トピックス

2020.06.08
NEWS

【改正個人情報保護法成立】クッキー(Cookie)の同意取得はどうなるか?


 
令和2年( 2020 年) 3月 10 日に閣議決定され国会に提出された「 個人情報の保護に関する法律等の一部を改正する法律案 」 が同年6月5日に国会で成立いたしました(同年6月12日に公布されました(令和2年法律第44号))。
これに伴い、「
改正個人情報保護法Q&A(2020年8月21日全面改訂版)」を作成いたしましたのでご覧ください。
Q&A改正個人情報保護法(2020年8月21日全面改訂版)
 
Q 現行個人情報保護法においては、クッキー(Cookie)の利用・提供について本人の同意が取得されていますか。改正個人情報保護法により、クッキー(Cookie)の利用・提供について同意が必要となりますか。諸外国(EU・カリフォルニア州)ではどのような扱いがなされていますか。
 
【改正法により行動ターゲット広告におけるクッキー利用は次のように変わる。】
〇現状
事業者のクッキー利用に関するウェブサイト(クッキー利用に関する事前同意は取得してない)から、DMP事業者等が組織するオプトアウトサイトに遷移し、DMP事業者による利用・提供をオプトアウトできるようにしている。
〇改正後
事業者は、利用者から、①事業者からDMP事業者に対してクッキーの提供して趣味嗜好や閲覧履歴のデータを収集させること、および、②DMP事業者から提供を受ける趣味嗜好や閲覧履歴のデータを利用して利用企業が有しているデータと突合して個人データとして利用することについて、事前に同意を取得することになる。DMP事業者は、事業者が事前同意を取得したか否かを確認し、記録を作成・保存する必要がある。
 
1 クッキー(Cookie)について
(1)クッキー(Cookie)
ア.クッキーとは
Cookie(クッキー)は、ウェブサイトがブラウザにコンピュータまたはモバイルデバイスに保存するように要求する小さなデータ。Cookieを使用すると、ウェブサイトは個人の行動や嗜好を時間の経過とともに「記憶」することができる。ほとんどのブラウザはCookieをサポートしているが、ユーザーはブラウザにおいてCookieを使用しないように設定できる。
イ.ウェブサイトにおけるCookieの用途
・ウェブサイトは主にCookieを、①ユーザーの識別、②ユーザーのカスタム設定の記憶、③ユーザーのサイトを閲覧するときにサイトに入らずにタスクを完了できるようにすること、に使用できる。Cookieは、オンラインの行動ターゲット広告に使用して、過去にユーザーが検索したものに関連する広告を表示することもできる。
・ウェブページを提供するウェブサーバは、ユーザーのコンピュータまたはモバイルデバイス上にクッキーを格納することができる。ファイルをホストする外部Webサーバは、Cookieを格納するためにも使用できる。 これらのCookieはすべて、http header Cookieと呼ばれる。Cookieを保存する別の方法は、そのページに含まれているJavaScriptコードを使用する方法。
・ユーザーが新しいページを要求するたびに、WebサーバはCookieのセットの値を受け取ることができる。 同様に、JavaScriptコードは、そのドメインに属するCookieを読み取り、それに応じてアクションを実行することができる。

ウ.Cookieの種類
①存続期間による分類
(i)セッションCookie:ユーザーがブラウザを閉じたときに消去されるCookie
(ii)永続Cookie:事前定義された期間、ユーザーのコンピュータ/デバイスに残るCookie
②帰属による分類
(i)ファーストタイプCookie: Webサーバによって設定され、同じドメインを共有するCookie
(ii)サードパーティCookie:訪問したページのドメインとは別のドメインによって保存されたCookie。このCookieは、Webページがそのドメイン外にあるJavaScriptなどのファイルを参照しているときに発生する。
 
(2)クッキー(Cookie)は「個人情報」に該当するか?
 個人情報保護法上、「個人情報」については次のように定義されている(同法2条1項)。
〇個人情報保護法2条1項
「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
①1号個人情報
当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
②2号個人情報
個人識別符号が含まれるもの
 
 クッキーやIPアドレスは、それ自体では特定の個人を識別することができず(1号)個人情報には該当しない。ただし、他の情報と容易に照合することができ、それにより特定の個人を識別することができる場合には、個人情報に該当する。
 このように、日本の個人情報保護法においては、原則として、クッキーやIPアドレスのようなオンライン識別子は、個人情報には該当しない。そこで、現状、クッキー利用や第三者提供について、本人の同意は法律上求められていない。
 
