同意の仕組み
GDPRの下で、同意は処理のための6つの適法根拠の1つであり、厳格な条件を伴います。同意は自由に与えられ(抱き合わせや強制でなく)、特定された目的に対して特定され、情報に基づき(個人は誰に対して何に合意するのかを理解しなければならない)、そして明確な積極的行為によって表明された曖昧さのないものでなければなりません。あらかじめチェックされたボックス、沈黙、無反応は該当しません。
有効な同意は、与えるのと同じくらい容易に撤回できなければならず、組織はそれを取得したことを証明できなければなりません。処理が特別な種類のデータに関わる場合、基準は明示的な同意へと引き上げられます。これらの要件こそが、準拠した同意バナーが細分化された選択を記録し、各判断の検証可能な記録を保存する理由です。
ePrivacy指令は、ユーザーが明示的に求めたサービスを提供するために厳密に必要な場合を除き、クッキー、ローカルストレージ、その他クライアント側の識別子など、ユーザーのデバイス上の情報を保存またはアクセスすることについて、別個の同意要件を追加します。これが、企業がその後の処理について正当な利益に依拠できる場合であっても、多くの分析・追跡スクリプトが同意の背後に置かれる理由です。
実務上、組織はしばしば複数の仕組みを組み合わせます。すなわち、非必須の追跡や広告には同意を、そしてセキュリティや不正防止のような機能には正当な利益や契約上の必要性といった他の適法根拠を用います。ある活動にどの根拠が適用されるかを決めることは、目的、必要性、ユーザーの期待に依存する法的判断です。
不正防止において同意が重要な理由
同意は不正防止とプライバシーの交差点に位置します。両者は異なる方向に引っ張り合うことがあるからです。セキュリティ機能はしばしば、単に同意を拒否するであろう攻撃者を含め、すべての訪問者に対して確実に動作する必要があります。これが、多くの運用者が厳密に保護的な目的については同意ではなく正当な利益に依拠する理由です。同時に、クライアント側のアクセスや非必須の処理はいずれも有効な同意を必要とする場合があります。どこで同意が必要とされ、どこで別の適法根拠がより適切かを理解することは、効果的でありかつ適法な不正検知を運用するために不可欠です。
TRACIOでの扱い方
TRACIOは、デバイスインテリジェンスを顧客自身の同意アーキテクチャに組み込む柔軟性を顧客に提供します。TRACIOはセキュリティと不正防止に向けられているため、多くの顧客はその特定の目的については厳密な必要性または正当な利益の根拠を評価し、より広範または非必須の利用については同意の背後に置きます。TRACIOは顧客に代わってこれを決定したり、同意が不要であると主張したりはしません。いつ同意が必要かを判断し、それを取得し、撤回を尊重することは引き続き顧客の責任であり、TRACIOは顧客が実装するどのような同意フレームワークの中でも動作するように設計されています。