このガイドの目的は、FacebookのパートナーがCookieの同意に関する要件を満たすうえで役立つ、コンテキストおよびリソースの概要を説明することにあります。Cookieの使用およびオンラインでの情報取得に関する法律、指針は地域によって異なり、またいつでも改定される可能性があります。
Facebookは規制やポリシーの遵守に関して、法的助言を提供できません。同意に関する要件については、ご自身で評価を行い、どうすれば組織にとって最善かを所属先の法務部の担当者に相談することをおすすめします。
Cookieとは、ユーザーのコンピューターやモバイルデバイスなどの電子機器への保存またはアクセスに使用できる、通常は小さなテキストデータからなる技術の一種をいいます。Cookieの用途は多岐にわたり、例えば、ユーザーがウェブサイト上で行った選択や設定の記憶や、ユーザーのログインの補助、ウェブサイトへのトラフィックの分析などに使用されます。ウェブブラウザーやデバイスに保存されるデータや、デバイスに関連付けられている識別情報、他のソフトウェアなどを含む、その他の技術も同様の目的に使用されることがあります。この文書では、これらの技術を総称してCookieといいます。Facebook製品全体でのCookieの用途と使用場所について、詳しくはFacebookの「Cookieポリシー」をご覧ください。
個人データの取得および共有の要件に関する規制当局の期待事項は継続的に改正されてきており、データ保護機関が公表する指針には、Cookieの取得方法とオンラインで収集する個人データの取得方法に関するものを中心とする期待事項がさらに明確化されています。このことは、欧州の法律、具体的には、一般データ保護規則(GDPR)や欧州のeプライバシー規則などに見ることができます。
eプライバシー規則には、Cookieおよびその他の類似技術の使用に適用される具体的な要件(以下に簡単な要約を示します)が明記されています。これらの要件を十分に理解しておくとともに、必要に応じて詳しい法的助言を求めることを強くおすすめします。
EU法は多くの場合、各データ保護機関が公表する国別の規制指針により補強されています。これらの指針から、法令遵守を確実にする方法に関して有益な情報を得ることができます。以降のセクションでは、よくある期待事項の一部を紹介し、また国単位で公表された最近の指針をいくつか記載します。
このリストはすべてを網羅したものではありません。適用される可能性のある具体的な指針について、より詳しくは、所在する国もしくは地域のデータ保護機関、または所属組織の法律顧問に問い合わせることをおすすめします。
EU法の下で有効な同意を確保するには、高い基準を満たす必要があります。
同意が有効となるための要件は次のとおりです。
EU法の下で必要とされる要件を満たし、同意が無効とみなされるリスクを確実に回避するために、ユーザーの同意を確保する方法を注意深く検討する必要があります。
不可欠でないCookieを設定する/使用するには、事前に同意を求める必要があります。
ウェブサイトやアプリでは、明瞭、簡潔で包括的な説明を最初に提示し、補足情報としてプライバシーまたはCookieに関する通知へのリンクを表示する必要があります。このリンクは読みやすいテキストで表示されなければならず、またそのリンクの機能は、それが表示されるページのその他の機能によって妨げられてはなりません。
表示する通知について、上記の内容に加える情報を決定する必要があります。例えば、次のような情報が考えられます。
簡潔であることと具体的であることは両立しない場合もあるため、情報を2段階に分けて提供してもよいでしょう。Cookieの同意を求めるバナー自体の中の説明に、「詳しくはこちら」のセクション内またはCookieポリシー内の詳細な説明へのリンクを掲載することを検討してください。この方法は、十分に明確な情報をユーザーに提供するためによく利用されています。
同意の撤回については、一般に、最初に同意した際と同程度の容易さで行うことができなければならないと考えられています。
上述の管理機能が規制当局から十分なものとみなされるとは限らないため、所属組織の法務チームに相談することをおすすめします。また、ここに記載した方法やその他の方法のすべてが、どの広告主のニーズにも合うというわけではありません。何が最適な方法になるかは、使用するウェブサイト/アプリの詳細、およびCookieまたは他のストレージ技術の使用状況によって異なります。
同意を得るための機能に役立つ、さまざまなベンダーおよび業界向けツールがあります。例えば、OneTrustやTrustArcなどの同意管理プラットフォーム(CMP)のプロバイダーと提携することを検討しましょう。
このCMPのリストはIAB Transparency and Consent Frameworkに登録されています。
このリストは、利用可能なすべてのCMPを網羅したものではありません。また、その中のいずれかのCMPを採用すればコンプライアンスが保証されるというわけでもありません。
自社に適した方法を選択したら、経験豊富な開発者と法律顧問に支援を求めることをおすすめします。提供する管理機能が正しく機能する状態を確保することが重要です。
Cookieおよびその他の類似技術に関する指針の例を以下に示します。
Facebookでは、事業体がその取得するデータに関して行う啓発に役立つリソースも公開しています。