Cookieの同意のリソース
このガイドの目的は、FacebookのパートナーがCookieの同意に関する要件を満たすうえで役立つ、コンテキストおよびリソースの概要を説明することにあります。Cookieの使用およびオンラインでの情報取得に関する法律、指針は地域によって異なり、またいつでも改定される可能性があります。
Facebookは規制やポリシーの遵守に関して、法的助言を提供できません。同意に関する要件については、ご自身で評価を行い、どうすれば組織にとって最善かを所属先の法務部の担当者に相談することをおすすめします。
Cookieについて
Cookieとは、ユーザーのコンピューターやモバイルデバイスなどの電子機器への保存またはアクセスに使用できる、通常は小さなテキストデータからなる技術の一種をいいます。Cookieの用途は多岐にわたり、例えば、ユーザーがウェブサイト上で行った選択や設定の記憶や、ユーザーのログインの補助、ウェブサイトへのトラフィックの分析などに使用されます。ウェブブラウザーやデバイスに保存されるデータや、デバイスに関連付けられている識別情報、他のソフトウェアなどを含む、その他の技術も同様の目的に使用されることがあります。この文書では、これらの技術を総称してCookieといいます。Facebook製品全体でのCookieの用途と使用場所について、詳しくはFacebookのCookieポリシーをご覧ください。
規制の継続的改正
個人データの取得および共有の要件に関する規制当局の期待事項は継続的に改正され、データ保護機関が公表する指針には、Cookieの取得方法とオンラインで収集する個人データの取得方法に関する期待事項がさらに明確化されています。このことは、欧州の法律(一般データ保護規則(GDPR)や欧州のePrivacy指令など)に見ることができます。
ePrivacy指令には、Cookieおよびその他の類似技術の使用に適用される具体的な要件(以下に簡単な要約を示します)が明記されています。これらの要件を十分に理解しておくとともに、必要に応じて詳しい法的助言を求めることを強くおすすめします。
要件
- 不可欠でないCookieもしくは他のトラッカー、また不可欠以外の理由により同意の取得を免除されているものに該当しないCookieまたは他のトラッカーを設定する/読み取るには、その目的にかかわらず、事前にユーザーの同意を得る必要があります。
- ユーザーに対し、Cookieの使用に関して明確で包括的な情報を提供する必要があります。
EU法は多くの場合、各データ保護機関が公表する国別の規制指針により補強されています。これらの指針から、法令遵守を確実にする方法に関して有益な情報を得ることができます。以降のセクションでは、よくある期待事項の一部を紹介し、また国単位で公表された最近の指針をいくつか記載します。
このリストはすべてを網羅したものではありません。適用される可能性のある具体的な指針について、より詳しくは、所在する国もしくは地域のデータ保護機関、または所属組織の法律顧問に問い合わせることをおすすめします。
有効な同意を得るための一般的な原則
EU法の下で有効な同意を確保するには、高い基準を満たす必要があります。
同意が有効となるための要件は次のとおりです。
- 自由意志に基づいて行われること — ユーザーに完全な選択権がなければなりません。
- 具体的で十分な情報に基づくものであること — Cookieを誰がどのような目的で使用するかと、ユーザーには自らの同意をいつでも容易に撤回する権利があることを説明する必要があります。
- 明瞭な主体的アクションを伴うこと — 同意の際に明確で能動的なアクションを伴う必要があります(例えば、ポップアップ内の同意ボタンをクリックしたり、指でタップしたりして同意を示すなど)。
EU法の下で必要とされる要件を満たし、同意が無効とみなされるリスクを確実に回避するために、ユーザーの同意を確保する方法を注意深く検討する必要があります。
Cookieの同意を得るには
Cookieに関するバナーに「同意する」ボタンを配置する
- ユーザーが同意を示すために行わなければならない主体的アクションを、どのようなものにするか決定する必要があります。例えば、以下に記載する具体的な情報を含むバナーまたはスプラッシュスクリーン内の[同意する]ボタンをクリックすることなどが、これに当たります。
不可欠でないCookieを設定する/使用するには、事前に同意を求める必要があります。
