政府各府省のウェブサイトにおけるクッキー使用に関する質問主意書

「政府各府省のウェブサイトにおけるクッキー使用に関する質問主意書」という質問主意書がでています。(ページは、こちら。主意書自体は、こちらです)

政府のウエブサイトのうち、ユーザーからのアクセス時にクッキー使用について明示的な同意を求めるものがあれば、府省名および同意を求める形式を示されたい、ということだそうです。

GDPRの実施に伴って、いろいろなウエブサイトで、広告に関する同意バナーを目にするようになりました。あと、私のホームページは、Googleのアドセンスを利用しているのですが、そこでは、「EU ユーザーの同意ポリシー」というタイトルのもと「EU ユーザーの同意ポリシーに準拠する 広告配信オプションを選択し、ユーザーの同意を取得する」場合についてヘルプで記載されています
(なので、もし、私のブログで、役に立つなと思いましたら、遠慮なく、広告をクリックしていただけると幸いです。広告があるからこそ、無料で享受しうるサービスもたくさんありますというのが私のポリシです-結構、現実主義者)

そこで、「サイト運営者様がこのポリシーで定められた義務を遂行できるよう、Google は欧州経済領域のユーザーに対する広告配信について以下の選択肢をご用意しています」ということで、「パーソナライズされていない広告の配信について各ユーザーが自分で選べるようにする場合は、[パーソナライズド広告] を選択したうえで、パーソナライズされていない広告をリクエストに基づいて配信するための手順を実施してください。」ということになります。

要は、EUユーザの同意のバナーがでるように設定することができるわけです

でもって、GDPRについては、その立法管轄権の観点から、日本におけるウエブサイトにも適用がなされるわけです。そこで、同意バナーをたくさん目にするようなったものだろうと考えます。
ただ、厳密に考えると、クッキーの問題なのか、広告に関する同意バナーなのか、ということもありそうです。(あまり、いままで考えてなかったのですが、文言とかも注意しないといけませんね)

あと、クッキーと考えたときに、クッキーは、GDPRのもとでどう整理されたのか、というのがすごく気になりました。

EU域内で、クッキーについては、eプライバシー指令で、同意をとることが求められて、EU域内では、クッキーバナーの設置が義務づけられていました。

GDPRおいて、クッキーがどのように位置づけられているのかと思ったところ、
クッキーが監視として整理されていること
ただし、
GDPRでは、前文30において1回触れられているにすぎないだそうです。(Luke Irwin ”How the GDPR affects cookie policies”)

要は、cookieは、per seでは、Personal Dataとは認識されていないで、個別具体的な状況で、Personal Dataか、否かが判断されるということだそうです。これだと、データ保護指令の場合と変化がないということになりそうです。(この点について「いよいよ明日施行!欧州GDPR:「Cookie」のBefore/Afterで考える5つのポイント」は、cookieは、per seでは、Personal Dataとなるかのような表現に読まれますが、厳密には、ごまかしていると読んでいます。もっとも、eプライバシー規則のもとでは、あまり議論の意味がなくなりますが。)

広告だしているほうは、一意の消費者である必要はないので、Personal Dataでない場合もありうるのでしょう(ただし、すべてのクッキーが、ユーザを識別しうる利用のされ方をするわけではない-しかし、大多数は、GDPRに従うであろう-Not all cookies are used in a way that could identify users, but the majority are and will be subject to the GDPR. とされていますね)。

そうだとすると、どのような回答になるのでしょうか。立法管轄権の問題を適切にクリアし、クッキーの位置づけを適切に回答するように、というのが採点者のキモになりそうですね。