近年、ウェブサイトでCookieの同意バナーを目にすることも増えてきました。ただ、よく見てみると、「すべて同意する」のボタンは大きく目立つのに、「拒否する」ための選択肢は分かりにくかったり、数回クリックしないとたどり着けなかったりするケースが少なくありません。このようなデザインは、実はGDPR(EU一般データ保護規則)との関係では違反と判断され、巨額の制裁金を科されるリスクがあります。

本稿では、Cookieバナーにおける「拒否」ボタンの重要性について、欧州の処分例を交えながら解説します。

 

GDPRが求める「自由な同意」とは?

 

GDPRにおいて、Cookieなどを通じて個人データを取得・利用する際に必要となる「同意」は、「自由に、特定され、情報を与えられた上で、かつ曖昧でない意思表示」(GDPR 第 4 条(11))でなければならないと厳格に定められています。

同意バナーとの関係で特に重要なのが、「自由に」という点です。

同意バナーにおいて、ユーザーを特定の選択(この場合は「同意」)へ誘導するような分かりにくいデザインは「ダークパターン」と呼ばれ、自由な意思に基づく同意を妨げるものとして、GDPR違反と見なされるリスクが非常に高いのです。

 

「拒否」ボタンがないことへの厳しい判断:フランスの監督機関による処分例

 

この問題に対して積極的に厳しい判断を下した一例が、フランスのデータ保護機関であるCNIL(情報処理及び自由に関する国家委員会)による下記の事例です。(参照:https://www.reuters.com/world/europe/france-imposes-fines-facebook-ireland-google-2022-01-06/

CNILは、ウェブサイトのCookieバナーに「すべて拒否する」ボタンが第一層(ユーザーが最初に目にする画面)にないことを問題視し、大手IT企業に対して高額の制裁金を科しています。

 

  • Googleへの1億5,000万ユーロの制裁金

google.frやyoutube.comの各サイトにおいては、同意バナーが、Cookieを「すべて受け入れる」場合には1クリックで済むのに対し、拒否する場合には複数回のクリックが必要なデザインになっていました。CNILはこれを「ユーザーが拒否することを不必要に複雑化しており、同意の自由を侵害している」と判断し、Googleに対して1億5,000万ユーロの制裁金を科しました。

 

  • Facebook(現Meta)への6,000万ユーロの制裁金

同様に、facebook.comのCookieの同意バナーにおいても、同意する場合には「すべて許可する」のボタンを1クリックするだけで済むのに対し、拒否する場合には、複数回のクリックを必要とすることが問題とされました。CNILはこれについてもGDPR違反と判断し、Metaに対して6,000万ユーロの制裁金を科しました。

 

これらの処分例は、「同意しない」という選択肢を「同意する」よりも手間のかかる手順にすることは、GDPRが求める自由な同意の原則に反するという明確なメッセージを企業に突きつけています。

上記のCNILの処分事例だけでなく、各国のデータ保護機関において、同様の判断が相次いでいます。

 

欧州データ保護会議(EDPB)の見解

 

欧州各国のデータ保護機関で構成される欧州データ保護会議(EDPB)も、Cookieバナーに関するタスクフォースの報告書の中で、「同意」ボタンがある階層に「拒否」ボタンがないデザインは、有効な同意の要件を満たさないという見解で大多数の機関が一致していることを明らかにしています(https://www.edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf)。

この報告書により、Cookieバナーの第一層に「すべて同意する」ボタンを設置するのであれば、それと同等に分かりやすい「すべて拒否する」(あるいはそれに類する表現の)ボタンも設置しなければならない、という欧州各国機関の統一的な解釈が事実上示されたといえます。

 

日本企業がとるべき実務対応

 

GDPRは、EU域内にいる個人に商品やサービスを提供している場合、日本の企業であっても適用されます(域外適用)。したがって、日本企業も決して対応を怠ることはできません。企業で設置したウェブサイトがEUからのアクセスを想定している場合、以下のような対応を取って頂く必要があります。

 

1. Cookieバナーの第一層に「拒否」ボタンを設置する:

「すべて同意する」ボタンを設置している場合、同じ階層に同等のデザイン性を持つ「すべて拒否する」ボタンを必ず設置してください。「詳細設定」や別のページへのリンクで拒否させる方法は、違反と判断されるリスクがあります。

 

2. ボタンのデザインを中立にする:

「同意」ボタンを不必要に大きくしたり、目立つ色にしたりしてユーザーを誘導する「ダークパターン」を避け、両方の選択肢が公平にユーザーに提示されるよう配慮してください。

 

3. 同意の撤回を容易にする:

ユーザーが一度同意した後でも、いつでも簡単にその同意を撤回できるような仕組み(例:サイトのフッターに常に表示されるプライバシー設定リンクなど)を提供することが求められます。

 

今回の記事で、Cookieの同意バナーの表示が、GDPRコンプライアンス上重要であることがお分かりいただけたかと思います。GDPR違反による高額な制裁金のリスクを回避し、ユーザーからの信頼を獲得するためにも、今一度自社のウェブサイトのCookieバナーを見直してみてはいかがでしょうか。

 

弁護士 柏田剛介