Closed4

GDPR & CCPA - 3: クッキーの利用

https://portal.bizrisk.iij.jp/feature/28

クッキー規制

  • EC と米国ではクッキー規制への遵守対応が進んでいる
    • 2018/05 の EU 一般データ保護規則 ( GDPR )
    • 2020/01 のカルフォルニア州消費者プライバシー法 ( CCPA )

クッキーとは

  • Web サイト利用者のブラウザに保存されるテキスト
  • Web サイトが利用者のブラウザを一意に識別し、属性を紐づける
    • 利用者ごとに適切なサービスを提供できる

サードパーティ・クッキーとは

  • Web サイトが他ドメインのコンテンツを含む場合、他ドメインもクッキーを利用できる
    • 複数の Web サイトにまたがって利用者をトラッキングできる
  • ネット上での行動履歴を分析すると、年齢や性別や所得や居住域などを推論することができる

https://portal.bizrisk.iij.jp/feature/29

プライバシー

  • トラッキングにより他人に知られたくないプライバシーが推論される可能性がある
  • ある種の人々がある種の情報から阻害される可能性がある
    • e.g.) 低所得と推論された人には高額なサービスの広告が掲載されない
  • 思想信条が推論され、世論操作に利用される可能性がある

EU のクッキー規制

  • DGPR が定める要件に従って、クッキーを利用することの同意を得なければならない
    • 目的・方法・開示先・期間等について明確かつ包括的に説明した上での同意であること
    • 利用者の意思で与える同意であること
    • 処理の目的それぞれについて同意を得ること
    • 曖昧ではない肯定的な行為 ( クリックなど ) により取得した同意であること
    • 実際に利用する前に同意を得ること
    • 同意を得たことを Web サイト側が証明できること

ただし、同意の取得が不要な例外があり、必須クッキーとして例示されている

  • Web サイトの表示言語やフォントを記憶するためのクッキー
  • 買い物カゴに入れたアイテムを記憶するためのクッキー
  • ログイン状態を記憶するためのクッキー
  • セキュリティアップデートの状態を監視するためのクッキー
  • 詐欺利用を防止するためのクッキー
  • アクセス負荷分散を目的とするためのクッキー

クッキー以外にも

EU のクッキー規制を定める e プライバシー指令は、端末装置への情報の読み書きを規制しているので、クッキー以外にも同じ規制の対象になるものがある

  • 具体例は記事を参照

米国カルフォルニア州のクッキー規制

  • 2020/01 から施行されている CCPA においても規制されている
  • カルフォルニア州に居住する消費者の情報を利用する事業者は、事業拠点にかかわらず、規制対象となる
  • 事業者が取得した閲覧履歴、行動履歴、利用履歴等の個人情報を第三者に提供する場合は、目的と開示先について説明し、同意 ( 拒否 ) できる仕組みが必要
このスクラップは2021/07/15にクローズされました
作成者以外のコメントは許可されていません