created_at
updated_at
tags
toc

3PCA 10 日目: なぜ Cookie には同意が必要なのか?

Intro

このエントリは、3rd Party Cookie Advent Calendar の 10 日目である。

今回は、この話をする上で避けては通れない、規制や法律について触れておく。

しかし、筆者はあくまでエンジニアであり、この分野は専門外だ。内容については、素人が適当に書いており、信頼性は AI 以下だと思って読んでほしい。

ePrivacy と GDPR

ヨーロッパは「プライバシーは人権だ」という点について非常に敏感な文化がある。

1993 年に EU ができたとき、それまでバラバラだった加盟国のプライバシー保護について、きちんと統一しようという話になり「EU データ保護指令」と呼ばれるものができた。ただし、これはあくまで「指令(Directive)」であり、これ自体が法的な強制力を持つものではなかった。むしろ、「こうした内容の法律整備を各国でやるように」というガイドラインのようなものだった。

その後 2002 年に「ePrivacy 指令」ができ、ここで初めて具体的に Cookie を規制する内容が盛り込まれた。ここではまだ 3rd Party Cookie 云々の話はなく、「きちんと説明し同意をとること」といった言及がされている。この「同意(consent)」がなんなのかはそこまではっきりしておらず、これもまた「指令(Directive)」であるため、詳細は各国の法令に任せる立ち位置だ。これは 2009 年に改定され、ここで Cookie の同意取得の義務付けなどが入り、規制が強化された。

そして、2016 年に誰もが一度は聞いたことがあるだろう「GDPR」ができる。位置付けとしては「EU データ保護指令」の改訂版だ。この最後は「規則(Regulation)」となっており、「指令(Directive)」よりも強いものだ。これ自体がもう拘束力を持つため、EU 全体がこれに従う必要がある。違反すれば罰金もある。(ePrivacy も Directive ではなく Regulation 版を出すと言われて結構経つがまだ出ていない)。

GDPR は個人情報保護周り全般について触れており、ePrivacy はその電子通信部分を補完しているという関係だ。従って GDPR に従うためには、Cookie の利用に対して合意を取る必要が出る。これが Cookie Banner, Cookie Notice, Cookie Consent などと言われる、合意のポップアップをよく見るようになった現代の Web に繋がっていく。

EU 以外は無関係かというと、そんなことはない。GDPR は「EU に拠点を置く企業」はもとより「EU にサービスを提供している他国の企業」も対象となっているためだ。従って、英語で作られていたり、i18n で英語も提供しているようなサービスは、対象になる可能性がある。したがって、日本であっても無視はできないのだ。

2016 年に出てから 2018 年の適用までに、2 年間の準備期間があった。しかし、多くのサービスは動き出しが遅れ、2018 年直前になって大急ぎで対応をすることになる。「Cookie のポップアップを出すだけなら、そんなに大変ではないのでは?」と思うかもしれないが、前述のように GDPR は Cookie だけを規制する目的ではないため、プライバシーポリシーの整備や、データの管理責任者設置など、様々なことを見直す必要がある。Cookie バナーはその氷山の一角でしかないのだ。

対応が追いつかない会社は、思い切って EU 圏からのアクセスを IP ベースでシャットアウトしたため、「GDPR のせいで、インターネットが分断する」と騒ぐ人もいた。Yahoo が欧州圏へのサービス提供を停止した理由も、こうした法規制への対応だったとされている。

CCPA (California Consumer Privacy Act)

もう 1 つ、この分野で押さえておくべきものが、CCPA (カリフォルニア州消費者プライバシー法)だ。

カリフォルニア州のかつてシリコンバレーと呼ばれたエリアには、こうした法律の対象になるテック系企業の本社が多くあるため、州が独自でルールを色々と持っている。CCPA は 2020 年に作られたもので、カリフォルニアに拠点がある企業だけでなく、カリフォルニア州の住民の個人情報を扱うサイトで一定の条件を満たした企業に適用されるため、これもやはり世界中に影響のある法律と言える。

GDPR と似てはいるが、実際は少し趣が違う。まず「個人情報」の定義が変わるが、より分かりやすいところとしては、GDPR は「オプトイン」を重要視しているが、CCPA はどちらかというと「オプトアウト」を重要視している。GDPR のように許可なく収集することを制限しないが、集められた情報の「削除を求める」や「転売を拒否する」といった権利を重要視しているのだ。したがって、Cookie バナーそのものが必須というわけではないとされ、代わりに "Do Not Sell My Personal Information" といったリンクがサイト下部やプライバシーポリシーによく見られるようになった。

個人情報保護法と電気通信事業法

日本における個人情報関連の立法は、欧米のこうした制度を手本にしているため、GDPR と ePrivacy の関係が、そのまま個人情報保護法と電気通信事業法の関係と類似している。個人情報保護法は 2022 年 4 月に改正され、電気通信事業法は 2023 年 6 月に改正されている。

ただし、GDPR は「Cookie も個人情報だ」としているのに対し、改正個人情報保護法は「Cookie 自体は個人情報ではなく、個人関連情報(個人情報と紐づく場合は同意が必要)」といった微妙な違いがあり、日本では業務改善命令が先に課されるといった違いがあるため、GDPR と比べればいくらか緩い規制と捉えられている。

重要なのは、電気通信事業法にある「外部送信規律」と呼ばれるものだ。これが、いわゆる 3rd Party Cookie の送信などによる連携に関わるもので、基本的にその事実を「通知」か「公表」することが義務化された。「通知」はポップアップ、「公表」は Privacy Policy ページに相当するものだ。明示的に外部送信規律に対応する場合「外部送信ポリシー」などの表記になる場合もある。

しかし、個人情報保護法上の個人情報に当たらない Cookie の取得については、合意取得は求められていないため、日本の二つの法律に対応する上では Cookie バナーは合意取得ではなく通知目的になる。そのため、いわゆる "Accept", "Reject" 形式ではない実装になることが多い。逆に GDPR の「合意取得」や CCPA の「オプトアウト」への対応をすでに行なっている場合は、「通知」と「公表」をそれで代替できる場合もある。

何度も言うが、各法律の中身については筆者の専門ではないため、詳細に触れるつもりはない。

しかし、ここまでの経緯や目的を踏まえれば、「プライバシーを保護する目的で、トラッキングが行われるような Cookie の利用には、同意や通知が必要」ということがわかるだろう。

では、実際にどのような UI で実装したら良いのだろうか? 次回はそれを見ていく。