2.GDPR・CCPAにおけるクッキーの利用
(1)GDPR(EU一般データ保護規則)
 2018年5月25日に施行されたEUのGDPRにおいては、「個人データ」とは、識別された又は識別され得る個人(「データ主体」)に関するあらゆる情報を意味する。識別され得る個人は、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子、又は当該個人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な一つ若しくは複数の要素を参照することによって、直接的に又は間接的に、識別され得るものをいう(GDPR4条1項)と定義されている。
 したがって、クッキー(Cookie)やIPアドレスなどのオンライン識別子、位置データなども個人データに該当すると考えられている。
 EUでは、従前から、ePrivacy指令(Directive on privacy and electronic communications(通称、e-Privacy Directive))5条3項においては、ユーザーの端末装置に蓄積された情報を保管し、また、それらの情報にアクセスするためには、クッキーの利用目的を分かりやすく説明した上で同意を取得すること(インフォームド・コンセント)が必要とされている。すなわち、ウェブサイトにおいて、ほとんど全てのCookieや類似の技術(例えば、WebビーコンやFlash Cookieなど)を使用する前にユーザーの同意を取得することが必要である。
 Cookieについての同意に関しては、①インフォームド・コンセントを必要とするCookieを使用してウェブサイトの全てのページにCookieヘッダーバナーを掲載し、②Cookie通知のページへのウェブリンクにアクセスできるようにし、③Cookieを使用しているページについて、ユーザーが同意した場合のみコンテンツを表示できるようにすることが考えられる。
〇Cookieについての同意取得の具体例
 
Cookies
This site uses cookies to offer you a better browsing experience. Find out more on how we use cookies and how you can change your settings.
I accept cookies
I refuse cookies
 
(日本語訳)
クッキー
このサイトでは、ブラウジングの経験を向上させるためにCookieを使用しています。Cookieの使用方法と設定の変更方法の詳細については、こちらをご覧ください
私はCookieを受け取る
私はCookieを拒否する
 
2018年5月25日のGDPRの施行後、ウェブサイトにおいてCookieの同意取得に関するヘッダーバナーを表示するウェブサイトが増えた。
これは、上記ePrivacy指令による要請に加えて、CookieがGDPRの「個人データ」に該当すると考えられることから、適法な処理としてのデータ主体の同意(GDPR6条1項(a))の取得のためであると考えられる。
(2)CCPA(カリフォルニア消費者プライバシー法)
ア 「個人情報」の範囲
 2020年1月に施行されたカリフォルニア消費者プライバシー法(CCPA)においては、「個人情報」は以下のとおり定義されている。
第1798.140条(o)(1)
直接的・間接的に特定の消費者または世帯を識別する、関連付ける、記述する、連想できる、または、合理的に関連付けられる情報をいう。識別子、資産記録、購買記録などの営利情報、インターネット上の閲覧履歴、生体情報、位置情報、雇用情報、消費者の嗜好なども、この定義に該当する場合には、個人情報に該当する。
この定義によれば、Cookieなどのオンライン識別子やインターネット上の閲覧履歴、位置情報なども個人情報に該当すると考えられている。
 
イ 「販売」の意義
 なお、CCPAでは、「個人情報」の「販売」が規制の対象となるが、「販売」の意味は以下のとおり広く定義されている。価値のある対価と引き換えに個人情報(Cookieなどのオンライン識別子を含む)を共有・転送する場合を含むものである。
第1798.140条(t)(1)
「販売する」、「販売すること」、「販売」又は「販売した」とは、金銭又はその他の価値のある対価のために、事業者が他の事業者又は第三者に対して、消費者の個人情報を、販売し、賃貸し、公表し、開示し、広め、利用可能にさせ、移転し、又は、その他口頭で、書面で、電子的若しくはその他の方法により伝えることを意味する。
 
