スペインデータ保護局は、現在、ウェブサイトにおけるCookies(クッキー)使用に関連する大量のデータ保護法違反の規制に関心を持っている。具体的には、適切な形でクッキー機能設定を行なっていないウェブサイトの運営者を追求し、制裁措置を意味する。

上記に沿って、直近2020年6月9日付にて、情報社会サービス法(LSSI)第22条第2項に違反したとして、3万ユーロのペナルティを課す判決が公示された。この種の制裁を、スペインデータ保護局は多数科している。

本判決では、制裁対象企業はクッキー使用に関する情報を適切に提供しておらず、また、各クッキーの目的や、クッキーによって収集される情報を利用する可能性のある第三者である協力者を明確に特定していないと判断された。

同様に、サイトにアクセスしたユーザーにいかなる操作を要求することなく、クッキーを直接設定している、とも判断した。

当該ケースは、ある個人からの苦情申立てに発端し、その後、スペインデータ保護局が適切な調査を開始することとなった。

具体的には、以下の状況にあった。

a) サイトのホームページにアクセスした際に、何の操作も行わずにブラウザに最大7種のクッキーが自動的に保存されていることが確認できた。

b) クッキーのバナーには、当該クッキー使用を拒否するリンクやボタン、あるいはクッキーの管理と設定のためのレイヤ2に転送するボタンが存在しなかった。

c) 情報提供のため、ホームページには、クッキーの定義、クッキーを使用理由、ブラウザやモバイルOSでの使用管理方法など、必要な情報を記載したリンクを設置する。しかしながら、クッキー使用を完全にもしくは部分的に適切に拒否するためのオプションが提供されることがなかった。

上記はすべて情報社会サービス法の第22条第2項違反とみなされた。判決文は、以下のような見解を述べている。

「サービス提供者は、受信者の端末機器においてのデータの保存・検索装置の使用が可能となるが、その場合、受信者は、当該装置の使用に関する明確かつ完全な使用情報、特にデータ処理の目的に関する情報を提供された上で、これに同意した場合のみに提供者の使用を可能とする […]。

技術的に可能且つ有効な場合には、データの処理の受諾に関する受信者の同意は、適切なブラウザまたは他のアプリケーションのパラメータを使用して提供されることがある。

上記は、電子通信ネットワークを介した通信の送信の実行、あるいは受信者から明示的に要求された情報社会サービスを提供することを唯一の目的とする技術的性質クッキーの保存またはアクセスを妨げるものではない。」

当該違反は、情報社会サービス法の第38条4項g) において「第22条第2項に定める条件に基づき、情報の提供を受けていない場合、またはサービスの提供を受ける側の同意が得られていない場合のデータ保存・復旧装置の利用」は、軽度の違反に分類されている。そして同法の第39条に基づき、3万ユーロ以下の罰金が科すことが可能とされる。

そのため、クッキーの使用に関する明示的な勧告に関する2019年末スペインデータ保護局発表及び、昨年5月に欧州データ保護委員会発表の両方を詳細に見直し、実施することを強く推奨する。

 

テラン・アンドレアス (Andreas Terán)

ヴィラ法律事務所

 

更なる情報を知りたい方は以下までご連絡下さい。

va@vila.es

 

2020年7月10日