個人情報保護法の改正によってCookieが規制対象に

2022年4月1日に施行される改正個人情報保護法。今回の改正においては、さまざまな企業がマーケティングにおいて活用してきたCookieが規制を受ける場面が想定されます。すでに対策をスタートさせている企業もありますが、自社の状況に対し、どのように具体策を進めるべきなのかよくわからないという方も多いようです。そこで、本記事では改正個人情報保護法のCookieの扱いの変化、どのような対応をすれば良いのかなどについて詳しく解説します。

（関連記事：2022年4月施行の個人情報保護法改正をわかりやすく解説）

個人情報保護法の改正に至った背景

1980年代、高度情報通信社会の発展とともに、マーケティングにおいて個人情報の活用をする企業が増加しました。顧客にとっても便利な面があると同時にプライバシーを侵害されるリスクがあることが問題視され、個人情報保護が重要視されるようになったという背景があります。日本で個人情報保護について本格的に取り組むようになったのは2003年のことです。顧客の個人情報を取り扱う企業が必ず守るべきルールを定めた「個人情報保護法」が制定されました。

時代の変化で法の改正が必須に

時代の流れとともに個人情報保護法の制定当時に定められていなかった部分に関しても活用されるようになりました。個人情報は国内の企業だけではなく、利用状況によって海外の企業などでも活用されています。そのため、こういった環境の変化に合った改正が必要となったことで、個人情報保護法が全面施行されてから10年後の2015年、初の改正が行われました。その後はICTの発展や個人情報の活用法などの進化なども考慮して3年ごとに制度の見直しがされるようになり、「3年ごと見直し規定」と呼ばれています。2020年6月12日、それに基づいて改正が行われ、2022年4月1日に施行される予定です。

指紋や顔など認証時に個人を特定できる情報が該当

個人情報保護法が制定された当時は個人情報に該当しなかったものが、新たに該当するものとして定められたことも改正が必要となった理由のひとつです。具体的には、指紋・顔といった身体的特徴の照合のためにデータ変換されたりしています。

その人だけの識別符号の活用シーンの増加

パスポート、運転免許証などその人だけに割り当てられたりしている個人識別符号の活用をする機会が増えた点も改正が必要になった理由といえるでしょう。2015年からはマイナンバー制度によって国民ひとりひとりに個人番号（マイナンバー）が割り当てられました。個人情報を守るためにその人であることを確実に証明できるマイナンバーの登録が必要となるものもあるため、個人情報の保護がより重要となった面もあります。

名簿業者など簡単に個人情報が漏洩してしまうことへの対策

学校や職場などで生徒や職員などの氏名、連絡先、住所などをまとめた名簿を作成しているところもあります。また、デジタルデータから簡単にそういったものが取り出せてしまうケースも少なくありません。そのような個人情報を高額に買い取っている業者が存在します。そういった名簿業者の存在を知っている人物から口コミでその情報が流れ、芋づる式に個人情報が漏洩してしまうということが大きな問題になっているのが現状です。個人情報保護法の改正は、その対策のひとつになります。

個人情報提供時の確認や記録を義務化、不正利用時の刑事罰、本人による情報提供の停止請求などによって、名簿業者による個人情報の漏洩を防ぐ目的です。個人情報の提供者について記録されることから、これまでのように簡単に名簿を渡すといった行為が減少し、名簿業者側も不正に情報収集しにくくなることが期待できます。

個人情報は個人情報データベースで管理されている

一般的に、個人情報はデータベース化され、必要なワードを打ち込むだけで簡単に検索できる状態にされています。個人データはデータベース内にある個人情報のことです。そのなかでも本人や代理人から開示内容の訂正や追加・削除などを依頼された際に対応できる権限があり、6カ月以上管理している情報を保有個人データといいます。このように、膨大な個人情報の管理をしているデータベース内のデータの保護をすることは特に重要です。個人情報データベースをビジネスに使用している企業のことを個人関連情報取扱業者といいます。