ウ オプトアウト権
 CCPAでは、消費者は、当該消費者の個人情報を第三者に販売する事業者に対し、自己の個人情報を販売しないよういつでも指示する権利、すなわち、「オプトアウト権」を有する(第1798.120条(a))。Cookie(クッキー)の第三者への販売もオプトアウトの対象となる。
 消費者の個人情報を第三者に販売する事業者は、個人情報が販売される可能性があり、個人情報の販売へのオプトアウト権を有するとの通知を消費者に行わなければならない(同条(b))。
 消費者から、当該消費者の個人情報を販売しないよう指示を受け、または未成年の消費者の個人情報の場合は、当該未成年消費者の個人情報の個人情報の販売に対する同意を得ていない事業者は、消費者の指示を受け取った後、当該消費者の個人情報の販売を禁じられる。ただし、消費者がその後、当該消費者の個人情報の販売に明示的な許可を与えた場合はこの限りでない。(同条(c))。
 消費者が16歳未満であることを事業者が実際に知っていた場合には、消費者の個人情報の販売が禁じられる。ただし、消費者が13歳以上16歳未満の場合は当該消費者が、または消費者が13歳未満の場合は当該消費者の親もしくは保護者が、当該消費者の個人情報の販売を積極的に許可したときはこの限りではない。消費者の年齢を故意に無視する事業者は、消費者の年齢を実際に知っていたとみなされる。(同条(d))
 オプトアウトの遵守義務を負う事業者は、消費者にとって合理的にアクセスしやすい形式で次の事項を行う必要がある(第1798.135条)。
 (1)事業者のインターネットのホームページに「個人情報の販売お断り」(Do Not Sell My personal Information)と題して、消費者・代理人が当該消費者の個人情報の販売をオプトアウトできるウェブページに向けて、明確で目立つリンクを貼る。事業者は、消費者に対し、個人情報を販売しないよう指示するためのアカウント作成を要求してはならない。
(2)事業者のプライバシーポリシー、消費者の権利に関するカリフォルニア州独自の説明の中に、「個人情報の販売お断り」のウェブページに向かう別のリンクを用意すると共に、オプトアウト権に関する消費者の権利の説明を記載する。
(3)事業者のプライバシー実務・コンプライアンスにおいて、消費者からの問い合わせを扱う担当者全員に、オプトアウト権に関する義務と消費者に対する権利行使の案内方法を周知するよう保障する。
(4)オプトアウト権を行使する消費者については、当該事業者が収集した当該消費者の個人情報の販売を差し控える。
(5)既にオプトアウトした消費者については、その消費者に対して個人情報の販売を許可するように要請する前に、オプトアウトの決定を少なくとも12ヶ月は尊重する。
(6)オプトアウト請求に関連して消費者から収集した個人情報はオプトアウト請求に従う限り使用する。
 
