アメリカのCookie同意管理と集団訴訟のリスク

はじめに

アメリカではカリフォルニア州のCPRAをはじめ、ペンシルバニア州やフロリダ州などでもデータプライバシーの保護が強化されています。

EUでは、オプトイン方式(デフォルトでは拒否、ユーザーが明示的にCookieカテゴリを許可する)での同意ですが、アメリカでは、オプトアウト方式(デフォルトではCookieを許可、ユーザーが自身でトラッキングされたくないCookieカテゴリを拒否する)の同意となっています。

今回のブログでは、アメリカにおけるCookieの同意管理がうまく機能していなかった(もしくはその恐れがある)場合のリスクについて紹介します。

Cookieの同意管理を侮るべからず:集団訴訟のリスク

集団訴訟に関する情報や集団訴訟を扱う弁護士と消費者をつなぐサービスなどをオンラインで提供するClassAction.org(4月26日)によると、ある米国企業のサイトにアクセスして、Cookieの設定を「Required Cookie」のみを許可(他をすべて拒否)するよう設定したにもかかわらず、その後もトラッキングしつづけている疑いがあるため、現在弁護士が調査しており、プライバシー侵害の可能性について、当該企業に対して訴訟を起こすためにカリフォルニア州、ペンシルベニア州、フロリダ州在住の消費者を集めているとのことです。

Cookieの同意管理が機能していない場合に考えられる理由

もし、主要なCookieの同意管理ツールを使用しているにもかかわらず、上記で主張するように同意管理が適切に機能しない場合、一般的に以下の理由が考えられます。

Cookieのカテゴリ(分類)が適切でない

Cookieのカテゴリごとに同意を制御する実装をしている場合、分類は同意を取得する上で非常に重要です。本来必須ではないものまで必須Cookieに分類してしまっている場合、サイト訪問者は知らずに自身の行動をトラッキングされることになり、その同意は処理の法的根拠として不適切です。

ブロッキングが正しく動作していない

Google Tag Managerのトリガー設定やツールの自動ブロッキング設定、オプトアウトされた場合の実装(デフォルトでDropされたCookieの削除などの制御)など、実装面での誤りや不足によりブロッキングが正常に機能していない。

国、地域別ルールの法規制に沿っていない

Cookieの同意管理ツールでは、サイト訪問者のIPアドレスでその国、地域に合わせてバナーのデザイン、オプトアウトやオプトインの選択などのルールを設定することができます。これのデザインやルールが国や地域の法規制に準拠した内容になっていない。

さいごに

Cookieの同意管理ツールを導入しても、それだけで正しくCookieが制御できているという保証にはなりません。サイトで使用されてるCookieを定期的にスキャンして洗い出し、それらを正しく分類し、Cookieが適切にブロッキングされていることを確認するとともに、時間とともに更新される地域または国ごとの法規制に準拠しているかどうかもトラッキングしていく必要があります。

弊社では、Cookieの同意管理の導入支援サービスは取り扱っておりませんが、それ以外のプライバシー業務(Privacy Ops)に関連するものやベンダーリスク管理などのOneTrustの機能について販売および導入をサポートしています。

もし、ご興味のある方は、こちらよりデモをリクエストください。

この記事をシェアする