永続セッションとGDPRクッキー同意

プライバシーを非常に重視する環境でDiscourseフォーラムをセットアップしています。「ログイン時の「ログイン状態を保持する」」機能であるpersistent sessions設定で現在行き詰まっています。私の理解では、GDPRでは、ユーザーは機能性/設定用Cookieの保存について明示的な同意を与える必要があり、これには永続セッション（永続セッションを処理するために使用されるCookie、またはブラウザセッションを超えて存続するその有効期間は厳密には必要ではないため）が含まれます。

これにより、非常に魅力のない2つの選択肢が生じます。

1. persistent sessionsを無効にする。これにより、すべてのユーザーはフォーラムにアクセスするたびにログインするか、毎回手動でログインするのを避けるためにブラウザベースの資格情報ストレージを使用するように提案/強制されることになります。しかし、フォーラムへのアクセスにはSSOを使用するため、そのSSOログインを通じてアクセスされるサービスは多数あり、フォーラムにアクセスするためだけにユーザーにSSO資格情報を保存させるのは良い方針ではありません。それは害の方が大きい可能性があります。

2. persistent sessionsを有効にする。しかし、ここでは、永続セッションフラグのユーザーごとの設定値を処理するCookieバナーをDiscourseに統合する実行可能な方法が見つかりません。後者は、ユーザーが同意を与える必要があり、同意を撤回する能力も含まれるため、Cookieバナー/管理ソリューションの何らかの形態が必要です。

私はpersistent sessionsが有効になっている多くのDiscourseフォーラムに参加していますが、Cookie同意のオプション（このメタフォーラムを含む）を提供していません。そして、それらはGDPRに違反して運営されているように思われますか？

上記の解釈は間違っていますか（私は法律家ではないので）？そして、DiscourseにCookie同意バナーを統合し、ユーザーごとの永続Cookie設定を構成できる、本当に良いソリューションは本当にないのでしょうか？

編集：https://meta.discourse.org/t/cookie-consent-gdpr-and-discourse/260459、およびhttps://meta.discourse.org/t/session-timeout/34686/56のような投稿を投稿前に読みましたが、永続セッションの核心には触れていません。

これは2つの異なる事柄です。

GDPR/データプライバシー法により、永続的なセッションに同意は必要ありません。これはユーザーの技術的なCookieであり、個人データを収集するために使用されるものではありません。もちろん、それが存在することを伝える必要がありますが、記憶されたくない場合は毎回ログアウトするのはユーザーの責任です。それでも提供することはできます。

そして、これがあります。

それは全く異なるゲームとプレイフィールドです。北欧では、銀行業務、医療、政府/地方自治体などで運営されているすべてのサイトは、一定時間後または非アクティブ期間後に自動的にログアウトされます（世界中がそうであることを願っています）。そして、永続的なものは不可能です。そして、それらの理由でプライバシーを非常に意識しているサイトでも同様です。

あなたのケースでそれが真実かどうかはわかりませんが、既製のソリューションはありませんが、多くの専門家が知っているかもしれません/知っているでしょう。

しかし、一般的に、ユーザーからそれに対する同意を得る必要はありません。ただし、提供できない特別な場合があります。

問題は、個人データを収集しないということではなく、_t CookieはDiscourseサーバー上のユーザーアカウントのセッションに直接関連付けられているため、個人としてあなたを識別するということです。したがって、ブラウザに認証Cookieが設定されているということは、Cookieを設定したウェブサイトにアクセスするためにブラウザを使用するたびに、サーバーから識別可能であり（匿名ではない）、ということになります。欧州委員会のデータ保護作業部会WP 29 Opinion 04/2012 on Cookie Consent Exemption - 00879/12/EN WP 194によると：

ブラウザセッション間で認証トークンを保存する永続的なログインCookieは、基準Bの下で免除されません。これは重要な区別です。なぜなら、ユーザーはブラウザを閉じても認証設定がクリアされないという事実にすぐに気づかない可能性があるからです。彼らは、実際にはサービスにログインしたままであるにもかかわらず、匿名であるという前提でウェブサイトに戻るかもしれません。チェックボックスと「私を覚えておく（Cookieを使用します）」のような簡単な情報メモを送信フォームの横に使用する一般的な方法は、同意を得るための適切な手段であり、この場合の免除の適用を不要にするでしょう。

彼らは、ウェブサイトが実装できる簡単なソリューション、つまりログインフォームの「私を覚えておく」チェックボックスを提案していることに注意してください。これはもちろん、今日ではほとんどどこにでもありますが（Discourseにはありません）。これは2012年の決定であり、GDPRが施行される前ですが、それが覆されたという情報は（例えば、Cookie Consent Exemptions: Strictly Necessary Cookies - CookieYes 2023年8月更新でも、永続的な認証Cookieには同意が必要だと記載されています）見当たりません。しかし、私が知らない法的なフォローアップや進展があるかもしれません。

間違いです。それが唯一のポイントです。

それは、ユーザーを識別できる、または識別するために使用される個人データを収集および保存することではありません。フォーラムは、いずれにしてもあなたが誰であるかを知っています。

そのクッキーが設定されていないブラウザでアクセスした場合、フォーラムはどのようにしてあなたが誰であるかを知るのでしょうか？そして、明示的な同意（この場合は、ブラウザセッション終了後も_tクッキーを保持することを許可した場合）がない限り、暗黙的に追跡されることなくフォーラムを使用できるはずです。