3.日本におけるインターネット広告におけるデータの利活用
(1)一般社団法人 日本インタラクティブ広告協会(JIAA)
現行個人情報保護法の下、日本における行動ターゲット広告の取扱いは、一般社団法人日本インタラクティブ広告協会(JIAA)が定めるガイドラインによっている。
JIAAは、1999年5月にインターネット広告推進協議会として設立したインターネット広告の業界団体である。2010年4月より一般社団法人に移行し、2015年6月に日本インタラクティブ広告協会と改称した。
会員社数280社(正会員:244社、賛助会員:27社、準会員A:9社)。
インターネット広告(PC、モバイル等のインターネットを利用して行われる広告活動)のビジネスに関わる企業(媒体社、広告配信事業者、広告会社等)272社が加盟している。
インターネット広告の健全な発展、社会的信頼の向上のために、ガイドライン策定、調査研究、普及啓発などの活動を行っている。
2017年1月に米国に本拠地を置くInteractive Advertising Bureau(IAB)のグローバルネットワークにIAB Japan として参画し、国際連携を図りながら活動を推進している。
加盟会員は、当会の目的および当会が定める「JIAA行動憲章」と「インターネット広告倫理綱領」に賛同して入会し、適正な広告ビジネス活動を行っている。
(2)JIAAにおけるガイドラインの取り組み
JIAAの主な活動の一つとして、消費者保護の観点に基づいた広告掲載に関わる基準についての調査・研究、協議を行い、ガイドラインの策定および啓発活動を行っている。
インターネット広告ビジネスにおいて取得・利用される消費者個人に関する情報の取扱いについて、事業者向けの指針として「プライバシーポリシーガイドライン」および「行動ターゲティング広告ガイドライン」を定め、自主的な取り組みにより、消費者が安心してインターネット広告を生活により役立つものとして利用できるよう、信頼性・安全性の確保に努めている。
 「プライバシーポリシーガイドライン」は、インターネット広告ビジネスにおいて取得・管理・利用される個人関連情報(個人情報および個人情報以外のユーザーに関する情報)の取扱いに関して、会員社が遵守すべき基本的事項を規定したガイドラインである。
 「行動ターゲティング広告ガイドライン」は、インターネットユーザーのウェブサイト、アプリケーション、その他インターネット上での行動履歴情報を取得し、そのデータを利用して広告を表示する行動ターゲティング広告に関して、会員社が遵守すべき基本的事項を規定したガイドラインである。
(3)プライバシーポリシーガイドラインにおける「インフォマティブデータ」と「個人関連情報」
プライバシーポリシーガイドラインでは、個人に関するデータの保護と利活用に対する社会的関心の高まりを受け、インターネット広告で取扱う個人情報以外の個人に関する情報を「インフォマティブデータ」(インフォマティブ=情報価値を持つ)と独自に定義している。
「インフォマティブデータ」とは、郵便番号、メールアドレス、性別、職業、趣味、顧客番号、クッキー情報、IP アドレス、端末識別ID などの識別子情報および位置情報、閲覧履歴、購買履歴といったインターネットの利用にかかるログ情報などの個人に関する情報で、個人を特定することができないものの、プライバシー上の懸念が生じうる情報、ならびにこれらの情報が統計化された情報(「統計情報等」)であって、個人と結びつきえない形で使用される情報を総称していう。
個人情報保護法上の「個人情報」および「インフォマティブデータ」から「統計情報等」を除いたものを「個人関連情報」と称し、個人情報以外のデータについてもインターネット広告ビジネスのために取得、管理、利用する際の取扱い基準を示している。
 改正個人情報保護法の「個人関連情報」は、(ざっくり定義すれば)「インフォマティブデータ」から統計情報を除外したものであり、JIAAガイドラインの「個人関連情報」とは意味が異なる。JIAAガイドラインの「個人関連情報」は、個人情報保護法上の「個人情報」および「インフォマティブデータ」から統計情報を除いたものである。
特定の個人を識別しないものの、ブラウザや端末を識別してターゲティング広告等で活用するデータ(「行動履歴情報」を蓄積・分析してクラスターに分類し、クッキー等の識別子情報と結びつけて行動ターゲティング広告の配信に用いるデータ等)は、「インフォティブデータ」「個人関連情報」に含まれる。
「行動履歴情報」とは、ウェブサイトの閲覧履歴や電子商取引サイト上での購買履歴等、それを蓄積することによって利用者の興味・嗜好の分析に供することができる情報をいう。
「インフォマティブデータ」が他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる場合は、個人情報保護法上の「個人情報」に含まれる。
(4)オプトアウトによる対応(行動ターゲティング広告ガイドライン5条)
 広告提供事業者(情報取得者・配信事業者)は、利用者に対し、広告提供事業者が行動履歴情報を取得することの可否または広告提供事業者が行動履歴情報を利用することの可否を容易に選択できる手段(オプトアウト)を、自らの告知事項を記載したサイト内のページから簡単にアクセスできる領域で提供することとされている。
 媒体運営者(例えばYahoo Japanなど)は、自らのウェブサイト等の分かりやすい場所に、広告提供事業者の告知事項を記載したページへのリンクを設置することにより、利用者に対し、オプトアウトを提供する。
 行動ターゲティング広告ガイドライン(第5条利用者関与の機会の確保)の趣旨に沿って簡便なオプトアウトを提供するため、DDAI(データ・ドリブン・アドバタイジング・イニシアティブ)を組織し、DSP、SSP、DMPなどの広告プラットフォーム事業者が中心になり、ユーザーが広告でのデータ利用(ターゲティング)の可否を選択するための「統合オプトアウトサイト」の運営や、ターゲティング広告に関する啓発を行っている。
 DDAI< http://ddai.info >は、(株)サイバー・コミュニケーションズとデジタル・アドバタイジング・コンソーシアム(株)によって2013年に発足した組織で、2016年10月にJIAAに活動母体を移し、特別事業として独立した運営を行っており、JIAA会員事業者に限らず参加することができる。
 また、行動ターゲティング広告ガイドライン(第6条情報提供)に基づき、広告上にJIAAが指定する業界共通の「インフォメーションアイコン」を表示し、データの取り扱いに関する説明やオプトアウトへの導線を設けるプログラムを実施している。
 
