コラム

インターネットと個人情報

【2022年4月個人情報保護法改正】クッキー(cookie)規制の整理

はじめに

2020年6月に公布された改正個人情報保護法(以下「改正法」)が、2022年4月1日から施行されます。改正法の概要については、「2020年改正個人情報保護法の要点1」「2020年改正個人情報保護法の要点2」にもまとめています。

この改正法には、クッキーやIPアドレスを含む「個人関連情報」に関する規制もあり、話題を呼んでいます。
もっとも、この改正法でのクッキーやIPアドレスの規制は、GDPR等諸外国の規制とは全く異なるものです。あらためて、どのような規制なのか整理してみたいと思います。

このテーマについて相談する(初回30分無料)

クッキーは個人情報?

まず、GDPR上は、IPアドレスやクッキーなどのオンライン識別子についても、「個人データ」に含まれるものとして、氏名や識別番号と同程度の保護をするべきと考えられています(「GDPRの基礎:IPアドレスやクッキーは「個人データ」にあたるか」)。

これに対し、誤解の多いところですが、改正法によって、クッキーやIPアドレスが「個人情報」にあたるとされたわけではありません。
これらは、改正法によって、「個人情報」ではない、「個人関連情報」(第26条の2)として規制されることになったのです。

このため、クッキーには、取得・利用・提供等に関する「個人情報」としての規制は適用されません。
*但し、これはクッキー単体での単体です。クッキーが、他の情報と紐づいて個人を識別できる状態となっている場合は「個人情報」にあたりますので、注意が必要です。

クッキーに対する規制

まず、クッキーは、単体では個人情報(個人データ)ではありませんので、改正法施行後でも、原則的に個人情報保護法による規制はありません。

しかし、クッキーの提供を受けた企業(提供先)が、クッキーを自社の個人情報と紐づける場合には注意が必要です。改正法施行後は、クッキーの提供を受けた企業は、これを自社で保有する個人情報と紐づける(個人データとして取得する)場合、本人の同意を得なければなりません。

この同意の取得方法については、ウェブサイト上で必要な説明を行った上で、本人に当該ウェブサイト上のボタンのクリックを求める方法が適切とされ、オプトアウトによる方法は不適切とされています(下図の内容を含め、第158回個人情報保護委員会資料1、P6)

説明文 ウェブサイトのボタン
明示の同意の取得例 当社は、第三者が運営するデータ・マネジメント・プラットフォームからCookieにより収集されたウェブの閲覧履歴及びその分析結果を取得し、これをお客様の個人データと結びつけた上で、広告配信等の目的で利用いたします。 上記の取扱に同意する
明示の同意の取得とは認められない例 個人関連情報の第三者提供を拒否する場合には、以下のボタンをクリックしてください。 拒否する

提供元に対する規制

これに対応して、クッキーを提供する企業の側では、提供先がクッキーを個人情報と紐づけることが「想定」される場合には、上記の同意を得たこを「確認」しなければなりません。

「想定」されるとは、まずは提供元が提供先で「紐づけ」(照合)することを知っている場合が含まれます。
更に、提供元が知らなくても、「紐づけ」されることが通常想定される場合(紐づけができるようにIDを併せて提供する場合)も含まれます(第158回個人情報保護委員会資料1、P8)。

どのような場合に「想定」されるか、その場合にどのような「確認」が必要なのかについては、今後、ガイドラインで具体化される可能性があります。

おわりに

以上のように、GDPRとは異なり、改正法でのクッキー規制はかなり限定的なものです。もっとも、これまで規制されていなかった分野を規制するものですので、ガイドライン等の公表もみながら、2022年4月1日の施行に向けて準備を進めていく必要があります。

スポットでのご相談やご依頼もお受けしておりますので、ご気軽にお問合せください。

お問い合わせフォームはこちら(初回30分無料)

 

PAGE TOP