政府各府省のウェブサイトにおけるクッキー使用に関する質問主意書

「政府各府省のウェブサイトにおけるクッキー使用に関する質問主意書」という質問主意書がでています。(ページは、こちら。主意書自体は、こちらです)

政府のウエブサイトのうち、ユーザーからのアクセス時にクッキー使用について明示的な同意を求めるものがあれば、府省名および同意を求める形式を示されたい、ということだそうです。

GDPRの実施に伴って、いろいろなウエブサイトで、広告に関する同意バナーを目にするようになりました。あと、私のホームページは、Googleのアドセンスを利用しているのですが、そこでは、「EU ユーザーの同意ポリシー」というタイトルのもと「EU ユーザーの同意ポリシーに準拠する 広告配信オプションを選択し、ユーザーの同意を取得する」場合についてヘルプで記載されています
(なので、もし、私のブログで、役に立つなと思いましたら、遠慮なく、広告をクリックしていただけると幸いです。広告があるからこそ、無料で享受しうるサービスもたくさんありますというのが私のポリシです-結構、現実主義者)

そこで、「サイト運営者様がこのポリシーで定められた義務を遂行できるよう、Google は欧州経済領域のユーザーに対する広告配信について以下の選択肢をご用意しています」ということで、「パーソナライズされていない広告の配信について各ユーザーが自分で選べるようにする場合は、[パーソナライズド広告] を選択したうえで、パーソナライズされていない広告をリクエストに基づいて配信するための手順を実施してください。」ということになります。

要は、EUユーザの同意のバナーがでるように設定することができるわけです

でもって、GDPRについては、その立法管轄権の観点から、日本におけるウエブサイトにも適用がなされるわけです。そこで、同意バナーをたくさん目にするようなったものだろうと考えます。
ただ、厳密に考えると、クッキーの問題なのか、広告に関する同意バナーなのか、ということもありそうです。(あまり、いままで考えてなかったのですが、文言とかも注意しないといけませんね)

あと、クッキーと考えたときに、クッキーは、GDPRのもとでどう整理されたのか、というのがすごく気になりました。

EU域内で、クッキーについては、eプライバシー指令で、同意をとることが求められて、EU域内では、クッキーバナーの設置が義務づけられていました。

GDPRおいて、クッキーがどのように位置づけられているのかと思ったところ、
クッキーが監視として整理されていること
ただし、
GDPRでは、前文30において1回触れられているにすぎないだそうです。(Luke Irwin ”How the GDPR affects cookie policies”)

要は、cookieは、per seでは、Personal Dataとは認識されていないで、個別具体的な状況で、Personal Dataか、否かが判断されるということだそうです。これだと、データ保護指令の場合と変化がないということになりそうです。(この点について「いよいよ明日施行!欧州GDPR:「Cookie」のBefore/Afterで考える5つのポイント」は、cookieは、per seでは、Personal Dataとなるかのような表現に読まれますが、厳密には、ごまかしていると読んでいます。もっとも、eプライバシー規則のもとでは、あまり議論の意味がなくなりますが。)

広告だしているほうは、一意の消費者である必要はないので、Personal Dataでない場合もありうるのでしょう(ただし、すべてのクッキーが、ユーザを識別しうる利用のされ方をするわけではない-しかし、大多数は、GDPRに従うであろう-Not all cookies are used in a way that could identify users, but the majority are and will be subject to the GDPR. とされていますね)。

そうだとすると、どのような回答になるのでしょうか。立法管轄権の問題を適切にクリアし、クッキーの位置づけを適切に回答するように、というのが採点者のキモになりそうですね。

GDPR対応メモ 29条委員会のガイドライン一覧

GDPR対応のために、ちょっとメモを作りました。特に、29条作業委員会のガイドラインのドキュメント番号を付してみました。(本家のニュースルームですが、ちょっと見にくいのは、こちら

テーマというのは、英国の情報コミッショナーの「GDPRの概要(Overview of the General Data Protection Regulation (GDPR))」をもとにまとめてみました。EU域内でも大変なことになっているので、いままで、あまり考えていなかった日本の会社さんも大変なことになっているのではないかと考えてしまうところです。

日本企業さんだと、この表に影響度と書いておいたのですが、2018年5月25日の効力発生日にむけて、それまでに対応しなければならない緊急性、従来の指令/国内法体制からみたときに新たな規制となる可能性の高い新規性、日本企業において特に配慮すべきもの要配慮性、の観点から、影響の高い点から、確認をすすめていくということになるかとおもいます。(以下の表で高とつけたのは、あくまでも私の感覚です。)

 

テーマ 具体例 影響度 Art.29 WP
原則 個人の権利/個人データの移転禁止が原則から削除(6原則に)
アカウンタビリティの原則が追加 WP260
考慮すべき重要なエリア 適法な取扱
同意 WP259
児童の個人データ
個人の権利 情報を提供されるべき権利
アクセス権
訂正権
消去権
取扱制限権
データポータビリティの権利 WP242
異議権
自動化された意思決定およびプロファイリングに関する権利 WP251
説明責任およびガバナンス 原則の意義
取扱の記録
データ保護バイ・デザイン
データ保護インパクト評価 WP248
データ保護責任者(オフィサー) WP243
行動規範と認証メカニズム
データ侵害通知 概念、監督機関への通知義務の発生、個人への通知の要否、通知方法、準備 WP250
データ移転 移転の概念
十分性の概念 WP254256257
保護措置に基づく場合
国ごとの適用免除規定 実施法等との関係
処罰の額の大きさ 世界の売り上げの4パーセント など WP253

なお、その他の注目すべき29条委員会のドキュメントとして、LSA(wp244)があります。