日本でCookie制限が進んでいる背景とは

2020年、2022年、2023年と立て続けに、個人情報保護法が改正されています。中でも特に注目されているのが、Cookie情報に関する制限が強化されている点です。この背景には、先立って欧米で進んでいるCookie制限があります。

ヨーロッパにおけるGDPRにおいて、Cookie情報については個人情報(個人データ)とみなされ、制限がされています。また米国カリフォルニア州でも、2020年に消費者プライバシー法が成立(CCPA)、2021年にはプライバシー権法が成立(CPRA)し、Cookie情報を「個人情報」として、制限がされるようになりました。

Cookie情報は個人情報になるの?

日本においてCookie情報は、個人情報保護法で制限がされています。Cookie情報やそのほかの情報(氏名やメールアドレス)と合わせることにより、特定の個人を識別することができる場合には、これらの情報は全体として「個人情報」に該当します。例えば氏名、住所などの情報とともにCookie等の情報が紐づけられている場合には、そのデータ全体が「個人情報」になるのです。

一方、Cookie情報のみの場合については、通常は「個人情報」には該当しません。利用者に関する情報として、個人情報保護法上の「個人関連情報」に該当します。 個人関連情報に該当する例としては、以下のようなものが挙げられます。

事例1) Cookie等の端末識別子を通じて収集された、 ある個人のウェブサイトの閲覧履歴 事例2)メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等 事例3) ある個人の商品購買履歴 サービス利用履歴 事例4)ある個人の位置情報 事例5) ある個人の興味関心を示す情報

そして、個人情報保護法では、個人関連情報を扱う事業者を「個人関連情報取扱事業者」としています。具体的には、 CookieやID等の識別子情報 (個人関連情報)に紐づけられた閲覧履歴や趣味嗜好のデータベース(個人関連情報データベース等)から、特定のCookieやIDなどの識別子に紐づけられた閲覧履歴や趣味嗜好の情報を利用企業(第三者)に提供する DMP事業者が、「個人関連情報取扱事業者」に該当するものと考えられます。

Cookie情報等の個人関連情報を第三者に提供する場合、提供先が、個人関連情報を他の個人を特定できる情報と併せることにより全体が個人情報(個人データ)になることが想定されるときは、提供先の事業者は、あらかじめ個人関連情報のユーザー本人の同意を得ることが必要とされました(個人情報保護法31条)。

個人データの取得にはユーザーの同意が必須

ユーザーの同意については、「個人関連情報取扱事業者が第三者に個人関連情報を提供し、提供先が当該個人関連情報を個人データとして取得する」ということを承諾する旨のユーザーからの意思表示が必要です。

提供先の事業者は、ユーザーに対し、「個人関連情報を入手し、個人データと紐づけること」、「その利用目的」を明示する必要があります。例えば、「当社は、第三者が運営するデータ・マネジメント・プラットフォームからCookieにより収集されたウェブの閲覧履歴及びその分析結果を取得し、これをお客様の個人データを結び付けたうえで、広告配信等の目的で利用します」というような規定です。

同意取得の方法としては、あらかじめウェブサイト上でプライバシーポリシーに上記規定を記載しておき、チェックボックスを設けて同意させる方法があります。また本人から同意する旨を示した書面や電子メールを受領する方法もあります。ウェブサイト上で同意を取得する場合は、単にウェブサイト上に記載するだけでは足りず、同意ボタンのクリックを求める方法によらなければなりません。

提供元の事業者も、Cookie情報等の個人関連情報の提供先が、個人関連情報を、他の個人を特定できる情報と併せることにより全体が個人情報(個人データ)になることが想定されるかを確認する必要があります。

要チェック!事業者が記録しておくべき情報とは

Cookie情報などの個人関連情報の提供先が、個人関連情報を、他の個人を特定できる情報と併せることにより全体が個人情報(個人データ)になることが想定されるときは、提供元、提供先において下記の通り記録義務が生じます。

<提供元の記録事項>
①提供年月日
②提供先の氏名
➂提供する個人関連情報
④ユーザー本人の同意があるか

<提供先の記録事項>
①提供元の氏名
②ユーザー本人の氏名
➂提供する個人関連情報
④ユーザー本人の同意があるか

この事項を社内で記録しておき、ユーザーや個人情報保護委員会などの行政機関から提示要求がされた場合には、開示できるようにしておく必要があります。

以上のように、Cookie情報等の個人関連情報の提供元、提供先とも個人情報保護法に基づいた対応を取る必要がありますので、覚えておくようにしましょう。

次回は、これらの対応を守れなかった場合に事業者の被る影響はどのようなものがあるのか、考えうるリスクについて解説します。

著者

グローウィル国際法律事務所 代表弁護士 中野秀俊

(写真)中野秀俊弁護士

元IT企業経営者という経験を活かし、IT・インターネット企業を法律面で支える弁護士として活躍。これまでの相談件数は1,000件以上を超える。著書に「ここをチェック! ネットビジネスで必ずモメる法律問題」など。URL:https://it-bengosi.com/

関連リンク

[PR]提供:Tealium Japan