ニュース

Cookie、ウェブ分析、GDPRコンプライアンスのガイド

2020年02月27日 トピックス ニュース

GDPRが発効し、オンラインの世界が頭角を現してからほぼ2年が経ちました。 Cookie / Cookieの同意/ Cookieのコンプライアンスに関する混乱は今日まで残っています。 ですから、私たちはこの機会に、今世紀の「大きな悪い」と思われるものについてもっと話したいと思います。

オンラインCookieは評判が悪いようですが、見た目ほど悪いのですか?

まず、インターネット上のCookieとは何ですか?

インターネットCookie(HTTP Cookie)は、Webサイトから送信される小さなデータであり、そのサイトにアクセスしたときにコンピューターまたはモバイルに保存されます。

クッキーはすべて悪いですか?

いいえ。Cookie自体は通常、コンピュータにマルウェアを感染させることはできないため、無害です。

また、それらを使用するWebサイトとそれらのWebサイトにアクセスする個人の両方にとっても役立ちます。 たとえば、オンラインショッピングの場合、eコマースサイトのCookieは買い物の対象を追跡します。 その追跡がない場合、そのサイトから離れるたびにカートは空になります。

企業/ウェブサイトの場合、Cookieは認証(ログイン)およびウェブサイトのユーザーエクスペリエンスの追跡に使用できます。 たとえば、同じサイトへの複数の訪問を追跡して、Webサイトにアクセスする顧客により良いエクスペリエンスを提供します。

それほど甘くないタイプのCookie:

個人データを含むCookie

不正なCookieのもう1つの例は、Cookie自体に個人データが直接含まれている場合です。 たとえば、ウェブサイトが人口統計や名前をCookieに保存する場合; または、Webサイトが調査結果をCookieに保存する場合。 これらの方法でのCookieの使用は、最近では悪い習慣と見なされています。

サードパーティのCookie

Webサイトで使用して、複数のWebサイトでの訪問とアクティビティについて知ることができます。 クッキーは、「ビッグブラザー」タイプの追跡に使用されると、つまり、ウェブサイト間でアクティビティが追跡された後に個人の仮想指紋を作成するために使用されると、有害な領域に入る可能性があります。たとえば、ほとんどの広告ネットワークでは、広告を表示するときにブラウザーでサードパーティのCookieを作成します。これにより、これらの広告主はこれらのWebサイトでユーザーを追跡し、企業はよりターゲットを絞った広告を購入できます。

なぜMatomoはCookieを使用するのですか?

新規訪問者と再訪問者の正確な報告のため。 MatomoはCookieを使用して、訪問間の訪問者に関する情報を保存します。 また、Cookieを使用して、誰かが追跡に同意したか、追跡からオプトアウトしたかを記憶します。

Matomoが使用するCookieの種類:

  • Matomoはデフォルトで、サイトのドメインで設定されたファーストパーティCookieを使用します。
  • Matomoによって作成されたCookieは、_pk_ref、_pk_cvar、_pk_id、_pk_sesで始まります。 すべてのMatomo Cookieのリストを参照してください:https://matomo.org/faq/general/faq_146/

Cookieレストラッキング-Cookieを無効にし、Cookieコンプライアンスを確保します。

JavaScriptコードに行を追加することで、MatomoでCookieの追跡を無効にすることができます。 Cookieを無効にすると、Matomoデータの精度がわずかに低下します。 また、Cookieが無効になっている場合でも、特定の場合にいくつかのCookieが作成される場合があります。

Cookieを無効にすると、Matomoは、オペレーティングシステム、ブラウザー、ブラウザープラグイン、IPアドレス、ブラウザー言語などのいくつかのブラウザー属性に基づいて、指紋で一意の訪問者を検出しようとします。

CookieとGDPR

一部の国では、GDPRによれば、Webサイトはすべての追跡、特に追跡Cookieをユーザーがオプトアウトする方法を提供する必要があります。

GDPRは、個人のプライバシーを侵害する場合のCookieの使用を規制します。 Cookieが個人を識別できる場合、それは個人データと見なされます。

CookieコンプライアンスとGDPR

GDPRに準拠するには、以下を行う必要があります:

  • Cookie(厳密に必要なCookieを除く)を使用する前に、ユーザーの同意を受け取ります。 「明らかに同意が免除されている」Cookieの詳細をお読みください。
  • 同意を得る前に、各Cookieが追跡するデータとその目的に関する正確かつ具体的な情報を平易な言葉で提供します。
  • ユーザーから受け取った同意を文書化して保存します。
  • 特定のCookieの使用を許可しない場合でも、ユーザーがサービスにアクセスできるようにします
  • ユーザーが同意を取り消すのと同じくらい簡単に、ユーザーが同意を取り消すことができます。

Source: https://gdpr.eu/cookies/

GDPRはいつCookieの同意を要求しますか?

