2019年12月25日カテゴリ:Webサイト運用

Cookieポリシーのご確認と利用についての同意ダイアログ(2/3)

GDPRとCookie Wall

EUで実施されているGDPR(General Data Protection Regulation:一般データ保護規則)では、Cookie Wall を禁止しています。

Cookie Wall(クッキーウォール)とは、あるWebサイトを閲覧しようとした時に、画面を覆うダイアログなどによって「同意しないと閲覧できない」状態にすることを言います。これをNGとしているのです。つまり、GDPRに従うなら、合意は強制されるものであってはなりません。したがって、Cookie利用の同意を取る場合、同意しなければ見せない、といった形の実装はコンプライアンス上避けるべきです。

EUの場合はユーザーが意思表示する前に実行はしておき、ユーザーの意思で手続きを踏めば拒否できる「オプトアウト」ではなく、ユーザーが同意しない限り実行しない「オプトイン規制」になっているため、合意がない状態ではCookieを取得してはいけません。Cookie wall発想の原点はここにあり、「じゃあアクセスさせなけりゃCookie設定しなくてすむじゃん」というわけでしょう。

日本における個人情報保護法がどのように改正されるか予断は許しませんが、現時点では「第三者に提供することについて同意を得るダイアログを表示し、同意がない場合は第三者に提供しないという機能」が最低限求められる、ということになると私たちは予想しています。

Googleに個人データを渡せるか?

当ブログの場合、以前このような流れを予測し、2018年8月の時点でSNSに対するリンクを外す処理を行いました。

このため、Cookieの送信先として残っているのはGoogleだけという状況でした。ここで問題となるのは、Googleが「提供先で個人情報となることが明らかな第三者」であるかどうか、です。

GDPRの枠組みには「data controller」「data processor」という区分けがあります。パーソナルデータをなぜ取得し、どのように処理するかを決定するのが「data controller」です。一方、「data controller」の指示にのみ、忠実に従い、処理を行うのが「data processor」です。

Google アナリティクスというサービスについて、Googleは弊社の「data processor」です。したがって、弊社が指示しないかぎり、当サイトで取得した情報を第三者にそのまま提供することはないでしょう。しかしながらGoogle アナリティクス利用規約によれば、Googleのプライバシーポリシーに従う範囲内において、Google および Google の全額出資子会社が収集された情報を保持し使用する、と明示されています。さらに閲覧者の同意があれば第三者に開示しうるとも書かれています。

また、Googleカスタム検索エンジン利用規約を見ると、第三者提供等が疑われる記述があります。ここまで考えると、getting-better.jpとして、Googleが「提供先において個人データになることが明らか」ではない、と断言することは難しそうです。少なくともGoogleにおいては個人データになりそうですし、明らかに「使う」と明言されてるわけですから。

Getting Betterとは

企業の忙しいWeb担当者の方のために、コーポレートサイトやオウンドメディアの運営に欠かせない情報やトレンド・ノウハウを解説するブログです。

日々のサイト運営のご参考になれば幸いです。

IMAGICA Lab.のWebサイト構築サービスについてはこちら
https://iiw.imagicalab.co.jp/web/

IMAGICA Lab.のWebサイト制作実績
https://cp.imagicalab.co.jp/works/category/web/

「株式会社IMAGICAイメージワークス」は、2018年10月1日に「株式会社IMAGICA Lab.」となりました。

トップへ