英データ保護当局のICO、Cookie規制に本腰を入れはじめる

英国の個人情報保護監督機関であるICO(Information Commissioner’s Office:情報コミッショナー局)は7月初旬、PECR(Privacy Electronics Communications Regulation:プライバシーと電子コミュニケーションに関する規則)のもとで、Cookieがどのように使用されるべきかについて、単刀直入な警告を発した。その理由は、一般データ保護規則(General Data Protection Regulation:以下、GDPR)の同意に関する規則を反映するように、PECRが更新されたためだ。

昨年以来、GDPRの幅広い解釈と、同意要請メッセージをユーザーに伝える同意管理プラットフォーム(CMP)の標準化の欠如が、結果的に、消費者体験を混乱させてきた。

ICOは、クッキーが広告や他のオンラインサービスでどのように、どこで使われるかについての誤解をなくしたいと考えている。ただ、「不必要な」Cookieを禁止したいのだ。つまり、ユーザーが要求したサービスの提供に必要なクッキーは、ユーザーの同意を必要としないということだ。

「Cookieに関するコンプライアンスは、今後ますます、ICOの規制上の優先事項になるだろう」と、ICOの技術政策担当責任者であるアリ・シャー氏は、最新情報に書いている。今後の措置はすべて相応のものになるが、企業はCookieの監査を実行すべきだと、シャー氏は付け加えている。

ICOが先月、現在の広告ターゲティング慣行はGDPRの下では違法だと警告して以来、アドテク業界はすでに警戒態勢を取っている。今回の最新の指導は、それをもう一段階引き上げるものだと信じる者もいる。

「Cookieの使用に関する新たな指導は、パブリッシャーや広告主、アドテクベンダーへ一様に大きな影響を与えるだろう」と、法律事務所ゴードンズ(Gordons)の弁護士で、技術関連法の専門家であるライアン・グレイシー氏は指摘する。「Cookieの使用をGDPRの同意基準と一致させ、最終的には、企業がオンラインで人々をトラックする方法を変える重大な改定だ」。

ICOが禁止してきたことをここで見ていこう。

「暗黙の同意」との決別

GDPRにより、Cookieや個人データの処理については、(以前はPECRの下で合法だった)暗黙の同意を拠り所にすることができない。ユーザーは、ウェブサイトの訪問や(購入のような)オンラインサービスの利用目的に不要と考えられるCookieに対して、明示的な同意をしなければならないということだ。(まだたくさんある)事前にチェックマークを入れたボックスや、デフォルトでユーザーがオプトインされる戦術は、不必要なCookieの場合には許されない。ユーザーが、不必要なCookieが投入されるものを完全に管理できるようにし、ユーザーが同意する前にランディングページにこういったCookieを設定することもできない。当然ながら、一部の企業は、Cookieはすべて、事業の遂行やユーザーへのサービス提供に不可欠だと主張するだろう。だが、それは、危険をともなう想定となる。

分析用のCookieは同意が必要

信頼できる分析用Cookieは運に見放されているように見える。ICOがこれらにユーザーの同意が必要と考えているのは、そうしないと、オンラインサービスを利用する時にこういったCookieがコンピューターに投入されているとユーザーが気づかないからだ。そうした理由から、ICOは、ユーザーがサービスにアクセスできるためには不要なものだと述べてきた。だから、ユーザーの同意がなければならない。

「時間が経てば、どれだけの人が不必要なCookieに同意を与えるかわかるが、広告主のリーチが制限されるのは間違いない」と、グレイシー氏は付け加えた。

訪問してもコンテンツを読めない「トラッキングウォール」

GDPR施行に先立つある時点で、「トラッキングウォール(※ICOは『Cookieウォール』と呼んでいる)」の概念が話題にされた。これは、トラッキングウォールが設けられているパブリッシャーのサイトの訪問者が、広告目的でそのパブリッシャーにデータが利用・保存されることに同意するまで、サイトにとどまってコンテンツを読んだり見たりできなくなるというものだ。これは、想定されている多くの同意戦略にも当てはまる。多くのサイトはこれについて、サイトを利用すればCookieに同意したことになるというメッセージを追加してきた。だが、ICOは、GDPRの下ではこれは有効な同意ではないと述べてきた。

正当な利益

ICOが最近、GDPRに関する最新情報で述べたように、ターゲティング広告を送るにあたって「正当な利益」という主張を盾にとることは不可能だ。PECRについても同じことが言える。実際、ICOは、PECRでは常にそうだと主張した。

「PECRは、マーケティング目的や広告目的で使用されるもののような不必要なCookieについて、常に同意を求めている。こうしたCookieについて、正当な利益に依拠することはできない」と、シャー氏は述べている。

Jessica Davies(原文 / 訳:ガリレオ)