4.改正個人情報保護法の取扱い
(1)用語の定義
 改正個人情報保護法上、「個人関連情報」、「個人関連情報データベース等」、「個人関連情報取扱事業者」という新たな定義が置かれることになる(改正26条の2第1項)。
ア 「個人関連情報」
生存する個人に関する情報であって、個人情報仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
「個人関連情報」に該当するのは、郵便番号、メールアドレス、性別、職業、趣味、顧客番号、Cookie情報、IPアドレス、契約者・端末固有IDなどの識別子情報および位置情報、閲覧履歴、購買履歴と言ったインターネットの利用にかかるログ情報などの個人に関する情報で特定の個人が識別できないものがこれに該当すると考えられる。
上記3のJIAAの「個人関連情報」には、個人情報保護法上の「個人情報」も含まれるので意味が異なるので注意を要する。
イ 「個人関連情報データベース等」
「個人関連情報」を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の「個人関連情報」を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。
具体的には、CookieやIPアドレス等の識別子情報(個人関連情報)に紐づけられた閲覧履歴や趣味嗜好のデータベースが「個人関連情報データベース等」に該当すると考えられる。
ウ 「個人関連情報取扱事業者」
「個人関連情報データベース等」を事業の用に供している者で、国、地方公共団体、独立行政法人等、地方独立行政法人を除いたものをいう。
具体的には、CookieやIPアドレス等の識別子情報(個人関連情報)に紐づけられた閲覧履歴や趣味嗜好のデータベース(個人関連情報データベース等)から、特定のCookieやID等の識別子に紐付けられた閲覧履歴や趣味嗜好の情報を利用企業(第三者)に提供するDMP事業者が「個人関連情報取扱事業者」に該当するものと考えられる。
 
(2)改正法の規律
ア 第三者の義務(法案26条の2第1項1号、26条の2第3項の準用する26条2項)
①同意取得義務(法案26条の2第1項1号)
 「個人関連情報取扱事業者」から「個人関連情報」の提供を受ける「第三者」は、「個人関連情報」(「個人関連情報データベース等」を構成するものに限る。)を個人データとして取得することが想定されるときは、法23条1項各号に該当する場合を除いて、「個人関連情報取扱事業者」から「個人関連情報」の提供を受けて本人が識別される個人データとして取得することを認める「本人の同意」を取得する必要がある(法案26条の2第1項1号)。
②確認にあたっての偽りの禁止(法案26条の2第3項の準用する法26条2項)
 上記①の「第三者」は、「個人関連情報取扱事業者」が本人の同意を取得したことの確認を行う場合、当該「個人関連情報取扱事業者」に対して、当該確認に係る事項偽ってはならない。
 
イ 個人関連情報取扱事業者の義務(法案26条の2第1項・3項・4項)
①確認義務(法案26条の2第1項1号)
 「個人関連情報取扱事業者」は、「第三者」が「個人関連情報」(「個人関連情報データベース等」を構成するものに限る。)を個人データとして取得することが想定されるときは、法23条1項各号に該当する場合を除いて、当該「第三者」が「個人関連情報取扱事業者」から「個人関連情報」の提供を受けて本人が識別される個人データとして取得することを認める本人の同意を得ていること確認する必要がある。 
②記録の作成・保存義務(法案26条の2第3項、法26条3項・4項)
 「個人関連情報取扱事業者」は、上記①の確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人関連情報を提供した年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない(法案26条の2第3項、法26条3項)。
また、「個人関連情報取扱事業者」は、当該記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない(法案26条の2第4項、法26条4項)。

5.行動ターゲティング広告への影響
改正法により行動ターゲット広告におけるクッキー利用は次のように変わると考えられる。
〇現状
事業者のクッキー利用に関するウェブサイト(クッキー利用に関する事前同意は取得してない)から、DMP事業者等が組織するオプトアウトサイトに遷移し、DMP事業者による利用・提供をオプトアウトできるようにしている。
〇改正後
事業者は、利用者から、①事業者からDMP事業者に対してクッキーの提供して趣味嗜好や閲覧履歴のデータを収集させること、および、②DMP事業者から提供を受ける趣味嗜好や閲覧履歴のデータを利用して利用企業が有しているデータと突合して個人データとして利用することについて、事前に同意を取得することになる。DMP事業者は、事業者が事前同意を取得したか否かを確認し、記録を作成・保存する必要がある。
 
※改正により、利用企業の側においては、CookieやIPアドレス等に紐づいた閲覧履歴や趣味趣向などのデータを個人データとして取得することを認める旨の本人の同意を取得することが必要となる。併せて、利用企業がDMP事業者などに対してCookieやIPアドレスを提供することも「提供元基準」(Q2・Q3参照)に基づき個人データの第三者提供に該当するものとして本人の同意が必要となる可能性が高い。