このコラムは、個人情報保護法でのCookie規制について取り上げています。電気通信事業法改正については、以下のコラムをお読みください。
コラムはこちら
弁護士・情報処理安全確保支援士 石田 優一
目次
第1章 はじめに
第2章 Cookieの活用方法
1 Cookieの機能
2 ファーストパーティクッキー
3 サードパーティクッキー
第3章 リクナビDMPフォローについて
1 リクナビDMPフォローの仕組み
2 現在の個人情報保護法との関係
3 リクナビDMPフォローの仕組みの問題点
第4章 Cookie規制に関連した個人情報保護法改正案
1 「個人関連情報」の意味
2 「個人関連情報」の第三者提供の規制
3 「個人関連情報」の第三者提供の際に遵守すべき義務
第5章 個人情報保護法に準拠したCookie利用
1 Cookieが個人情報に該当するかどうかの検討
2 Cookie利用が個人関連情報の第三者提供に該当するかどうかの検討
第6章 おわりに
第1章 はじめに
2020年6月、改正個人情報保護法が成立しました。改正法の成立により、今後、Cookieの利用方法の一部が新たに規制対象になります。このコラムでは、現行法と改正案を比較しながら、Cookieの利用と個人情報保護法との関係について説明します。
第2章 Cookieの活用方法
1 Cookieの機能
Cookieは、Webサイトが、ユーザー(訪問者)についての情報を保持するために、ユーザーのPCに、サイト側が指定した情報を保存する仕組みです。
Cookieの利用方法には、大きく、ファーストパーティクッキー(first party Cookie)とサードパーティクッキー(third party Cookie)の2種類があります。
まず、ファーストパーティクッキーとは、訪問したサイトのドメインが直接、ユーザーのPCに書き込むCookieです。一方、サードパーティクッキーとは、訪問したサイト以外のドメインが、ユーザーのPCに書き込むCookieです。
2 ファーストパーティクッキー
ファーストパーティクッキーは、ユーザーが次回にサイトを訪問した際のために、今回のサイト訪問時の情報を保存するために利用されます。
例えば、ショッピングサイトにおいて、ユーザーのアカウントIDやパスワードをCookieで保存しておいて、次回訪問時にサイトがCookieをもとにアカウントIDやパスワードを自動表示する仕組みは、ファーストパーティクッキーによって実現されます。また、サイトの閲覧情報を解析するGoogleアナリティクスも、ユーザーの同一性の確認などのために、ファーストパーティクッキーを利用しています。
3 サードパーティクッキー
サードパーティクッキーがよく利用されるのが、ターゲティング広告です。
上の例でいえば、ユーザーが訪問したのはabc.comドメインのサイトですが、そこにad.comドメインのHTMLが組み込まれており、ad.comドメインのサーバーとユーザーのPCとの間でCookieのやり取りが行われます。ad.comドメインのHTMLが様々なサイトに組み込まれることで、どのユーザーが、どのサイトを、いつ閲覧したかといった情報を、ad.comドメインのサーバーにおいて収集することができます。このような方法により、ad.comドメインでは、ユーザーがどのような分野のコンテンツに関心を持っているかを分析し、abc.comドメインのサイトにおいて、ユーザーが関心を持っている分野の広告を表示することができます。これが、1つのターゲティング広告の手法です。
ターゲティング広告の手法を活かすことで、インターネットを利用する多数のユーザーの行動傾向(どのサイトを見た後にどのサイトを見ているか)を分析して、マーケティングに活用することもできます。
第3章 リクナビDMPフォローについて
1 リクナビDMPフォローの仕組み
リクナビDMPフォローは、かつて株式会社リクルートキャリアが提供していたサービスでした。
リクナビDMPフォロー(2019年2月までのもの)は、「リクナビ」サイトを利用した就活生ユーザーがどのページを閲覧したかをCookieによって収集したうえで、就活生ユーザーの「業界ごとの閲覧履歴」から、内定辞退の可能性を分析した結果をスコアにし、その情報を契約企業(求人を出している企業)に提供するというサービスでした。
リクルートキャリアは、このようなサービスの提供にあたって、就活生ユーザーからの同意を得てはいませんでした。
リクルートキャリアは、就活生ユーザーの氏名などの個人情報は収集していませんでした。一方、契約企業(求人を出している企業)は、ウェブアンケートによって、就活生の氏名などの情報を取得していました。そのため、契約企業(求人を出している企業)は、リクルートキャリア側から送られてきたスコアを氏名などの情報と紐づけることができました。