参考までに、上記の情報は誤りです。

@paulmelis あなたの指摘は正しく、これは良い点だと思います。

永続的なCookieは、たとえユーザーに特定の機能を提供する場合でも、明示的な許可が必要です。ユーザーはその機能が明示的に要求されている必要があります。

さらに悪いことに、Discourseの公式テーマコンポーネントを含む、現在利用可能なDiscourse用のさまざまな既存の「Cookie同意バナー」ソリューションは、GDPRに準拠していません。これらのソリューションは、ユーザーにこれらのCookieが設定されることを「通知」するだけですが、ユーザーが「理解しました」ボタンをクリックしなくても、Discourseは喜んでそれらのCookieを設定します。言い換えれば、これらのソリューションは何か起こることへの許可を求めているのではなく、何か起こっていること（あるいはもっと悪いことに、すでに起こったこと）をユーザーに通知しているのです。

したがって、フォーラムにCookie同意バナーがあったとしても、永続的なセッションが有効になっている場合、あなたは依然としてGDPRに違反しています。

これらすべてを踏まえて、これが実際には大きな問題になるとは思いませんが、100%のコンプライアンスを求める私たちにとっては、確かに問題です。

今のところ、唯一の選択肢は persistent sessions 設定を無効にすることです。

一見したところ、これはプラグインで非常に実現可能に見えますが、これがDiscourseのコア機能にあればはるかに良いでしょう。

いいえ、そうではありません。これは大企業でEU法務担当者によって何度も承認されており、変更されたことはありません。

GDPRとその関連法の目的と対象を思い出す必要があります。そして、なぜ同意を得る必要なしに技術的なクッキーを使用できるのかも。

@paulmelis は、GDPR によって許可されていないことを明確に述べている公式 EU 文書からの引用を提供しています。

もし異なる情報をお持ちでしたら、喜んでお伺いします。ただし、情報源を引用し、元の文書へのリンクを提供してください。

そのようなことは書かれていません。

悪気はありませんが、これは、公開されている法律を情報源として提供することが、man swapon を提供して秘密を教えてくれるように、難しく、そしてある意味無意味です。知識への需要はありますが、私はそれらの man ページを読むことができますが、読んでいる内容を理解できません。

私はこれらのことを日常的に扱っており、これらの質問は私にとって新しいものではありません。だからこそ、2つの推奨事項を提示します。

• 必要なソフトウェアを購入し、すべてに対してどのような同意が必要か尋ねてください（結局のところ、同意そのものではなく、データの使用方法が重要なので、これは役に立ちません）。
• 企業が十分大きい場合（たとえばCDCKなど）、罰金を受ける実際のリスクがある場合は、会社の法務部門またはプロレベルのサードパーティを使用する必要があります。

ええ、それは（残念ながら）今やっていることです。

その文書をどのように読んだのか、本当に興味があります。つまり、3.2 認証クッキー にはかなり明確に書かれています。

認証クッキーは、ユーザーがログインした後にユーザーを識別するために使用されます（例：オンラインバンキングウェブサイト）。これらのクッキーは、ユーザーがウェブサイトへの後続の訪問時に自身を認証し、アカウント残高、取引などの承認済みコンテンツにアクセスできるようにするために必要です。認証クッキーは通常セッションクッキーです。永続クッキーの使用も可能ですが、それらは同一と見なされるべきではありません。以下で説明します。

認証クッキー（技術クッキーとは呼ばれていないことに注意）の必要性を認識しています。これらのクッキーの有効期間、つまりセッションと永続クッキーが異なるように扱われる必要があることを明確に述べています。

ユーザーがログインすると、承認されたコンテンツまたは機能へのアクセスを明示的に要求します。クッキーに保存された認証トークンを使用せずに、ユーザーは各ページリクエストでユーザー名/パスワードを提供する必要があります。したがって、この認証機能は、ユーザーが明示的に要求している情報社会サービスの本質的な部分です。したがって、これらのクッキーは基準Bの下で免除されます。

ただし、ユーザーはサイトおよび特定の機能へのアクセスのみを要求して、必要なタスクを実行したことに注意することが重要です。認証の行為は、同意なしに、行動監視や広告などの他の二次的な目的のためにクッキーを使用する機会と見なされるべきではありません。

ログインすることは、ユーザーがログインすることに同意したことを意味し、認証クッキーを通じて他の種類のデータ使用に同意したわけではありません。

**ブラウザセッション間で認証トークンを保存する永続ログインクッキーは、基準Bの下で免除されません。**これは重要な区別です。なぜなら、ユーザーはブラウザを閉じても認証設定がクリアされないという事実にすぐには気づかない可能性があるからです。彼らは、実際にはサービスにログインしたままであるにもかかわらず、匿名であるという前提でウェブサイトに戻るかもしれません。チェックボックスと「私を覚えておく（クッキーを使用します）」のような簡単な情報メモを送信フォームの隣に使用する一般的な方法は、同意を得るための適切な手段であり、この場合の免除を適用する必要性をなくすでしょう。

基準Bとは：

クッキーは、「加入者またはユーザーが明示的に要求した情報社会サービスを提供するプロバイダーにとって、サービスを提供するために厳密に必要な」ものである。

したがって、永続的な認証クッキーを設定するには、ユーザーは事前に同意を提供する必要があります。理由：デフォルトで永続的な認証の意味をユーザーが知っていると期待することはできません。

はい、法律は曖昧で複雑であり、ほぼ20年間にわたって多くの異なる更新がありました。そして、私が調べた公式のEUサイトでさえ、クッキーの処理方法や公表されているポリシーに関しては非常に混乱しているようです。