個人情報保護法で改正される6つのポイント

今回の改正のポイントについて、6つにまとめました。

本人が請求できる範囲の拡大

改正前に本人が開示情報において請求できることは、「目的外の保有個人データ使用」「個人情報の不正取得」をされたときの利用停止・削除、「本人の承諾なしで情報の第三者提供がされたとき」の情報利用停止のみでした。改正後はこれまでの条件に加え、「不適正な利用をされたとき」に利用停止請求、「保有個人データの利用が不要になったとき」「保有個人データの漏洩があったとき」「保有個人データの利用が原因で本人の権利や正当な利益が害される可能性があるとき」なども利用停止あるいは第三者提供の停止の請求ができます。

ただ、情報の利用停止・第三者提供の停止が困難なケースで、本人の権利や利益の保護のために対策がとられている場合は例外です。さらに、「第三者への情報提供の記録の開示請求」も可能になります。

企業側の責任範囲の追加

取り扱っている個人データが漏洩などした場合にその報告が義務化され、本人へ漏洩の事実を通知しなければならない、とされました。もし、本人へ通知するのが難しい場合かつ本人の権利・利益を保護するための対応がされている場合は例外になります。また、ほかの個人情報取扱事業者から個人情報の管理を委託されたケースでは、委託元に通知すれば問題ありません。さらに、違法・不当行為の助長や誘発になる可能性があるなど、個人情報の不適正な利用の禁止が義務化されます。

企業の個人情報保護に関する自主的な対策の推進

改正前からあった「認定個人情報保護団体」は個人情報の取り扱いに関する苦情対応や情報提供、適正な取り扱いに関する確保関連の業務を自主的に行っていることが認められている民間団体を指します。この団体は改正前まで個人情報取扱事業者の全部門が対象でしたが、改正後には特定の部門のみを対象として業務を行えば良いことになりました。これによって、各企業が顧客の個人情報保護を自主的に取り組むように推進しています。

個人情報をより利活用することを促進

改正前は個人情報を収集したものの、うまく活用できていない企業や回収後の活用方法に迷い、結局放置してしまっている企業もありました。そこで、改正後には「仮名加工情報の開示・利用停止請求対応の緩和」「個人情報の第三者提供の際に提供先に対して本人の同意があるかどうかを確認する義務」が追加となっています。

ちなみに、仮名加工情報とは氏名などを削除し、ほかの情報と照合しない限り本人であると特定できないように工夫した個人情報のことです。また、提供元では個人データにならなくても、提供先ではほかの情報と照合すると個人を簡単に特定できる情報を個人関連情報といい、cookieと紐づいている閲覧履歴や購入履歴などが挙げられます。

違反した際の罰則の強化

罰則が与えられるのは「措置命令違反」「報告義務違反」「個人情報データベースなどを不正利用した個人や法人」といった場合ですが、この際の罰則が重くなりました。具体的には、措置違反で1年以下の懲役もしくは100万円以下の罰金、報告義務違反は50万円以下の罰金です。個人に対する罰則はデータベースの不正利用で1年以下の懲役あるいは50万円以下の罰金、法人は措置命令違反とデータベースなどの不正利用で1億円以下の罰金、報告義務違反で50万円以下の罰金になっています。

外国企業も違反時は罰則対象に

改正後、日本国在住者の個人情報などを取り扱っている外国企業に対しても報告徴収や命令を行えるようになり、これに違反した場合にはペナルティが与えられます。また、個人情報を取り扱っている企業が海外の第三者企業に対して個人情報の提供を行う場合、個人情報の取り扱いについて本人への情報提供の義務化が必須です。

Cookieは個人関連情報！自社の個人情報における規制条件をチェック

改正個人情報保護法におけるCookieの扱いについて理解するためには、まず、今回新たに設けられた「個人関連情報」の定義について理解する必要があるでしょう。個人関連情報とは、「生存する個人に関する情報のうち、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」をいいます。「生存する個人に関する情報のうち、特定の個人を識別できないもの」と解釈される場合も多いようです。Cookieは、それ単体では特定の個人を識別することはできないものの、特定の個人に関する情報であることから、個人関連情報に該当すると解釈されています。
改正法では、個人関連情報を「個人関連情報取扱業者が個人関連情報の第三者提供を行う場合に、第三者がその情報を個人データとして取得する可能性があるとき」に規制の対象としています。「個人関連情報取扱業者」とは、個人関連情報データベース等を事業に用いている事業者を指します。例えば、特定のCookieやID等の識別子に紐付けられた閲覧履歴や趣味・嗜好の情報を利用企業（第三者）に提供するDMP事業者などは「個人関連情報取扱業者」に該当すると考えられます。