GDPRの目的は、個人が個人データを管理できるようにすることです。 そのため、この規制には、個人のプライバシーを保護するために個人データの処理を規制する規定と要件があります。

つまり、Cookieを使用するには、それらの個人からの明示的な同意が必要になる場合があります。

GDPRがCookieの同意を必要としない場合

次に、一般に同意を必要としない多くのCookieがあります(ソース:https://wikis.ec.europa.eu/display/WEBGUIDE/04.+Cookies

これらは:

  • セッション中のユーザー入力Cookie
  • セッション中の認証Cookie
  • ユーザー中心のセキュリティCookie。認証の不正使用の検出に使用され、ユーザーによって明示的に要求された機能にリンクされ、限られた持続期間
  • セッション中のフラッシュプレーヤーCookieなどのマルチメディアコンテンツプレーヤーセッションCookie
  • セッション期間中の負荷分散セッションCookieおよびその他の技術Cookie
  • ユーザーインターフェイスのカスタマイズCookie、ブラウザーセッションまたは数時間、目立つ場所に追加情報が提供される場合(例:カスタマイズ機能の横に記述された「Cookieを使用する」)

Cookieと同意の追跡と正当な利益の追跡

ユーザーの同意は必ずしも必要ではありません:

個人データを収集して処理する場合は、ほとんどの場合、同意を求める必要があることを理解しています。 ただし、「正当な利益」の下でデータを処理する必要がある場合があります。

GDPRは、「正当な利益のために処理が必要な場合」に個人データの処理が合法であると述べています。 つまり、「正当な利益」がある場合、個人情報の収集と処理について同意を求めることを避けることができます。 詳細:https://cookieinformation.com/resources/blog/what-is-legitimate-interest-under-the-gdpr

個人データを処理するための合法的根拠(注意して処理する):

また、GDPRでMatomoを使用して個人データを処理するための合法的根拠があることについても書きました。 ここでの注意点は、正当な利益のために強力な議論をする必要があるということです。

最終ユーザーにとってリスクとなる可能性のある個人データを処理している場合、同意を得るのは依然として正当な合法的根拠です。 よくわからない場合は、執筆時点でICOがこの決定を支援するためのツールを提供しています。

Matomo Analytics GDPRはどのように準拠していますか?

Matomoは、個人データを処理しないようにデータを自動的に匿名化するように設定できます。 これにより、GDPRを完全に回避できます。 個人データを処理する場合、MatomoはGDPRガイドラインに簡単に準拠するための12の手順を提供します。

CookieとGDPRの新しい開発

GDPRの初期には、Webサイトや人々がCookieに関するGDPRルールに準拠するのを支援するために、大量のCookie管理プラットフォーム(CMP)が現れました。

これらは近年問題になっています。 ヨーロッパの最高裁判所は、クッキーボックスの事前チェックボックスが十分な同意を与えていないと判断しました。

それに加えて、新しい調査では、EUのほとんどのCookie同意ポップアップがGDPRに達していないことが示唆されています。

MIT、UCL、オーフス大学の「GDPR後の暗いパターン」と呼ばれる新しい調査では、ほとんどのウェブサイトがCookieに関するGDPRルールに従っていないことがわかりました。

この調査では、EUのほとんどのCookie同意ポップアップは、Webサイトの訪問者に「同意する」をクリックさせるように巧妙な方法を見つけることにより、GDPRを弱体化していることがわかりました。

免責事項

私たちは弁護士ではありません。 ここで提供される情報は、Cookieを扱うときに発生する可能性のある問題の概要を説明するためのものです。すべてのビジネスおよびウェブサイトは、データのプライバシーを真剣に受け止め、懸念がある場合は弁護士とこれらの問題について話し合うことをお勧めします。

追加のリソース: