• レポート

• CMP
• イベント
• プライバシー

2023.01.23 (last update: 2023.07.13)

TEXT: DMJ編集部

改正個人情報保護法の下でのCookieの取扱い 〜正確に対応の要否を判定し、対応方針を決定する道筋を示す

　
2022年4月1日の改正個人情報保護法施行は、企業のデジタルマーケティング活動において広く使用されてきた「Cookie」の取扱いにも影響するものです。改正個人情報保護法においてCookie規制が導入されたと言われることもあり、何をどこまで対応すべきなのかに悩まれている担当者の方も多いでしょう。

2021年10月7日に実施された本オンラインセミナーでは、「企業とCookieとの新たな付き合い方」をテーマに、西村あさひ法律事務所のパートナーである石川智也弁護士と、アンダーワークス代表取締役の田島学が、それぞれ法的観点とデジタルマーケティングの観点からCookieの取扱い方について解説しました。

本イベントレポートは、両者の解説の一部を前編・後編に分けてお届けします。
前編は、石川弁護士による「改正個人情報保護法の下でのCookieの取扱い〜正確に対応の要否を判定し、対応方針を決定する道筋を示す〜」の内容です。
　
（スピーカー＝西村あさひ法律事務所 石川智也パートナー弁護士、文＝宿木雪樹、編集＝DMJ編集部）

この記事は[2021/12/15]に公開した記事を[2023/01/17]に加筆編集しております。

個人関連情報の定義と規制対象

Cookieの扱い方について理解するには、改正個人情報保護法にて新たに設けられた個人関連情報の定義に触れる必要があります。

個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものを指します。基本的な分類としては、個人に関する情報のうち、特定の個人を識別できるものは個人情報、識別できないものは個人関連情報です。

ただし、その情報のみでは特定の個人を識別できなくとも、他の情報と照合することで容易に特定の個人を識別できる情報は個人情報に分類されます。つまり、同じ情報が扱われ方や条件によって、ある事業者にとっては個人情報であっても、その他の事業者にとっては個人関連情報になる場合があるということを、まずは理解しておきましょう。

この分類を前提に、企業におけるCookieの取扱いについて具体的に考えてみましょう。例えばMA（マーケティング・オートメーション）の文脈でCookieを使う場合、氏名やEmailアドレスなど特定の個人を識別できるデータと併せてCookieを用いることが多いため、Cookieは個人情報と捉えられます。

一方、ターゲティング広告のためにCookieを用いる場合は、特定の個人を識別できることは少なく、個人関連情報に分類されるケースが多いといえます。ちなみに、個人情報を用いて作られた統計情報は集合化されたデータであるため、「個人に関する」情報ではなく、個人情報でも個人関連情報でもありません。


次に、個人関連情報として規制される対象を詳しく見ていきます。個人関連情報の中で規制対象となるのは、下記の条件に当てはまるものです。
　

個人関連情報取扱業者が、個人関連情報（個人関連情報データベース等を構成するものに限る）を第三者に提供する場面で、第三者がそれを個人データとして取得することが想定されるとき。

　
Cookieをはじめとした個人関連情報になり得るデータを扱う企業は、自社における個人関連情報の扱いが、規制条件に当てはまるか否かを判断しなければなりません。では、上記に書かれた文言が示す内容についてそれぞれ紐解いてみましょう。

個人関連情報取扱業者とは

個人関連情報取扱業者とは、個人関連情報データベース等を事業に用いている事業者を指します。ちなみに個人関連情報データベースとは、個人関連情報を含む情報の集合体で、特定の個人関連情報を検索できるよう体系的に構成したものと定義されています。一見難しく感じるかもしれませんが、多くのデータベースは検索機能を持つため、個人関連情報をデータベースに保管している場合はほとんどが対象になるでしょう。

規制の対象となる具体的なシーン

では「第三者が個人関連情報を個人データとして取得することが想定されるとき」とはどんなシーンなのでしょうか。

例えば、データ提供先の第三者が個人関連情報に別の情報を付加し、個人データとして用いる場合は「個人データとして取得する」に該当します。あるいは、ID等を介してデータ提供先の第三者が保有する他の個人データに紐付ける場合も、「個人データとして取得する」に当てはまります。
　
一方で、他のデータと容易に照合して特定の個人を識別しようと思えばできる場合であっても、実際にはそのような用い方をしない場合は、「個人データとして取得する」に該当しません。

データ提出先への確認義務

具体的なシーンについて考えていくと、提供側は提供先のデータの扱いについて逐一確認しなければならないように感じるかもしれません。しかし、原則として個人関連情報の取り扱いについて提供先に確認することは義務付けられていないため、まずは業務に照らして上記のような条件が「想定される」かどうかを判断しましょう。

その他の一つの対処法として、契約書内で上記について触れるという手段があります。基本的には、契約時に「個人関連情報を個人データとして取得しない」旨が明記されていれば、規制対象外と判断されます。ただし、提供先のビジネスモデルから鑑みて、明らかに個人データとして取得することが予測できるときは、契約書に書いたから良いというわけではありません。