規制対象になるケースとは

例えば、自社が取得するCookieのデータを第三者に提供する場合に、顧客のIDなどを通して提供先が保有している他の個人情報と紐づけたり、提供先が保有する個人関連情報に他の情報を追加して個人データとして活用したりするときなどが考えられます。
具体例としては、ECサイトを運用する企業が、レビューサイトやポータルサイトを運用する事業者から、行動履歴などを含む匿名のCookieデータを受領し、このCookie IDを自社のCRMシステムに保管されている個人データと突合したうえで利用するような場合などが考えられるでしょう。
そして、規制の対象になると判断される場合には、個人関連情報取扱業者と提供を受ける第三者にそれぞれ義務が生じます。個人関連情報取扱事業者には、当該「第三者」が「個人関連情報取扱事業者」から「個人関連情報」の提供を受けて本人が識別される個人データとして取得することを認める本人の同意を得ていることを確認するとともに、この確認を記録する義務があります。また、提供を受ける第三者には、「個人関連情報取扱事業者」から「個人関連情報」の提供を受けて本人が識別される個人データとして取得することを認める「本人の同意」を取得する必要があります。なお、この「本人の同意」については、個人関連情報取扱業者が取得することも排除されていません。
上記の例でいえば、EC企業が「本人の同意」を取得し、レビューサイトの運用企業はEC企業が「本人の同意を得ていること」を確認・記録する義務があります。ただし、レビューサイトの運用企業が、EC企業のような企業に対してCookieのデータを提供する、いわばCookieデータの第三者提供について「本人の同意」を取得することも可能です。

Cookie規制への対処の進め方

まず、自社で取り扱っている個人関連情報と提供先を明確に把握する必要があります。ウェブサイトやアプリなどに連携しているツールがあれば、そちらもチェックすることが望ましいと考えられます。他社との間でCookieデータのやり取りが発生するのであれば、データの提供や利用に関する契約を締結し、その中でCookieデータの利用形態や、どちらが同意を取得するかといった事項について規定することが考えられます。

Cookieポップアップを利用する場合の注意点

今回の改正の対策として、Cookieへの同意を管理するためのツールとしていわゆる「Cookieポップアップ」を実装している企業も増えています。Cookieポップアップにより、ユーザー自身がCookieの取得に同意するかどうかを選択できるため、本人の同意を得たうえでの情報収集が可能となることから、注目を集めています。
ただし、Cookieポップアップの実装に当たっては注意すべき点があります。「同意前にCookieを取得する」ことは避けるべきですし、「個人関連情報の第三者提供を拒否する場合には、以下のボタンをクリックしてください」等のように、「拒否（オプトアウト）」を選択させる方法は、「拒否をしない限り同意したものとみなす」というみなし同意にあたり、改正法で求められている本人の同意を取得したとはいえません。「閲覧を継続するならばCookieの取得に同意したと判断する」といった文言も、ユーザーが「同意する」を選択していない場合、たとえそういった文言があったとしても「みなし同意」という扱いになります。
「Cookieに同意しなければサービスの利用やウェブサイトの閲覧が不可能になる」といった文言は、改正法では明確に規制されていないものの、GDPRでは望ましくないとされているため、避けたほうが良いでしょう。

なお、Cookie規制を巡っては、電気通信事業法の改正に関する議論においても主要な論点の一つとして浮上していますし、海外においても、EUにおいて2022年内にも施行される可能性がある「デジタルサービス法」において新たな規制が追加される可能性もあります。今後の議論の行方について、引き続き注意深く見守っていく必要があります。