10.jpg

スタッフブログ

たかがCookieと侮る無かれー欧州eプライバシー規制の対応について

Posted by GRCS | 2018/09/04 16:14:10
クラウドサービス開発部の徳永です。
 
本日は最近多く問い合わせをいただいている、Webサイトにおける欧州eプライバシー規制への対応について、簡単にお話させていただきたいと思います。
 
海外(特に欧州)からのアクセスがあるWebサイトを運用していて、何らかのCookieを発行してますか(意図せず発行している場合も含む)?
 
この質問にもしかして該当するかも・・・という方はぜひご一読ください。
 
もう少し詳しく説明します。
 
5月に EU圏内の個人情報に関するGDPR(EU一般データ保護規則)が施行されたことはご存知の方も多いと思いますが、現在さらなる規制としてeプライバシー規則が討議されており、早ければ年内にも成立・施行の可能性があります。
この規則は別名Cookie法とも呼ばれており、一見美味しそうな名前ではあるのですが、罰則等はGDPR同等に大変厳しいものになっています。
 
先行して施行されたGDPRが個人データ全般の扱いが対象となっているのに対して、eプライバシー規制ではcookieの扱いにフォーカスがされているのが特徴です。
 
EUにおけるeプライバシー規制のCookie利用制限の概略として以下の要件が定義されています。
1.ユーザの同意がない限り、Webサイトからユーザのデバイス上にデータの保存、もしくはデバイス上のデータ検索を行ってはいけない
2.サービス利用に際してCookieもしくは類するものの利用が不可欠 (Strictly Necessary) とみなされる場合、ユーザの同意は必ずしも必要ではない
 
まず、この2番に該当する「サービス利用に不可欠なCookie」の例としては、以下のようなものが想定されています。
 
ショッピングカート機能の一部として利用されている場合
セキュリティ、ロードバランス用途のセッションCookie
 
つまり、これ以外の例えばアクセス解析やマーケティング用のCookie等は、利用不可欠なCookieとして認識されておらず、1番の規則が適用されます。
したがって、Webサイト上で利用者にこうしたCookieを発行およびそれを利用する場合、以下の対応が必要となります。
 
・Webサイト上で使用しているCookieに関する情報の提示とCookie利用の目的に関する説明の提示
・Cookie使用に対してユーザが同意/拒否する機能とユーザの同意/拒否に基づいたユーザデバイス上へのCookie発行の制御
 
ブラウザが認識できるCookieの上限が30個だったような時代もありましたが、
今や無数のCookieが発行され蓄積されているのが実情です。
 
こうした規則に対応しようとすると、発行したCookieの管理とCookie同意の確認画面(バナー等)、ユーザーにどのCookieを受け入れるか否かの選択画面も必要になります。
作ろうと思えばそこまで難しいものにはならないのですが、開発コストや運用まで考えると・・・?
 
弊社がコンサルティングパートナーとなっているOneTrustという製品では、自社のWebサイトと連携し、そこで利用しているCookieのスキャン・分類の支援・同意バナーとその履歴管理を行うことができますので、すぐに対応が必要な場合はこうしたツールを利用するのも手っ取り早いかもしれません。
 
心配な方、お困りの方はお気軽にご連絡をいただければと思います。

Topics: コンプライアンス, セキュリティ

Written by GRCS