分析とA/BテストCookie—ヨーロッパでの同意後のみ?
公開: 2020-05-262020年2月19日更新:CNILからの新しい更新では、A/Bテストとオーディエンス測定が同意から免除されるようになっています。
GDPRは、2018年5月に発効したときにのみ混乱を引き起こしたと思われるかもしれません。
真実は、ヨーロッパは2019年を通して混乱状態にあり、それは良いニュースではありません。
フランスと英国のデータ保護当局(CNILとICO)は、2019年7月に発行されたガイダンスノートを更新し、分析Cookie(A / Bテストとパーソナライズを含む)を訪問者のデバイスに配置する前に明示的な同意が必要であることを強調しました。 同意(オプトインなど)について言及する場合は、GDPRを具体的に参照します。 デフォルト設定ではなく、アクティブなユーザーアクションに基づいている必要があります。
2020年2月、CNILはこの問題に対するスタンスを変更しました(これを指摘してくれたPaul Schmittに感謝します)。 ICOとCNILは、A / Bテストと分析のためのCookieには同意が必要であると以前に述べていましたが、最新のガイドライン(フランス語)ではそうではないと述べています。
「一定数の条件を条件として、同意の免除の恩恵を受け、オーディエンス測定に使用されるCookieは同意の免除されます。 これらの条件は、Cookieおよびその他のトラッカーに関するガイドラインで指定されているように、次のとおりです。(1)ユーザーにそれらの使用を通知します。 (2)それに反対する力を彼らに与えること。 (3)システムを次の目的のみに制限する:オーディエンス測定とA/Bテスト。」
つまり、組織によるデータ収集専用に設定された(サードパーティと共有されていない)分析ツールは、同意なしにインストールできます。 この変更は、GoogleAnalyticsにとって難しい変更になる可能性があります。 Mozillaからのこの特別な合意により、GoogleAnalyticsは他のサービスとデータを共有しないようになりました。 現時点では、この設定がすべてのユーザーに利用可能かどうかは定かではありません。 それでも、ヨーロッパが同意なしに分析への扉を開いている場合、Googleは当然のことをたどり、この機能をヨーロッパの顧客ベースに提供する必要があると思います。
他のヨーロッパの国家プライバシー当局は(GDPRの前に施行された)eプライバシー指令法にそのような追加をもたらしませんでしたが、これは2020年7月から新しいeプライバシー規則が現在の指令に取って代わる瞬間までの間に法的な空白を生み出した可能性があります。
どうしたの? 何が変わったの?
ヨーロッパにおけるプライバシー法の主な変更の概要については、以下のビデオをご覧ください(免責事項:ビデオでは、変更が実際には2019年に実施されたのに、2018年に実施されたと誤って言及しました)。
2011年のヨーロッパのeプライバシー指令「Cookie法」と2003年の英国版のプライバシーおよび電子通信(EC指令)規則(「PECR」)は、最近ICOによって再解釈されました。 この変更は、個人データが収集されているかどうかに関係なく、「必須ではない」Cookieを削除するための「同意」を求めることを意味します。
2012年、ICOは、黙示的な同意(つまり、オプトインではなくオプトアウト)が許可されたと述べました。
黙示の同意は、データ保護法およびプライバシー規制の文脈では常に合理的な提案であり、情報の保存またはCookieや同様のデバイスを使用した情報へのアクセスの文脈でも同様です。
2019年7月18日、フランスのプライバシー当局(CNIL)は、Cookieの使用に関する新しいガイドラインを発表しました。 HTTP Cookieに適用されるルールは、ローカル共有オブジェクト、端末機器のフィンガープリント、ハードウェア識別子、オペレーティングシステムによって生成された識別子など、他の多くの追跡技術(「トラッカー」)にも適用されます。 ICOおよびGDPRガイドラインと同様に、ここでもCookieの使用について個別の決定はありませんが、フィンガープリントは現在同意に基づいています。
しかし、CNILは、Githubページを更新することで、すべてを少し混乱させています。 CNILの最新のガイドラインでは、オーディエンス測定とA / Bテストは同意を免除されており、すぐに配置(オプトアウト)できると規定されています。
欧州データ保護委員会(EDPB)は、2019年3月に、eプライバシー指令とGDPRの相互作用について意見書を発行しました。これは、GDPRがCookieについて言及しておらず、2つの法律の間にギャップがあるためです。
一部の人々は、EDPBの意見を、eプライバシー指令での「同意」へのすべての言及がGDPRで定義されている同意を意味すると解釈しました。 Cookieの場合、これは、ユーザーが積極的にオプトインしない限りCookieを配置できないことを意味します。
では、GDPRが発効してから1年後にICOとCNILがガイダンスを変更したのはなぜですか? Cookieの「オプトアウト」に関する情報が13か月以内に同意オプトインに変更されたのはなぜですか?
