GDPRに基づいてクッキー同意を求めるべき方法

クッキーとは何ですか？

クッキーは、ウェブサイトやアプリがあなたのデバイス（ラップトップ、スマートフォン、タブレット）に送信し、そこに保存し、データを収集するために使用する小さなテキストファイルです。ウェブサイトやアプリの所有者、すなわちデータコントローラーは、それらのデータを自分たちのニーズのために処理します。

あなたにとってなぜ重要なのか？

クッキーはあなたの個人データを収集し、他者に処理を委ねます。

それが必ずしもあなたが何か損害を受けることを意味するわけではありません。あなたが身元盗用の被害者になるわけではありません。

単に、あなたのデータが他者の手に渡り、彼らが容易に利用可能になったということです。彼らは法律に従ってそれを処理するかもしれませんし、何もしないかもしれませんし、悪用するかもしれません。それは分かりません。

企業が行うべきことは？

企業は、ユーザーのデバイスにクッキーを注入する前に、ユーザーの同意を求めなければなりません。

同意なしにクッキーを使用することは違法であり、GDPRの違反です。さらに、同意は法的に要求され、取得されなければなりません。すべての同意が等しいわけではありません。

企業は、意図的であれそうでなければ、同意要求においてしばしば間違いを犯します。GDPRの短い期間は、欧州連合司法裁判所（CJEU）の1つの重要な判決と、欧州データ保護委員会（EDPB）の詳細な推奨につながりました。

裁判所の判決は、Planet49の判決として広く知られており、ドイツの企業が不法に同意を収集したために罰金を科されました。

GDPRの罰金については、リンクされたページで詳しく読むことができます。

具体的には、彼らはユーザーにチェックを委ねる代わりに、事前にチェックされたチェックボックスを提供しました。これは肯定的な行動ではありません。したがって、これは法律違反です。

肯定的な行動は、GDPRによる合法的な同意の要件の1つに過ぎませんが、注意すべきことはそれだけではありません。

GDPRクッキー同意要件

GDPRでは、同意が以下の要件を満たす必要があります。

• 自由に与えられること
• 情報に基づくこと
• 特定のこと
• 明確であり、そして
• 容易に撤回できること

これらの5つの要件をすべて満たさなければ、合法的な同意とはなりません。

しかし、それぞれが何を意味し、適切に要請されているかどうかをどのように認識するのでしょうか？

自由に与えられる

同意は、ユーザーが自発的に行動した場合に、自由に与えられたとみなされます。以下の場合、ユーザーは自身の意志で同意を与えたとみなされます。

• 同意を強制されていない。 同意を強制しようとするウェブサイトは、同意を利用規約と一緒に提供することがよくあります。これはGDPRに反しています。そのような同意は、自由に与えられたものではないため、無効です。
  覚えておいてください： ウェブサイトは常に同意を別々に求めるべきです。
• 同意なしでコンテンツへのアクセスを妨げられている。 これはクッキーウォールと呼ばれ、ウェブサイトがあなたのプライバシーを侵害するずる賢い方法の一つです。ウェブサイトは、同意を収集せずにすべてのコンテンツへのアクセスを提供する必要があります。これにはウェブサイトのメンバーエリアは含まれませんが、それもクッキーの使用を要求するものではありません。
  覚えておいてください： コンテンツへのアクセスにはクッキーが必要ではありません。アクセスのために同意を求められた場合、それはあなたのGDPR権利を侵害するものです。
• ユーザーが撤回を妨げられている。 同意を与えるのも撤回するのも自由です。つまり、コントローラーは撤回するためのどのような否定的な結果も課してはなりません。
  覚えておいてください： 同意の撤回はGDPRの権利です。データコントローラーが撤回を妨げようとする場合、当局に対して行動を起こす時です。

情報に基づく

同意が情報に基づいている場合、あなたが同意を与えた場合にあなたの個人データに何が起こるかについて情報を受けていることを意味します。企業はこの情報をプライバシーポリシーを通じて伝えます。

ただし、プライバシーポリシーを持っているだけでは不十分です。ウェブサイトは、収集の時点、すなわちクッキーの使用に対する同意を求める時点で、ポリシーへのリンクを提供するべきです。

さらに、そのポリシーでは、ウェブサイトがクッキーを使用する理由、使用目的、そしてそれらで収集するデータについて、明確に述べる必要があります。これらの情報がすべてない場合、同意要求は不法です。

以下のバナーは、この要件を満たす良い例です。彼らは同意を求め、プライバシーポリシーへのリンクを提供しています。同意を与える前に、そこをクリックして彼らのプライバシー慣行について自分自身を情報提供することができます。

しかし、プライバシーポリシーを読むかどうかはあなた次第です。それを読む義務はありませんが、簡単にアクセスできるように提供されている場合、法律はあなたがそれを読んだと見なします。

覚えておいてください： ウェブサイトは、クッキーによって収集された場合にあなたのデータに何が起こるかについての情報を提供しなければなりません。その情報は平易な言葉で、理解しやすい方法で提供されなければなりません。

特定の

企業は、処理目的ごとに別々の同意を得なければなりません。

ウェブサイト分析を追跡し、広告クッキーを使用する企業は、それぞれの目的について個別に同意を求めなければなりません。一括した同意は有効ではありません。

以下のクッキーバナーは、特定の要求の良い例です。バナーはウェブサイトがクッキーを使用する理由を明確に述べ、処理目的を説明しています。ユーザーは、自分のデータを処理してほしい目的のみに対して同意を与えることができます。しかし、一度にすべての目的に対して同意する必要はありません。

覚えておいてください： すべてのクッキーバナーは、上記のようであるべきです。同意要求の数は処理目的の数と等しくなければなりません。

明確な

同意は、肯定的な行動によって与えられる場合に、明確に与えられたとみなされます。インターネットユーザーであるあなたは、クッキーの使用に同意することを明確に述べるべきです。しかし、ウェブサイトのクッキーバナーはそれを可能にするべきです。

すべてのクッキーバナーには、「ACCEPT」ボタンをクリックするオプションがあるべきですが、クッキーを拒否するボタンもあります。場合によっては、企業がクッキー設定センターでクッキーを拒否する機会を提供する場合があります。

さらに、クッキーの使用に同意することを示すために、チェックボックスをチェックするか、トグルをオンにしなければなりません。

以下のクッキーバナーは、デフォルトでトグルがオンになっているため、不法にユーザーから同意を求める方法を示しています。

次に示すものでは、トグルがオフになっています。必要であればオンに切り替えることができます。これが明確に同意を与える方法であり、企業が法的にあなたに求めるべき方法です。

ウェブサイトがよく犯す間違いの一つは、ウェブサイト上に留まることでデータ収集に同意したとみなすことです。

彼らのクッキーバナーは、「このウェブサイトを閲覧し続ける場合、クッキーの使用に同意したことになります」と言っています。これはGDPRに準拠していません。これはユーザーのプライバシー権の明らかな侵害です。

覚えておいてください： 同意を与えるのはあなた自身が行う肯定的な行動であるべきです。クッキーバナーはそれを手伝うべきではありません。それはあなたに任せるべきです。

容易に撤回できる

企業は、同意を与えたのと同じくらい簡単に撤回できるようにする必要があります。

「ACCEPT」ボタンをクリックして同意を与えた場合は、「WITHDRAW」ボタンをクリックして撤回できるようにすべきです。

企業は通常、撤回オプションをプライバシーセンターに配置します。これは、その権利を行使するための簡単なアクセスを提供する良い慣行です。

再度指摘しておくと、データコントローラーは、クッキーが特定の機能を提供するために必要でない限り、撤回を負の結果によって条件付けしてはなりません。

例えば、ウェブサイト上でのあなたの言語設定を覚えておくためにクッキーが必要であり、同意を撤回するとユーザー体験が悪化するのは理にかなっています。

しかし、広告クッキーはウェブサイトの機能とは一切関係がないので、より良いユーザー体験を得るための条件としてはならない。

覚えておいてください： 同意を与えたのと同じくらい簡単に撤回できるべきです。