おはようございます!マネジメントオフィスいまむらの今村敦剛です。
一般データ保護規則(GDPR)では、オンライン識別子が個人データ(個人情報)として扱われます。オンライン識別子にはCookieデータやIPアドレスも含まれると言われており、ホームぺージでもcookieデータの取り扱いについて対応する必要があります。なぜこんなことが必要なのでしょう?
GDPRにおけるcookieデータの取り扱い
GDPRでcookieがダイレクトに言及されているのは一か所だけです。備考(recital)の(30)に、次のような表記があります。
(30) Online identifiers for profiling and identification*
Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.
日本の個人情報委員会が作成・公開している仮訳では、次のように訳されていますね。
(30) 自然人は、インターネットプロトコルアドレス、クッキー識別子、又は、無線識別タグのようなその他の識別子といったような、当該自然人のデバイス、アプリケーション、ツール及びプロトコルによって提供されるオンライン識別子と関連付けられうる。これは、特に、サーバによって受信されるユニーク識別子及びその他の情報と組み合わされるときは、自然人のプロファイルをつくり出し、そして、自然人を識別するために用いられうる痕跡を残しうるものである。
上記のように、cookieデータが個人を識別できる場合があるために、個人データとみなされるということですね。
Cookieが個人情報だとして、一体何が問題なのか
cookieは小さなファイルで、ウェブを閲覧する際に、閲覧者のPCやモバイル端末のローカル領域に自動的に保存されるものです。それ自体は特に害もなく、簡単に表示や削除が可能です。しかしcookieデータは、ある条件を満たす場合、閲覧者の明白な同意なしに個人を特定することも不可能ではありません。
ずいぶん前の事例ではありますが、cookieデータの盗聴による個人情報の漏えい事件が日本でも起きました。あるネットショップでは、会員のログイン中に同一会員からのセッションを判別するためにcookieを使っていたそうなのですが、"cookieを盗聴することで会員になりすましてログイン可能で、中には個人情報変更画面でパスワードやクレジットカード番号まで閲覧できるサイトもあったという。22サイトはいずれも、SSLによる個人情報保護を謳っていたネットショップだった。"そうなのです。
このようなリスクもあってか、欧州ではcookieを個人データとみなし、GDPRはもとより、現在でも審議中のePrivacy規則でも、個人データとしての取り扱い方法を規制しようとしています。
自社のウェブサイトとCookieがGDPRに準拠していることを確認するには何をすべきか
GDPRに適合するためには、cookie利用の同意を得ることが一般的には必要だと言われています。そもそもGDPRの第6条では、個人データの取り扱いの適法性について、6つの条件が記載されていますが、その一つが「同意」なのです。(他の5つはcookieの取り扱いには不適格なのかどうかは……正直なところ、法の専門家でないのでよくわかりません)
同意の条件は、GDPRの第7条で説明されていますが、次の表のようにまとめることができます。つまりcookieデータを取得するための同意も、下記の条件を満たす必要があるということですね。結構大変です。
JETRO発行『「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)』より引用 https://www.jetro.go.jp/ext_images/_Reports/01/dcfcebc8265a8943/20160084.pdf
ただし、同意を取ればそれで全てがOKというものではありません。例えばデータ主体の権利として削除権(忘れられる権利)があります。ユーザーから要請された場合、保持している当該ユーザーのデータをすべて適切に削除する必要があります。
便利なcookie管理ツール"Cookiebot"
cookieに関して上記のことを順守できるよう、ウェブサイト上の見せ方だけではなく、社内の体制も整えなければならないのです。具体的には、ユーザーがウェブサイトに来訪した際にcookieに関する通知・ポリシーを提示したり、保存を許可するcookieの種類をユーザーが選択・削除・制限したり、同意が与えられるまでcookieを一時停止したり、それら一連のアクションを記録する仕組みを整えなければならないのですが、これをカンタンにする「cookie管理ツール」というものがあります。実務上は、このようなツールを使うことが一般的になりつつある感じですね。
当社でも近頃、"cookiebot"という管理ツールを試してみました。明日からはそのツールのレビューをお届けしたいと思います!