そのことに感謝するPlanet49があります。
2017年11月30日、ドイツのWebサイトおよび企業であるPlanet49は、GDPRおよびePrivacy指令を考慮した複数の疑わしい慣行について法廷に持ち込まれました。
結果を待たなければならなかったが(記事の下部に完全に添付されている)、判決は各国に明確なガイドラインが必要であるというトーンを設定した。
この判決により、CNILとICOは、現在のプライバシー法が同意、情報共有、および(分析と追跡)Cookieをどのようにカバーしているかを反映するようにガイドラインを更新し始めました。 CNILが他のヨーロッパ諸国に影響を与えてオーディエンス測定とA/BテストCookieを許可するかどうかを待つ必要があります。
「厳密に必要な」Cookie免税の戦い
私たちのA/Bテスト会社がGDPRの慣行を採用した場合、分析とA/BテストのCookieがビジネスに不可欠なものとして顧客に提示される可能性があります。 代わりに、焦点は広告トラッカーにありました。
今日では、厳密に必要なCookieの免除の背後に隠れている可能性があります。 誰かが「しかし、私たちの法務チームは、同意なしにGoogleAnalyticsのCookieを配置できると言った」と言うのを聞いたことがあります。 ICOの新しいガイドラインを読むまで、私もそのキャンプにいました。 彼らのサイトは、ウェブサイトの機能と適切なユーザーインタラクションに不可欠なCookieの良い例をいくつか示しています。 新しいガイドラインが常に出てくるので、どちらかの側に厳密に固執することは混乱を招く可能性があります。 一部の企業は現在、CNILの最新の推奨事項に従っています。
以下の例では、ユーザーにサービスを提供するためにCookieが「厳密に必要」です。 いずれの場合も、免除が適用され、同意は必要ありません。
- ユーザーがチェックアウトに行くとき、または買い物かごに商品を追加するときに、ユーザーが購入したい商品を記憶するために使用されるCookie。
- ユーザーがリクエストしたアクティビティのGDPRのセキュリティ原則に準拠するために不可欠なCookie(たとえば、オンラインバンキングサービスに関連して、
- 多数のコンピューターにワークロードを分散することにより、ページのコンテンツを迅速かつ効果的にロードするのに役立つCookie(これは「負荷分散」または「リバースプロキシ」と呼ばれることがよくあります)。
「厳密に必要」なものは、自分自身ではなく、ユーザーまたはサブスクライバーの観点から評価する必要があることを覚えておくことが重要です。 したがって、たとえば、広告Cookieはサービスに資金を提供する収益をもたらすため、「厳密に必要」と見なすことができますが、ユーザーの観点からは「厳密に必要」ではありません。
ICOがユーザーの同意(ユーザーアクションによるプロアクティブなオプトイン)が必要であると述べているCookieは、次のとおりです。
- 分析に使用されるCookie。たとえば、Webサイトへのユニークアクセス数をカウントするため(パーソナライズとA / Bテストを含む)、
- ファーストパーティおよびサードパーティの広告Cookie (クリック詐欺の検出、調査、製品の改善など、サードパーティの広告に関連する運用目的で使用されるCookieを含む)
- ユーザーがWebサイトに戻ったときにユーザーを認識して、ユーザーが受け取る挨拶を調整できるようにするために使用されるCookie(パーソナライズはICOによって具体的に言及されています)。
2019年10月1日のECJ「Planet49」判決
2019年10月、欧州連合司法裁判所(「CJEU」)は、「Planet49」の判決で、 CNILとICOは2019年7月から実施されています。
したがって、Cookieと、広告Cookie(厳密には必須ではないCookie)を含むプロファイリングテクノロジ(フィンガープリントなど)を配置するには、積極的かつインフォームドコンセントが必要です。
Planet49が回避しようとしたもののように、事前にチェックされたボックスは、同意を得るための有効な手段ではありません。
私たちは企業としてインフラストラクチャ全体を再構築し、GDPRに準拠し、個人データをCookieに保存しないようにしました。
CJEUの判決は、個人データがCookieを介して収集されるかどうかは問題ではないと述べています。 Cookieの配置に個人データの処理が含まれない場合でも、同意を取得する必要があります。 管理者は、ユーザーの同意を得る前に、各Cookieの有効期間と、そのようなCookieを通じて収集された情報への第三者のアクセスについてユーザーに通知する必要があります。
分析およびA/BテストCookieに対する同意のない希望はありますか?
