更新日: 2025年8月18日
判決
2025年3月19日、ドイツのハノーバー行政裁判所は、Googleタグマネージャ(GTM)の読み込みには、一般データ保護規則(GDPR)およびドイツの追跡およびデータ保護規則(TTDSG)に基づき、ユーザーからの明示的な同意が必要であるとの判決を下しました。
この判決の理由は、GTMが技術識別子(IPアドレスやブラウザのメタデータなど)をGoogleサーバーに送信することであり、これらのサーバーは多くの場合、米国などの第三国に設置されています。裁判所は、この処理はユーザーが明示的に要求したサービスの提供に絶対的に必要ではないと判断しました。したがって、この処理には、TTDSG第25条(1)およびGDPR第6条(1)(a)に基づき、ユーザーからの同意が必要です。
原因と結果
原告:ニーダーザクセン州データ保護局
被告:パブリッシャー http://www.noz.de
経緯:
- 2018年12月4日、ニーダーザクセン州データ保護局は、ウェブサイト http://www.noz.de に対し、Google Analytics、Google DoubleClick、Facebook Inc.、OpenX Software Ltd.、Outbrain UK Limited、Teads SA などのサービスまたはサービスプロバイダーの多数のCookieを使用しているとして苦情を申し立てました。
- 2019年11月21日、ウェブサイト http://www.noz.de は、CMPのインストールが原因とみられる、事前の同意なしにCookieとサードパーティのサービスを統合することを禁止する通知を追加しました。
- 2019年11月28日、ニーダーザクセン州データ保護局は、ウェブサイトwww.noz.deに対し、同意バナーを繰り返し変更したとして、ハノーファー行政裁判所に訴訟を提起しました。
- 2021年2月、ニーダーザクセン州データ保護局の要請を受け、ウェブサイトwww.noz.deは、ウェブサイトにおけるCookie、その他の追跡メカニズム、およびサードパーティサービスの利用状況に関するアンケートと補足のExcelスプレッドシートを作成しました。
- 2022年7月27日、ニーダーザクセン州データ保護局は、ウェブサイトの再設計に関する法的評価を通知し、原告に意見を提出するよう求める書簡をwww.noz.deに送付しました。
- 2022年8月25日、www.noz.deは、データ保護規制の遵守を確保するためにウェブサイトに必要な調整を行った旨の書簡への回答を行いました。
- 2022年11月15日、ニーダーザクセン州データ保護局は、同局のITラボにおいて原告ウェブサイトの技術テストを実施しました。テスト中、被告は原告ウェブサイトへの初回アクセス時に、事前の同意なしにアクセスされたことを発見しました。このサービスは、ウェブサイトへの他のコードスニペットやその他のサービスの統合を容易にします。テストは、GoogleにIDを送信し、米国サーバー(www.googletagmanager.com)への接続を確立することで実施されました。ユーザーのデバイスに関するデータ、具体的にはIPアドレス、デバイス構成、国、リファラーURLも送信されました。その後、Googleはユーザーのデバイスに、ユーザーごとにカスタマイズされたgtm.jsというJavaScriptスクリプトを保存しました。
- 2022年11月23日、ウェブサイトwww.noz.deはニーダーザクセン州データ保護局に反論するコンテンツを公開しました。
- 2022年12月22日、ニーダーザクセン州データ保護局は新たな訴訟を起こしました。
- 2025年3月19日、ドイツのハノーバー行政裁判所は、ユーザーの事前の同意なしにGoogleタグマネージャーサービスを使用することは、TTDSG第25条(1)およびGDPR第6条(1)に違反するとの判決を下しました。
原因
CMPの導入について、ニーダーザクセン州データ保護局による文書化に誤りがありました。主な誤りは2つあります。
- 1つは、CMPが正常に機能せず、ユーザーの同意または拒否に関わらずデータを送信していたことです。
- もう1つは、CMP UIの設定が誤っており、拒否オプションが別のページに移動されていたことです。
解決策
CMPを適切に導入してください。
CMPは必ずインストールしてください。CMPがないと、広告コンバージョンは記録されません。
また、CMPが正しくインストールされていることを確認してください。あまり巧妙にインストールしようとしないでください。