- ユーザーに対し、該当するアクションをとることで同意したとみなされることを伝える必要があります。EUの規制当局が公表するCookieに関する指針には、同意の取得方法に関する有益な勧告が掲載されています。
記載する情報
ウェブサイトやアプリでは、明瞭、簡潔で包括的な説明を最初に提示し、補足情報としてプライバシーまたはCookieに関する通知へのリンクを表示する必要があります。このリンクは読みやすいテキストで表示されなければならず、またそのリンクの機能は、それが表示されるページのその他の機能によって妨げられてはなりません。
表示する通知について、上記の内容に加える情報を決定する必要があります。例えば、次のような情報が考えられます。
- Cookieおよびその他の類似の技術を使用する目的、ならびにその使用期間に関して、平易でわかりやすい言葉で書かれた正確かつ具体的な情報
- Facebookなど、使用する特定のサードパーティのテクノロジーがある場合における、そのテクノロジーに関する追加情報、およびそのテクノロジーの目的
- 不可欠でないCookieをユーザーが拒否する方法を説明する情報や、Cookieの使用について詳しく理解するための情報
- 広告主またはサードパーティが提供する不可欠でないCookieに対する詳細な管理機能
簡潔であることと具体的であることは両立しない場合もあるため、情報を2段階に分けて提供してもよいでしょう。Cookieの同意を求めるバナー自体の中の説明に、「詳しくはこちら」のセクション内またはCookieポリシー内の詳細な説明へのリンクを掲載することを検討してください。この方法は、十分に明確な情報をユーザーに提供するためによく利用されています。
Cookieを無効にする方法を提供する
同意の撤回については、一般に、最初に同意した際と同程度の容易さで行うことができなければならないと考えられています。
- 広告関連のCookieなど不可欠でないCookieの設定または読み取りを自分で無効にできる管理機能を提供する。
- サードパーティのプラグインまたはピクセルに関して、そのサードパーティが採用している選択方式の説明がある場合にはそのリンクを掲載する。
- Cookieに関する選択肢を提供する、所在地域の業界リソースを利用する(例えば、Digital Advertising Alliance (DAA)、The Digital Advertising Alliance of Canada (DAAC)、European Interactive Digital Advertising Alliance (EDAA)から提供されているツールなど)。
- 同意が実証可能であるという要件を考慮に入れ、ユーザーから得た同意を文書に記録して保管する方法を検討する。
上述の管理機能が規制当局から十分なものとみなされるとは限らないため、所属組織の法務チームに相談することをおすすめします。また、ここに記載した方法やその他の方法のすべてが、どの広告主のニーズにも合うというわけではありません。何が最適な方法になるかは、使用するウェブサイト/アプリの詳細、およびCookieまたは他のストレージ技術の使用状況によって異なります。
同意機能に役立つサポート
同意機能を提供するのに役立つ、さまざまなベンダーや業界向けツールを活用できます。例えば、OneTrustやTrustArcといった同意管理プラットフォーム(CMP)プロバイダーを利用できます。
このCMPのリストはIAB Transparency and Consent Frameworkに登録されています。
このリストには利用可能なすべてのCMPが含まれているわけではなく、リストにあるCMPを採用することでコンプライアンスが保証されるわけでもありません。
自社に適した方法を選択したら、経験豊富な開発者と法律顧問に支援を求めることをおすすめします。提供する管理機能が正しく機能する状態を確保することが重要です。
詳細情報 — その他のリソース
Cookieおよびその他の類似技術に関する指針の例を以下に示します。
- アイルランド - IDPCのCookieに関する指針
- フランス - CNILのCookieに関する指針
- スペイン - AEPDのCookieに関する指針
- 英国 - ICOのCookieに関する指針
- ベルギー - APDのCookieに関する指針
Facebookでは、取得するデータについてビジネスが利用者の理解をサポートするうえで役立つリソースも公開しています。