ICOは、分析に使用されるCookieと他の目的に使用されるCookieを区別しませんが、CNILは区別します。
分析Cookieは、ICOの「厳密に必要な」免除には含まれません。 つまり、企業は分析Cookieについてユーザーに通知し、英国での使用について同意を得る必要がありますが、フランスでは、CNILは同意なしで分析(制限付き)とA/Bテストを許可します。
ICO(UK)は、オンライン広告またはWeb分析に使用されるCookieを必須ではないと説明しているため、事前の同意が必要です。 これには、サードパーティのCookieとサードパーティのプロバイダーによって設定されたファーストパーティのCookieが含まれます(ConvertまたはGoogle Analyticsを参照)。 ConvertはCNILの規制にも準拠しており、顧客間でデータセットを共有せず、インストールは顧客ごとにのみ行われるため、A/Bテストとテストのホールドバックを伴うパーソナライズが許可されます。
ICOガイダンスには、次のように明確に記載されています。
ファーストパーティの分析Cookieには、複数のサイトまたはデバイスにわたってユーザーを追跡する可能性のある他のCookieほど煩わしいようには見えない場合でも、同意が必要です。
ファーストパーティの分析Cookieには、複数のサイトまたはデバイスにわたってユーザーを追跡する可能性のある他のCookieほど煩わしいようには見えない場合でも、同意が必要です。
ICOはどの分野でも正式な行動の可能性を排除することはできませんが、これは、ファーストパーティの分析Cookieの設定により、侵入のレベルが低く、個人への危害のリスクが低い場合に常に当てはまるとは限りません。 ただし、サードパーティが提供するファーストパーティの分析Cookieを使用する場合、必ずしもそうなるとは限らないことにも注意してください。
2020年7月までICOのPECRガイドラインに従うための猶予期間があることを知っておく必要があります。
ウェブサイトの使用に関して収集された情報が第三者に渡される場合は、これをユーザーに明確にする必要があります。 また、このサードパーティが情報をどのように処理するかを明確にする必要があります。
サービスによっては、アカウント設定を変更して、分析プロバイダーを含むサードパーティとの情報の共有を制限する機能をユーザーに提供することもできます。 (分析サービスもこの機能を提供する場合があります。必要に応じて、有効にすることを検討してください。)ユーザーに提供されるコントロールは、目立つように表示し、隠さないようにする必要があります。
最終的に、分析Cookieについてユーザーに明確な情報を提供し、ユーザーの同意を求めるか、情報を共有します(古いCookieバナー)。 これには、これらのCookieがユーザーにとって有用である理由をユーザーに示すことが含まれる可能性がありますが、ユーザーに1つのオプションを選択するように促していないことを確認する必要があります。
特定の側面では、そのようなガイダンス文書は、既存のeプライバシー指令(および現在のPECRおよびフランスの法律)に代わる新しいeプライバシー規制の現在の草案(2019年10月4日付け)よりもさらに進んでいます。 現在のドラフトでは、オペレーターが「オーディエンス測定」(つまり、サービスを最適化するためにWebサイトを通過するトラフィックを分析する)に同意することなく、ユーザーのデバイスにファーストパーティまたはサードパーティのCookieを配置することを許可しています。
それでも疑問がある場合は、Cookieの使用法を非常によく説明しているICOの図を次に示します。
まっすぐに私にそれを与える
ここで発生する可能性のある問題は、Cookieを配置する企業が独自の方法で法律を解釈しようとすることです。 ただし、分析、A / Bテスト、およびパーソナライズソフトウェアを作成している場合でも、それを直接提供します。
- 英国(ICO)とフランス(CNIL)のプライバシー当局は、2019年7月にガイドラインを変更し、Convert Experiences、Optimizely、AB Tasty、VWO、Adobe Target、PageSense、OmniConvert、Google Optimizeなどの分析、A/Bテストおよびパーソナライズソフトウェアを発表しました。残りはすべて、市民のためにファーストパーティおよびサードパーティのCookieを配置するために同意を使用してオプトインする必要があります。
- フランス(CNIL)は、A/Bテストと基本的な分析をCookieの同意から免除するガイドラインでGithubページを変更しました。
- ドイツとスペインは英国(ICO)またはフランス(CNIL)のいずれかに従っており、まもなくガイドラインの更新が期待できます。
- 欧州連合司法裁判所(「CJEU」)は、2019年10月の「Planet49」判決で、GDPR標準の同意がeプライバシー指令に基づくCookieの設定にも適用されるとの判決を下しました。 判決は、英国とフランスのガイドラインをすべての国のプライバシー当局が採用する必要があることを再確認しています。
- eプライバシー指令に代わるeプライバシー規制と呼ばれるドラフトの新しい法律には、A / Bテスト、パーソナライズ、および分析に関するCookieの例外があります。
- 現時点で、ICOまたはCNILが、ファーストパーティの分析、A / Bテスト、およびパーソナライズを使用する企業を積極的に追跡する可能性は低いです。 eプライバシー規制は2021年半ばに発効する可能性が高く、2020年7月までの猶予期間があります。これらの組織の業務範囲は非常に広いです。