2 現在の個人情報保護法との関係
以上のようなリクナビDMPフォローの仕組みは、現行の個人情報保護法では違法ではありません。リクナビDMPフォローは、別の問題から個人情報保護法違反の指摘を受けていますが、この仕組み自体が個人情報保護法違反に当たるわけではありません。
「個人情報」とは、氏名など、特定の個人を識別することができるものであることが要件です(個人情報保護法2条1項)。
Cookieによって収集した就活生ユーザーの閲覧履歴は、それだけでは、どこのだれについての情報であるかを特定することはできません。つまり、リクナビDMPフォローにおいてリクルートキャリアが収集した就活生ユーザーの閲覧履歴は、リクルートキャリアにとって、「個人情報」ではありません。
一方、契約企業(求人を出している企業)は、就活生の氏名などの情報を取得しているため、就活生ユーザーの閲覧履歴からリクルートキャリアが分析したスコアを、その就活生ユーザーの氏名などと紐づけて把握することができます。
つまり、リクナビDMPフォローの仕組みでは、リクルートキャリア側にとっては個人情報ではないスコアの情報が、契約企業(求人を出している企業)に提供されて氏名などと紐づけられた時点で、はじめて個人情報になります。
スコアの情報は、提供元であるリクルートキャリアにとっては個人情報ではないために、リクナビDMPフォローの仕組みは、現行の個人情報保護法が規制する個人データの第三者提供には該当しません。
3 リクナビDMPフォローの仕組みの問題点
リクナビDMPフォローの仕組みでは、契約企業(求人を出している企業)が、就活生それぞれの内定辞退の可能性を把握することができます。このような情報は、企業側にとっては知る価値の高い情報である一方で、就活生側にとっては知られたくない情報です。そのため、このような仕組みに対して何の規制もなければ、個人のプライバシーが脅かされてしまいます。
そのような理由から、2020年3月10日に閣議決定された個人情報保護法改正案では、リクナビDMPフォローのような仕組みが、新たに規制対象になっています。
第4章 Cookie規制に関連した個人情報保護法改正案
個人情報保護法改正案
第26条の2 個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって,個人情報,仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。・・・)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したもの・・・をいう。・・・)を事業の用に供している者・・・をいう。・・・)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、・・・次に掲げる事項について、あらかじめ・・・確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
(以下省略)
上の条文が、改正案が成立することで新たに個人情報保護法に追加される条文です。
1 「個人関連情報」の意味
まず、「個人関連情報」という用語の意味について理解が必要です。「個人関連情報」は、「生存する個人に関する情報」です。個人のだれかと関連した情報であれば、たとえその個人がだれであるかを識別することができないとしても、「個人関連情報」に該当します。「個人関連情報」には、個人に関連した事実だけではなく、その個人に対する評価なども含まれます。
先ほどのリクナビDMPフォローの例でいえば、就活生ユーザーの閲覧履歴や、それをもとに作成した内定辞退可能性のスコアの情報(個人に対する評価として「個人関連情報」に含まれます。)は、それがだれであるかはリクルートキャリアで特定できないものの、就活生個人と関連性のある情報であるため、リクルートキャリアにとって「個人関連情報」に該当します。
2 「個人関連情報」の第三者提供の規制
この条文が規制対象にしているのは、「個人関連情報」をデータベースとして管理している場合に、そのデータベースに含まれる個人関連情報を第三者に提供した結果、その第三者にとって、個人関連情報が「個人情報」のデータベースの一部になることが想定される場合です。
先ほどのリクナビDMPフォローの例でいえば、契約企業(求人を出している企業)は、リクルートキャリア側から取得した個人関連情報(内定辞退可能性のスコア)であって、リクルートキャリアにおいてデータベース管理されているものを、氏名などの情報と紐づけて「個人情報」のデータベースの一部として利用することが想定されます。
つまり、リクナビDMPフォローの仕組みは、この条文の規制対象になります。
3 「個人関連情報」の第三者提供の際に遵守すべき義務