自社の対応に確信をもつために

ちなみに、文言として出てくる「第三者」には、委託会社や事業承継等によって提供先となった相手も含まれます。また「提供」の範囲に関しては、ウェブサイトやアプリを通じたデータ移送も、移送されるデータを移送先が取り扱うことがある場合は対象となります。

こうした条件をつぶさに見ていくと、自社が規制の対象なのかどうか疑わしい、あるいは確信が持てないという方も多いでしょう。適切に判断するためには、自社が取引においてデータをどのように扱い、誰にどんな形で提供しているのか、具体的なデータフローを把握する必要があります。
　
その一環として、自社のウェブサイトやアプリと連動しているツールも改めて見直したほうが良いでしょう。明確な意図がなく利用し続けているツールが、思いがけず個人関連情報の規制対象に触れているかもしれません。

個人関連情報の規制の内容

先ほど解説した「第三者が個人関連情報を個人データとして取得することが想定されるとき」には、提供先が個人から同意を取得したかを、提供元において確認することが求められます。また、海外の第三者に対して個人関連情報を提供する場合は、上記の同意取得に際して海外への移転が行われることについての情報提供が行われたかの確認も必要です。ちなみに、海外への情報提供に関してはデータ移転先の国の法制度に従うため、GDPRのCookieポリシーよりも詳細な情報提供が求められるでしょう。

なお、提供元による同意取得の代行は可能ですが、その場合は提供先の名称を個別に明示するとともに、対象となる個人関連情報を特定できるように示す必要があります。この条件については、提供先が国内であれば、GDPRに準拠したCookieポリシーを使えば満たすことができるケースが多いですが、提供先が国外の場合には満たすことができない可能性が高いです。また、GDPRに準拠していると思っていたCookieポリシーが実はそうでなかったという場合もあるため、法律専門家のレビューを得ることは不可欠です。

Cookieポップアップの実装上の注意点

同意取得のためのCookieポップアップ実装上の注意点についても簡単に触れておきます。基本的に、Cookieポップアップ実装の際には、同時にGDPRに準拠したものを目指すことが通常ですので、GDPRとの関係で検討が必要な注意点について説明します。

まず、Cookie取得を同意する前にCookieを付与してはなりません。また、Cookie取得に同意しなければウェブサイト閲覧ができない、「Cookieウォール」と呼ばれる構造も違法とされています。さらに、閲覧を続ける場合はCookie取得に同意したとみなす「みなし同意」も違法とされています。

Cookieポップアップに関わる直近の事例として、オーストリアに所在するNOYB（None of Your Business）と呼ばれるNPO団体の動きを紹介します。彼らは1年以内に最大1万件の欧州ウェブサイトのポップアップ不備について調査すると掲げ、実際422社を各国当局に通報しています。多くのグローバルブランドが彼らから警告を受けており、その警告を受けてポップアップ対応を再考した企業もありました。

NOYBの指摘項目の中には、Cookieポップアップの最初のページに拒絶の選択肢がない、あるいは承認と拒絶の選択肢のうち拒絶の選択肢がデザイン上わかりづらいなど、GDPRに準拠したCookieポップアップにおいてもしばしば用いられているデザインについての指摘があります。これらがGDPR違反にあたるかどうかはまだわかりませんが、NOYBの問題提起を契機に、欧州データ保護評議会においてこれらの項目が検討されています。

Cookieへの対応方針―自社が今なすべきこと

ここで、改めてCookieの対応方針についてまとめます。まず、自社のCookieの扱いが改正個人情報保護法の下で規制対象なのか対象外なのかを見極めましょう。対象である場合は、同意取得の確認をはじめとした対応を検討するとともに、提供元が同意を代行する必要があるか確認してください。そして、もし対象外だった場合はそれでも対応するのかどうか検討が必要です。

GDPRとの関係では、EEA域内からのアクセスを排除しない限り、法律上はCookie対応が必須となるケースがほとんどです。GDPRに対応済みである旨を謳うCookie同意管理ツールは数多くありますが、先ほど挙げたNOYBの事案なども鑑み、実務のアップデートを意識して情報の収集に努めましょう。

世界規模でプライバシーポリシーやCookie同意管理ツールのスタンダードが大きく変わりつつある昨今、世の中のスタンダードが決して正しいものとは言い切れません。専門家を社内で育て、場合によっては社外から招聘し、最新事例を取り入れつつ、柔軟にプライバシー遵守に対応していける仕組みづくり・組織づくりを心がけましょう。
　

　
後編では、アンダーワークス代表の田島学によるマーケティング視点での解説「With Cookie時代の顧客同意管理の進め方～改めてCookieを理解した上で、コンプライアンスに沿った同意管理を実現する～」をお届けします。

この記事を書いた人

DMJ編集部

デジタルマーケティングジャーナル編集部。最新トレンドやテクノロジー情報と、オピニオンを紹介しています。