- 2019年7月以降にヨーロッパで起こったことの公正な表現であると私たちが考えることに基づいて、独自の結論を導き出します。 法律顧問に相談してください。 同意管理プラットフォームを販売するツール(すべての同意が必要)に基づいてアドバイスを行わないでください。ただし、分析、A / Bテスト、およびパーソナライズツールのプロバイダーからのアドバイスはありません。
この記事が、現在ヨーロッパで起こっている変化に光を当てるのに役立つことを願っています。
それは私たちのビジネスモデルを傷つけますが、私たちは常に真実を共有するよう努めています。
最適化ツールを使用して最高のユーザーエクスペリエンスを提供し、ユーザーが最高の製品ページ、最も混乱の少ないメニュー、完成までの時間を節約できるフォームを利用できるようにしたいと考えています。
ウェブサイトの最適化は、ウェブサイトの訪問者と所有者(有料の顧客)の両方にとって最大の利益となる高貴な技術であると考えています。 お客様にはプライバシーを真剣に受け止め、ツールのすべてのレイヤーに警告とプライバシーを組み込むことを望んでいます。 コンプライアンスとプライバシーのために、集約されたデータのみをツールに保存し、個人データは保存しません。
私たちは実際に気にします。 現在のICOと絶えず変化するCNILガイドラインとeプライバシー規制のために私たちは厳しい状況にあるかもしれませんが、完全な透明性で、私たちはプライバシーを気にし、消費者が信頼できるブランドに選ばれる会社になることを知っています。
この目的のために、Webサイトの訪問者に、どのパーソナライズとA/Bテストが含まれているかを示す小さなポップアップを起動しました。
これは、お客様がConvert Experiences A / Bテストおよびパーソナライズツール内でグローバルJavascriptに追加できるオプションのコードです(これがどのように機能するかについては、下の画像を参照してください)。
プライバシー、私たちが取り組んでいるCNAMEソリューション、または新しい法的な進展について話し合いたい場合は、LinkedInで私に連絡してください。
2019年10月1日の裁判所(大会議所)の判決(Bundesgerichtshofからの予備判決の要求—ドイツ)
Bundesverband der Verbraucherzentralen und Verbraucherverbande — Verbraucherzentrale Bundesverband eV v Planet49 GmbH(ソースキュリア)
(ケースC-673 / 17)1
(予備判決の参照—指令95/46 / EC —指令2002/58 / EC —規則(EU)2016/679 —電子通信セクターにおける個人データの処理とプライバシーの保護— Cookies —同意の概念データ主体—事前にチェックされたチェックボックスによる同意の宣言)
ケースの言語:ドイツ語
参照裁判所
Bundesgerichtshof
主な手続きの当事者
申請者:Bundesverband der Verbraucherzentralen und Verbraucherverbande — Verbraucherzentrale Bundesverband eV
被告:Planet49 GmbH
判断の運用部分
電子通信部門における個人データの処理とプライバシーの保護に関する2002年7月12日の欧州議会および理事会の指令2002/58/ECの第2条(f)および第5条(3)(指令プライバシーおよび電子通信)、欧州議会および2009年11月25日の理事会の指令2009/136 / ECによって修正され、欧州議会および欧州議会の指令95/46 / ECの第2条(h)と併せて読む個人データの処理およびそのようなデータの自由な移動に関する個人の保護および規則(EU)2016/679の第4条(11)および第6条(1)(a)に関する1995年10月24日の評議会個人データの処理およびそのようなデータの自由な移動に関する自然人の保護、および指令95/46(一般データ保護規則)の廃止に関する2016年4月27日の欧州議会および理事会の同意を意味すると解釈されますこれらの規定で言及されているものは、Cookieの形式で、ユーザーが拒否するために選択を解除する必要がある事前にチェックされたチェックボックスによって、Webサイトユーザーの端末機器にすでに保存されている情報の保存または情報へのアクセスが許可されている場合、有効に構成されません。彼または彼女の同意。
指令2009/136によって修正された指令2002/58の第2条(f)および第5条(3)は、指令95/46の第2条(h)および第4条(11)および第6条(1 )(a)規則2016/679は、Webサイトのユーザーの端末機器に保存またはアクセスされる情報が、指令95/46および規則2016/679の意味の範囲内の個人データであるかどうかによって異なる解釈をしてはなりません。
指令2009/136によって修正された指令2002/58の第5条(3)は、サービスプロバイダーがWebサイトユーザーに提供しなければならない情報に、Cookieの操作期間と3番目かどうかが含まれることを意味すると解釈する必要があります。当事者はそれらのCookieにアクセスできる可能性があります。
____________
1 OJ C 112、26.3.2018。