにあなたおよびあなたの組織に適用されるかについて、法的な助言として提供するものではありません。したがって、当ページの記載事項に基づいて判断してはなりません。あなたの弁護士等と協力して、GDPRがあなたの組織に具体的にどのように適用されるのかを、話し合うことをお勧めします。

したがって当社は、このページの情報について、法的な保証を行いません。このページに記載されている情報や見解は、予告なしに変更することがあります。

Cookie使用通知・同意の必要性

まず、GDPRではCookieは個人情報に該当します。前文の(30)にこう記されていますね。これがGDPRがCookieについて触れた唯一の箇所でもあります。

(30) 自然人は、インターネットプロトコルアドレス、クッキー識別子、又は、無線識別タグのようなその他の識別子といったような、当該自然人のデバイス、アプリケーション、ツール及びプロトコルによって提供されるオンライン識別子と関連付けられうる。これは、特に、サーバによって受信されるユニーク識別子及びその他の情報と組み合わされるときは、自然人のプロファイルをつくり出し、そして、自然人を識別するために用いられうる痕跡を残しうるものである。

Cookieだけでは個人(自然人)を識別できないのでは……という思いもあるのですが、他の情報と照合することで個人を特定できる可能性があるので、Cookieの機能を利用して収集する情報も「個人情報」に該当するとの前提での取扱いを行うべきということなのでしょう。

また、同意を得る根拠としては、第6条第1項(a)に次のような要求事項があります。

1. 取扱いは、以下の少なくとも一つが適用される場合においてのみ、その範囲内で、適法である:
(a) データ主体が、一つ又は複数の特定の目的のための自己の個人データの取扱いに関し、同意を与えた場合。

ということで、同意を得ることが適法化事由になっている以上、Cookie使用の同意も必要だという解釈なのですね。確かにグローバル企業のホームページなどにアクセスをすると、Cookie使用の通知・同意を最近見かけるようになりました。

日本の個人情報保護法では、同意が必要なのは下記の4つ(のはず)なので、Cookieも含めた個人情報の取得や処理に事前の同意を求めるGDPRのほうがだいぶ厳しいですね。

  1.  目的外利用をする場合(現行法16条)
  2.  個人データを第三者に提供する場合(現行法23条)
  3.  要配慮個人情報を取得する場合(改正法17条2項)
  4.  外国にある第三者へ個人データを提供する場合(改正法24条)

Cookie Consentでフローティングボックスを作る

必要は発明の母、ということわざがあるように、GDPRに対応していろんなサービスが提供されているのです。Cookieの使用通知・同意を得るための仕組みも、無料でできるサービスがあるんですね。それが"Cookie Consent"という下記のサービスです。

始めてサイトに訪問する人に対して、フローティングボックス形式で通知・同意を得ることができます。具体的には下記のような感じですね。画像の右下にフローティングボックスが見えますね。

スマホ表示でもご覧の通りです。

Cookie Consentを使ってみる

作り方は簡単です。まずは下記のサイトにアクセスします。

"Download"のボタンをクリックします。

すると、フローティングボックスのデザインやメッセージ内容をカスタマイズできるページに遷移します。説明はしませんので?、適宜変更してくださいね。

デザインやメッセージ内容を変更をすると、右側のコードに反映されます。このコードをコピーし、ウェブサイトのヘッダーの</head>の前にコピーしてあげればよい、と書かれています。

僕の場合は、WordPressテーマの"Stinger Pro2"というのを使っているのですが、その管理画面の下記の欄にコピーしたら、うまくいきました?

さあ、これでCookie使用通知と同意が得られる仕組みができました!

  • B!

最近の人気記事

1

おはようございます!マネジメントオフィスいまむらの今村敦剛です。 国際標準化機構(ISO)は、現行のISO9001:2015(品質マネジメントシステム規格I)を改訂する準備を進めているようです。現在の ...

2

おはようございます!マネジメントオフィスいまむらの今村敦剛です。 2024年2月、ISO(国際標準化機構)は、マネジメントシステム規格に「気候変動への配慮」を盛り込む形で規格の一部を改定しました。今回 ...

3

おはようございます!マネジメントオフィスいまむらの今村敦剛です。 5Sの考え方がISO9001や14001の運用に役立つことがあります。その逆もあって、ISOの仕組みが5S活動に役立つこともあるんです ...