そして、この条文が規制対象にする「個人関連情報」(データベースとして管理されているもの)の第三者提供を行う際には、個人関連情報の提供を受けて個人情報として利用することについて、本人の同意を得ていることを、提供元が提供先に対して確認しなければなりません。
先ほどのリクナビDMPフォローの例でいえば、契約企業(求人を出している企業)が、ウェブアンケートで個人情報を取得する際などに、リクルートキャリアから「閲覧履歴をもとに分析された内定辞退可能性のスコア」の提供を受けて他の個人情報と紐づけることを告知して、事前に同意を得たことについて、リクルートキャリアが契約企業に対して確認しなければならないことになります。
第5章 個人情報保護法に準拠したCookie利用
1 Cookieが個人情報に該当するかどうかの検討
Cookieの利用によってWebサイトの提供元が取得することのできる情報は、今回訪問したユーザーが、前回訪問したユーザーと同じ人であるかどうかです。Cookieの利用のみでは、そのユーザーが「だれ」であるかまでは特定することができません。ですから、通常、Cookieの情報は、個人情報ではありません。
ただし、Webサイトの提供元が、訪問したユーザーの個人情報をすでに把握していて、その個人情報と取得したCookie情報を紐づけた場合には、Cookie情報も個人情報の一部となります。
例えば、ショッピングサイトにおいて、ユーザーが次回に訪問した際に自動でログインをすることができるように、CookieにユーザーのアカウントIDやパスワードを保存しておいて、次回訪問時にそのCookie情報を自動ログイン機能の提供のために取得するのであれば、取得したCookie情報は、個人情報として取り扱っていることになります。なぜなら、Cookie情報として保存されているユーザーのアカウントIDやパスワードは、ショッピングサイトの提供元が保有しているユーザー登録情報と紐づけることで、「だれのものであるか」を識別することができるためです。
現行の個人情報保護法では、「個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない」ことが定められています。上の例のように、Cookie情報を個人情報と紐づけて利用するのであれば、プライバシーポリシーなどの形で、Cookie情報を取り扱う旨やその利用目的を本人に通知したり、サイト内で公表したりする対応が必要です。
一方で、Googleアナリティクスのように、単に「今回訪問したユーザーが、前回訪問したユーザーと同じ人であるか」を把握するためにCookie情報を利用するのであって、それが「だれであるか」までは特定しないのであれば、個人情報の取扱いには該当しません。
2 Cookie利用が個人関連情報の第三者提供に該当するかどうかの検討
改正案が成立、施行した後には、Cookieが個人情報に該当するかどうかだけではなく、Cookie利用が個人関連情報の第三者提供に該当するかどうかも検討しなければなりません。
Cookie利用によってサイトを訪問したユーザーに関する情報(インターネットでの行動履歴など)を収集しても、それが「だれであるか」を特定することができないのであれば、個人情報を取得したことにはなりません。しかし、その情報をデータベースとして管理している場合に、そのデータベースに含まれる個人関連情報をユーザーが「だれであるか」を特定することができる他の企業に提供するのであれば、個人関連情報の第三者提供に該当しえます。
「他の企業がユーザーが「だれであるか」を特定することができる」というのは、その企業がユーザーの氏名を把握している場合に限られません。たとえ、その企業がユーザーの名前を把握していなくても、行動履歴や連絡先など個人の特定につながりうる情報を持っていれば、個人の特定が可能なケースに該当しえます。
データベース化された個人関連情報を第三者提供に該当する際には、以上の点を踏まえて、必要に応じて、提供先の企業に対し、きちんと本人からの同意を得ているかどうかを確認しなければなりません。
第6章 おわりに
以上のように、Cookie利用について個人情報保護法が適用されるかどうかは、その利用形態によって結論が分かれます。Cookie利用を伴うサービスを検討するうえでは、「どこでどの情報が紐づけされるか」に着目し、前章で説明した手順に従って検討しなければなりません。そして、個人情報保護法が適用されるのであれば、プライバシーポリシーの検討や、本人から同意を得るためのスキームの検討などが必要です。
また、今回のコラムでは取り上げていませんが、EU圏のユーザーをターゲットにしたWebサイトを作成する際には、注意が必要です。EU圏では、Cookie自体が規制対象となりますので、十分に注意が必要です。
プライバシーポリシーの作成についてお悩みの際は、Web Lawyersをご利用ください。