訪問者が自分の個人データの使用を許可しなければ、そのウェブサイトにある自分のコンテンツにアクセスできなくなる。これはいわゆる「Cookieウォールの同意」だ。EUのデータ保護法に従わないなら、そういう目に遭う。
これが、欧州データ保護会議(EDPB)からの明確なメッセージだ。同会議は、個人データの使用をオンラインで同意することに関する規約のための最新の指針を発表した。汎EU法の下では、同意は、データ管理者にユーザーの個人データの利用を許可するための6つの法的根拠の1つとなっている。
ただし、欧州の一般データ保護規則(GDPR)の下で同意が法的に有効と認められるためには、いくつかの特別な条件を満たす必要がある。明確に説明がなされ、個別的に自由意志により提供されなければならないというものだ。
そのため、中に入るための代金として「同意」を請求するCookieウォールは矛盾した存在であり、法律というレンガの壁に衝突していることになる。
Cookieウォールの裏に合意はない
局部的なCookieウォールは、昨年我々が伝えたように、オランダのデータ保護当局(DPA)がCookieウォールを禁止する指導を明確にしたときから、崩壊が続いている。
EDPBの最新の指針は、その要点を理解させることを意図したものだ。この作業部会の目的は、各国のデータ保護当局に、データ保護規則の一貫した適用の推進を指導することにある。
このEDPBの介入により、27のEU加盟国の国家機関から改訂点の解釈のずれが一掃されるはずだ(そうあってほしい!)。ただ、EUのデータ保護法のはまだ完全には準拠されていない。それは短距離走ではなくマラソンだと言われている。だがCookieウォールの問題に関しては「ランナー」はすでにトラックを何周もしている。
オランダの説明を伝える昨年の記事でも指摘したが、Internet Advertising Bureau Europe(欧州インターネット広告協議会、IAB)は立派なCookieウォールを運用し、コンテンツを見たければ個人データの利用規約に「同意」せよと訪問者に求めていた。
我々が指摘した問題点は、それは自由意思による選択ではないということだ。EUの法律も、法的に有効な同意は自由意思によるものでなければならないと定めている。IABが、それ以降のある時点でCookieの同意要求の方法を変更し、Cookieウォールを排除して「統計データ収集」のためのCookieを受け入れるか拒否するかという明確な選択肢を提供(そう言われたのかも知れないが)するようになったのは興味深い。
IAB Europeのウェブサイトでは、豊富で最新の情報を提供でき、ウェブサイトが正常に機能するよう、Cookieを使用しています。あなたの許可のもとに、私たちはその手法を用いて、あなたの訪問に際してデータを収集し、サービス向上のための統計データ収集を行います
その当時我々が伝えたとおり、Cookieウォールへの同意を求める記述がウォールにあった。
EDPBの文書には下の例が含まれており、Cookieウォールへの同意は「サービスの供給が、データ主体による『Cookieを受け入れる』のクリックに依存しているため、有効な同意とはならない。自由意志による選択とは見なされない」という要点を表している。
実際、これ以上わかりやすい説明はないだろう。
40. 用例6a:ウェブサイトの提供者が、Cookieおよび、そのCookieがデータの利用目的をどのように設定するかに関する情報の受け入れ要求に同意が得られない限り、コンテンツを閲覧不能にするスクリプトを実行する。「Cookieを受け入れる」ボタンをクリックしない限りコンテンツにはアクセスできない。データ主体には自由意志で選べる項目が与えられないため、この同意は自由意志によるものとは見なされない
41. サービスの供給が、データ主体による『Cookieを受け入れる』のクリックに依存しているため、これは有効な同意とはならない。 自由意志で決定できる選択肢が示されていない
スクロールは「私のデータを使って」という意味ではない
今回の改訂された指導の注目すべき第二の点に、EDPBがさらなる明確化が必要と判断したことから提示された、スクロールと同意の問題がある。
平たく言えば、ウェブサイトやデジタルサービスでのスクロール操作を、いかなる場合も、同意と見なしてはいけないということだ。
EDPBではこう説明している。「ウェブページでのスクロールやスワイプといった操作、またはユーザーによるそれに準ずる操作は、いかなる状況においても、明確で積極的な行動の条件を満たさない」(太字はTechCrunchによる)
そうした信号の合理的な根拠は曖昧だ(さらに、EDPBが示した例からは、もしそうした信号が有効だった場合にユーザーはどうしたら同意を取り消せるのか、という問題点が浮上する。同じウェブページを反対にスクロールすればよいのか? それは馬鹿げた方法であり、混乱を招くのは必至だ)。
The gem in the updated guidelines on #GDPR consent saying when action on a website may or may not constitute valid consent. Random user activity is not consent, for many reasons. Best reason: how to withdraw consent with equally random user activity?
https://t.co/lRmtFySA8Q pic.twitter.com/XktzldSUH0
— Lukasz Olejnik (@lukOlejnik) May 6, 2020
Lukasz Olejnik:GDPRの同意に関して更新された指針の要は、ウェブサイト上での操作が有効な同意を形成するか否かだ。いろいろな意味で、ユーザーのランダムな操作は同意にはならない。最大の根拠となるのは、同様のランダムな操作で同意を取り消せるかどうかだ
EDPBの文書には、それに関連する例が示されている。
86. 用例16:備考32にもとづき、ウェブページでのスクロールやスワイプといった操作、またはユーザーによるそれに準ずる操作は、いかなる状況においても、明確で積極的な行動の条件を満たさない。そうした操作は、ユーザーによる他の操作または対応によって取り消すことが困難であるためであり、従って、明確な同意が得られたと判断することは、同様に不可能である。さらに、そうした場合、ユーザーが同意を取り消すための、同意したときと同程度に簡単な手段の提供が困難である
これもまた、実にわかりやすい。
そのため、訪問者がウェブページをスクロールした瞬間に追跡用Cookieを送り込もうといまだに画策しているウェブサイトは、規制当局による法的措置の危険にさらされる。ちなみに、GDPRの罰金は2000万ユーロ(約23億円)、または全世界での年間収益の4%にものぼる。
それにもかかわらず、最近の調査ではCookieの同意を巡る問題がEUには蔓延し続けているという。しかもそれは「スクロールしたら追跡される」式のやり口に限らない。
言葉巧みな同意のポップアップや、故意にわかりづらくしてユーザーを惑わす「ダークパターン」は今でも大きな問題になっており、そうした手口の蔓延が、EU市民の個人データの法的保護を難しくしている。しかしそんな分野にも、今では規制当局と裁判所からの明確化の光が差すようになり、悪役の出番は次第に狭められている。
例えば、昨年、欧州司法裁判所が下した判決により、追跡Cookieにはユーザーの意思による同意が必要であることが明確化された。また、「事前チェック」やその他の条件も、同意を得るための合法的な手段としては認められなくなった。
しかも、GDPRが間もなく2周年を迎えるにあたり、規制当局への現実に法執行せよとの圧力も高まっている。つまり、同意が関係してくるところでは、必要ならば大まかな目安として示すが、同意を盗んだり同意を隠したりしてはいけないと覚えておくといいだろう。それでも近道をして簡単に同意を取りたいときは、A)明確に正確に道案内されていること、そしてB)同意を取り消すための同等に簡単な方法を示していることを絶対に守る。別に難しいことではない。
画像クレジット: Vinicius Massuela/EyeEm / Getty Images
[原文へ]
(翻訳:金井哲夫)
