💶

GDPRのCookie保存期限13ヶ月という話はどこから来たのか

2021/08/04に公開

消防署の方から来ました。

結論から

  • GDPR対策で、利用の同意をとったCookieは、最長で13ヶ月保存してよさそう、という気がする
    • 明示的に「13ヶ月でオッケーです」という規定をする記述は見つけることはできなかった
    • 状況証拠を集めると、なんとなく保存期間はMAX13ヶ月というコンセンサスはありそうな気がする
    • 国によっては、13ヶ月後に再度Cookie利用の同意を取る必要があると定めているところがある
  • 近い将来、最長でも12ヶ月おきにCookieの利用の同意を取り直す必要があるようになる

General Data Protection Regulation (GDPR) Compliance Guidelines

Cookies, the GDPR, and the ePrivacy Directive

GDPRとCookieの話がコンパクトにまとまっているので、ここからスタートした。

https://gdpr.eu/cookies/

The General Data Protection Regulation (GDPR) is the most comprehensive data protection legislation that has been passed by any governing body to this point. However, throughout its’ 88 pages, it only mentions cookies directly once, in Recital 30.

GDPRでCookieについて直接的に触れているのはRetical 30のみ。

According to the ePrivacy Directive, they should not last longer than 12 months, but in practice, they could remain on your device much longer if you do not take action.

ePrivacy Directiveによれば、Cookieは12ヶ月を超えて残ってはいけない。
→ この12ヶ月ルールはどこに明文化されているのか?

GDPR

Recital 30 - Online identifiers for profiling and identification

https://gdpr.eu/recital-30-online-identifiers-for-profiling-and-identification/

Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.

自然人は、インターネットプロトコルアドレス、クッキー識別子、又は、無線識別タグのようなその他の識別子といったような、当該自然人のデバイス、アプリケーション、ツール及びプロトコルによって提供されるオンライン識別子と関連付けられうる。これは、特に、サーバによって受信されるユニーク識別子及びその他の情報と組み合わされるときは、自然人のプロファイルをつくり出し、そして、自然人を識別するために用いられうる痕跡を残しうるものである。
https://www.ppc.go.jp/files/pdf/gdpr-preface-ja.pdf

GDPRには具体的な保存期間の記載はない。(あたりまえだ)

ePrivacy Directive (eプライバシー指令)

正式名は "Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications)"

ePrivacy Directiveそのものは法律ではなく、EU加盟国に対して「こういう法律を作りなさい」という指令をする文章。

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02002L0058-20091219

Article 15 - Application of certain provisions of Directive 95/46/EC

ePrivacy Directiveで、該当するっぽい箇所はここしか見つけられなかった。

  1. Member States may adopt legislative measures to restrict the scope of the rights and obligations provided for in Article 5, Article 6, Article 8(1), (2), (3) and (4), and Article 9 of this Directive (略). To this end, Member States may, inter alia, adopt legislative measures providing for the retention of data for a limited period justified on the grounds laid down in this paragraph. (後略)

Article 5が、Cookieの同意に関する条項で、このArticle 15で、EU加盟国はこれらに関して保存期間を限定する法律を作ることができる(と書いてあるようだ)。

あれ?? ePrivacy Directiveに保存期間の具体値なんて書いてなくない??

結局、保存期間は具体的に何ヶ月なんだ

このあたりからよくわからなくなってくる。
EU加盟国がバラバラに保存期間を設定したらよくないので、どこかが指針を示す必要があると思うのだが、その元ネタがわからない。
個別事例はいくつか見つけることができた。

Guidelines on the protection of personal data processed through web services provided by EU institutions

European Data Protection Supervisor(欧州データ保護監督官)の示す、EUの公共機関がWebサービスを提供するにあたってのガイドライン

https://edps.europa.eu/data-protection/our-work/publications/guidelines/web-services_en

A strictly limited retention time for unique identifiers, such as IP addresses, shall be set, based on necessity and proportionality. Since in general one year is the longest coverage for statistics on unique user behaviour, the identifiers originally collected shall be deleted after about 13 months.

統計目的の識別子(=cookie)は、1年もキープしとけば十分だろうから13ヶ月経ったら消すべきという記載がある。

CNIL's guidelines on cookies and tracking devices

CNIL(フランス共和国データ保護機関)のCookieガイドライン

https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000038783337 (フランス語です)

フランス語で「何ヶ月」というのはmoisと書くらしいのでそれをキーワードに検索した。

Article 5 - Sur le cas spécifique des traceurs de mesure d'audience.

「オーディエンス測定用トレーサーの具体的な事例について」くらいの意味(のようだ)。

les traceurs utilisés par ces traitements ne doivent pas avoir une durée de vie excédant treize mois et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites.

"treize mois"が「13ヶ月」の箇所。
DeepL先生によれば、「これらの処理で使用されるトレーサーの寿命は13ヶ月を超えてはならず、この寿命は新たな訪問時に自動的に延長されてはならない」という意味だそうです。
「新たな訪問時に自動的に延長されてはならない」ってのが厳しいですね...

UK Information Commissioner's Office

Information Commissioner's Office (ICO)は、英国のGDPR(UK GDPR)の規制監督当局。

https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-of-cookies-and-similar-technologies/how-do-we-comply-with-the-cookie-rules/#comply20

This will depend on the purpose of the cookie. (略)
This also depends on the purpose you use the cookie for – so it is difficult to provide comprehensive guidance for each possible type of cookie.

場合によりけりだから自分で考えてね、ということだそうです。

There are some clear cases where the duration of a cookie is wholly disproportionate. For example, whilst it may be technically possible to set the duration of a cookie to “31/12/9999” this would not be regarded as proportionate in any circumstances.

とはいえCookie有効期限を9999年12月31日とかにセットするのは(技術的に可能としても)ありえないよね、ということだそうです。そりゃわかりますけど...

ePrivacy Reguration (eプライバシー規則)

ePrivacy Regurationと、ePrivacy Directiveとの違いは、DirectiveはEU加盟国に「こういう法律を作りなさい」という指令なのに対し、RegurationはEU加盟国に直接適用される法律という点。

まだ立法・公布されてはいなくて、Proposal段階だが、決まればこれが新たなCookieルールになる。

"Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications)"

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=consil%3AST_6087_2021_INIT

Article 4a - Consent

  1. End-users who have consented to the processing of electronic communications data in accordance with this Regulation shall be reminded of the possibility to withdraw their consent at periodic intervals of [no longer than 12 months], as long as the processing continues, unless the end-user requests not to receive such reminders.

この規則に基づき、電子通信データの処理に同意した利用者は、当該処理が継続する期間中、12ヶ月を超えない定期的な間隔ごとに、その同意を撤回することができることを、通知されなければならない。ただし、当該利用者がこのような通知を受領しないことを要求する場合は、この限りではない
https://www.soumu.go.jp/main_content/000744406.pdf

ここに来て新しい項目がやってきた。いずれは、最長でも12ヶ月おきにCookieの同意を取り直さないといけなくなるようだ。上述のCNILのガイドラインでもCookieの自動延長は不可という記載もあったし、新たなGDPR実装の考慮点になるんでしょう。

その他参考

Guidelines on the protection of personal data in IT governance and IT management of EU institutions
For how long can data be kept and is it necessary to update it?
How to run a website in Germany

GitHubで編集を提案

Discussion