それでは、日本ではどうなるのか。個人情報保護法改正案では、前述した就職情報サイトの件を念頭に入れた改正内容として、「提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する」ということになった。
-
具体的には、「SNSや会員制サービスなどが設定するサードパーティCookieが取得する行動履歴」が主な規制対象となり、規制対象となる情報については、本人の拒否権(オプトアウト権)が認められる
オプトアウトとは、最初に設定がオンになっていて、ユーザーが任意で設定をオフにできることを指す。これに対して最初機能がオフになっており、ユーザーの意思でオンにできるのが「オプトイン」方式だ。ちなみにCookie規制については、欧州はオプトイン方式、米国などその他の国ではオプトアウト方式が取られている。
この改正により、ターゲティング広告は引き続き規制対象にならない。これは広告から得られる行動情報だけでは、ユーザーの属性を捉えることはできても、それが個人を特定できるものではなく、あくまでそのブラウザを識別できるものに止まる、という判断だ。
一方、会員情報を保持するFacebook、Twitter、Google、Instagramといったサービスが作成するサードパーティCookieを利用した閲覧履歴等の第三者提供は、規制対象となり、
・Cookieの利用目的や、どんな情報を集めているかをユーザーに開示すること
・ユーザーのオプトアウト権を保証すること
・個人情報保護委員会への届け出
が義務付けられることになる。
-
主に会員制サイトなど、ユーザーを特定できるサービスへの締め付けが厳しくなった
冒頭で述べた就職情報サイトの場合、就職情報サイトが収集した行動履歴を元に作成した行動(辞退)予測を他社に販売していたのだが、明確に規制の対象となるわけだ。
