2018年に欧州でGDPR(EU一般データ保護規則)が施行されたことに端を発し、インターネットにおける個人情報の取り扱いに関する法規制の議論が世界各国で多く行われるようになりました。米国においても、カリフォルニア州消費者プライバシー法(略称、CCPA)が施行に向けて動き始めており、米国の他州でも同様の議論が始まりつつあります。
米カリフォルニア州、CCPAの執行規則案を公表(JETRO)
では、国内の法規制はどうなるのか?と関心を持たれる方も多いのではないでしょうか。特に、デジタルマーケティングへの直接的影響という意味では、Cookieの取り扱いに関しては、様々な議論が行われていると思います。既に、海外、特に欧州事業の割合が大きなグローバルカンパニーでは、必要な対策を講じ始めている企業が多いと思います。一方、2017年に施行された日本の改正個人情報保護法では、Cookieの扱いに関しては明確なものがありません。
国内でも同意なしにCookieを取得することは規制へ。なぜ公正取引委員会と独占禁止法違反なのか?
そんな中、国内でも「顧客の同意なしにCookieを利用する」ことを規制しようという動きがでてきました。クッキーに関してここまで大きく報道されることは国内では初めてかもしれません。
「クッキー」情報収集、公取委規制へ スマホ位置情報も(朝日新聞DIGITAL)
記事によると、
とあります。個人情報保護法、ではなく、独占禁止法に違反となる、のは少々分かりづらいかもしれません。
これは、プライバシーに関する規制が、GAFA(Google、Apple、Facebook、Amazon)などの巨大ITプラットフォーマーの大量の個人情報収集に対する規制に端を発しているからです。ですから、大量の個人情報を同意なしで収集し独占的な立場を利用しようとする企業に対しての牽制、になっています。
巨大プラットフォーマーは生き残り、中小広告ベンダーやパブリッシャー/メディアだけが潰れるのではないか?
一方、こうした規制に反対の声を上げる人々の反対理由は何でしょうか。先程の朝日新聞DIGITALの記事の中でも
と民間企業からの反対の声を取り上げています。これは、国内に限った話ではありません。
eプライバシー規則 は、パブリッシャーの「悪夢」なのか?:「釣り合いなく、バカげている」
海外でもこうした規制が、GAFAのような巨大プラットフォーマーを規制するのではなく、逆に中小広告ベンダーやパブリッシャーを廃業に追い込むだけではないか、という議論が行われています。
GoogleやFacebook、Amazonなどの利用方法を考えてみるとその理由が見えてきます。ブラウザでGメールを、あるいは買い物のためにAmazonにログインを行っている場合、そうした人々は同意の上で個人情報を渡している、と考えられます。
巨大プラットフォーマーがこのように、日常的に且つ形式的に同意を取得するビジネスを行っている一方で、中小のメディアや広告配信プラットフォームでは、顧客に対して明示的に同意を取得しなくてはならなくなる。結果として、巨大プラットフォーマーによる個人情報収集が一層深まるのではないか。不公平ではないか。というのが大きな議論の1つです。
2020年個人情報保護法の改正に向けて
個人情報保護法は3年ごとの見直しが予定されており、次回の改正は2020年、つまり来年です。
2020 年の個人情報保護法改正の見通し(大和総研)
改正に向けての議論をみてみると、今のところクッキーに対しての規制は検討はされつつも慎重に、という方針のようです。したがって、個人情報保護という観点ではなく、大量の個人情報を取得可能なプラットフォーマー向けの規制の観点からクッキー利用が規制されていくはずです。
ただし、巨大プラットフォーマーとは誰なのか?何をもって独占的なのか?海外事業者に対しての規制をどこまで徹底できるのか?など綺麗に線引できない部分が多くあると思いますので、運用面での課題は大きく残っていると考えられます。