クラウドサービス開発部の徳永です。
本日は最近多く問い合わせをいただいている、Webサイトにおける欧州eプライバシー規制への対応について、簡単にお話させていただきたいと思います。
海外(特に欧州)からのアクセスがあるWebサイトを運用していて、何らかのCookieを発行してますか(意図せず発行している場合も含む)?
この質問にもしかして該当するかも・・・という方はぜひご一読ください。
もう少し詳しく説明します。
5月に EU圏内の個人情報に関するGDPR(EU一般データ保護規則)が施行されたことはご存知の方も多いと思いますが、現在さらなる規制としてeプライバシー規則が討議されており、早ければ年内にも成立・施行の可能性があります。
この規則は別名Cookie法とも呼ばれており、一見美味しそうな名前ではあるのですが、罰則等はGDPR同等に大変厳しいものになっています。
先行して施行されたGDPRが個人データ全般の扱いが対象となっているのに対して、eプライバシー規制ではcookieの扱いにフォーカスがされているのが特徴です。
EUにおけるeプライバシー規制のCookie利用制限の概略として以下の要件が定義されています。
1.ユーザの同意がない限り、Webサイトからユーザのデバイス上にデータの保存、もしくはデバイス上のデータ検索を行ってはいけない
2.サービス利用に際してCookieもしくは類するものの利用が不可欠 (Strictly Necessary) とみなされる場合、ユーザの同意は必ずしも必要ではない
まず、この2番に該当する「サービス利用に不可欠なCookie」の例としては、以下のようなものが想定されています。
ショッピングカート機能の一部として利用されている場合
セキュリティ、ロードバランス用途のセッションCookie 等
つまり、これ以外の例えばアクセス解析やマーケティング用のCookie等は、利用不可欠なCookieとして認識されておらず、1番の規則が適用されます。
したがって、Webサイト上で利用者にこうしたCookieを発行およびそれを利用する場合、以下の対応が必要となります。
・Webサイト上で使用しているCookieに関する情報の提示とCookie利用の目的に関する説明の提示
・Cookie使用に対してユーザが同意/拒否する機能とユーザの同意/拒否に基づいたユーザデバイス上へのCookie発行の制御
ブラウザが認識できるCookieの上限が30個だったような時代もありましたが、
今や無数のCookieが発行され蓄積されているのが実情です。
こうした規則に対応しようとすると、発行したCookieの管理とCookie同意の確認画面(バナー等)、ユーザーにどのCookieを受け入れるか否かの選択画面も必要になります。
作ろうと思えばそこまで難しいものにはならないのですが、開発コストや運用まで考えると・・・?
弊社がコンサルティングパートナーとなっているOneTrustという製品では、自社のWebサイトと連携し、そこで利用しているCookieのスキャン・分類の支援・同意バナーとその履歴管理を行うことができますので、すぐに対応が必要な場合はこうしたツールを利用するのも手っ取り早いかもしれません。
心配な方、お困りの方はお気軽にご連絡をいただければと思います。
GDPR等プライバシー対応 支援サービス with OneTrust
GDPR等への対応に向けての課題解決を支援、米国企業を中心に 1,500以上の企業が選んだ クラウド型GDPR・プライバシー管理ツール OneTrust
※ 関連記事
-
GRCS、日本企業初となる米国OneTrust社コンサルティングパートナーとして GDPR対応支援サービスを提供開始 【ニュースリリース】
https://www.grcs.co.jp/news/news20180525-1 -
続・たかがCookieと侮るなかれ 【スタッフブログ】
https://www.grcs.co.jp/staff-blog/20181210 -
GDPR(EU一般データ保護規則)とは Webサイト Cookie対策ほか対応の必要性 【スタッフブログ】
https://www.grcs.co.jp/staff-blog/gdpr