ウェブサイトが、プロバイダーによってウェブサイトを閲覧したユーザーのパソコンに入力されるCookieやファイルを利用し、ネット検索やオンライン取引を促進するために使用していることは知られている。しかし、Cookieは、プロバイダーと協働する会社又はサービスプロバイダーの顧客である会社の広告表示対象になるユーザーの利用態様に関する情報を収集する機能も有している。
一方で、承認を意味する「X」や、その他の隠されたフォーム、同意への誘引フォームが表示されることで、ウェブサイトがユーザーにCookieの利用に関する同意を求めることは、まだ実務上用いられている。
ドイツの民事及び刑事最高裁判所は、欧州司法裁判所に対し、上記のような同意を求める方法が、EUの電気通信産業におけるプライバシー保護法に抵触し得ると解釈するために請願を提出した。本事件はドイツ連邦の消費者団体協議会が原告として申立がなされたものであり、オンラインゲーム会社のPLANET 49を、同社のユーザーのパソコンにCookieを入力することへの同意を表明する欄にあらかじめマークがされた状態で表示していたことを訴えの理由とするものである。
前述の請願に関連して、欧州司法裁判所は、2019年10月1日付判決(C-673/17事件)において、ユーザーの同意はユーザーのパソコンにCookieが置かれるために明示的に表明されなければならないと明らかにした。
さらに、承諾の方法が、既に同意欄にマークがされており、ユーザーが同意を望まない場合はマークを外さないといけないような欠陥があるときは、承諾が適当になされたとは理解されないという判断をした。つまり、ユーザーが欠陥のある同意欄から承諾のマークを消さなかったことをもってユーザーによる承諾とはみなされず、また有効になることはなく、ユーザー自身によって空欄に承諾マークが押されなくてはならない。承諾マークを押すことの必要性は「ユーザーの機器に保管又は参照された情報が個人情報か、個人情報によって構成されているものではないか」とは関係のないものである。求められた情報の種類ではなく、第三者が、ユーザーのパソコンや端末に当該第三者の同意なく、つまり明確で不可欠な同意がないまま、入ることは容認されない。
欧州司法裁判所は、ユーザーによる積極的かつ明確な同意の実施を要求しており、ユーザーの同意が怠慢、混乱、十分な明確性の欠如によってなされた場合、同意とすることはできないとした。なぜなら、もし保護財産が個人のプライバシーであるならば、混乱させ、ユーザーの受動性(又は不安)を利用しようとする意図のあるサービスプロバイダーのメカニズムや罠によって毀損することはできないし、されてはならないからである。(自身又は第三者の)Cookieにパソコンを解放することは、隠されたログイン用パスワードと望まない情報の獲得装置を含む可能性がある。
判決はまた、同意が明示的で特定的でなければならず、オンラインサービスプロバイダーが、Cookieの利用の承諾をすることで特定のゲームやイベントに参加するため(裁判事案のように)や、サービス提供を受けるためなどのために、最初のボタンを押すことをコンピューターデザインソースに組み込むことは禁止しなければならないと確認した。このように黙示的又は間接的であるとみなされる方法は当該裁判所によって否定された。この禁止が、ユーザーが本当の警告を認識していない、又は、ウェブサイト内のマウスポインターのドラッギングが継続するかどうかの動作とみなされるような場合に、Cookieの有効設定への同意が、単に当該サイトを通じた検索を続けることに紐づけられているようなサイトに拡大される可能性があることについて議論の余地はある。我々の見解としては、同意は分離可能性のないサービスの享受と結びつくものであるため、このような実務は受け入れることができない。この障害を解決するために、同意を依頼した後に、明示的な方法で同意が表明されるまでウェブサイト画面は停止されなければいけない。事実、裁判所は、Cookieの有効化のためのユーザーによる同意の表明は不明瞭なもの、誘導されたもの、分かりにくい方法であってはならず、同意を得るために選ばれたシステムはユーザ自身による自発的に同意を行なったことを表示しなければならないとしている。
最後に、ユーザーが基本的決定を行えるためには、Cookie設定を受け入れる決定の結果について、事前に十分な情報を考慮する必要がある。この点、サービスプロバイダーはそのサイトにおいてユーザーに対し、Cookieは当該プロバイダーだけがアクセス可能なのか、第三者もアクセス可能なのかといった、基本的観点を明らかにして知らせなければならない。同様に、Cookieが有効でいる期間も示さなければならないだろう。
判決には含まれなかった追加的な問題は、サイト検索や提供サービスの利用を許可するためにCookieの利用承諾を求める(公的な)サイトの合法性である。このようなケースは、ユーザーに能動的な同意を求めている場合であっても、承諾しない場合は公共サービスを利用できないという点において、ユーザーによる決定は誘導された無効なものであるということができるだろう。
ヴィラ・エドアルド (Eduardo Vilá)
ヴィラ法律事務所
より詳細な情報につきましては、下記までご連絡ください。
2019年10月4日