日本企業のクッキー利用情報開示は不十分? EU・米国の規制強化の中で、対応に遅れ


日本企業のクッキー利用情報開示は不十分? EU・アメリカの規制強化の中で、対応に遅れ

本日付日本経済新聞で、消費者向けWebを運営する主要100社について、同社がクッキー処理によるデータ提供先を明示しているかどうかを調査した結果、約9割のサイトが外部にデータを提供する一方、データ提供先について閲覧者に情報提供しているサイトは半分もなかったとする記事が掲載された。

わが国のクッキー規制は、欧米と比較すると極めて緩やかである。欧州では、e-Privacy Directiveと各国施行法およびGDPRにより、クッキーやモバイル端末識別子は個人データとして規制対象となり、マーケティング・広告目的でこれらの識別子を利用する場合、その処理目的・方法、開示先、保持期限などについて情報提供した上で、利用者のオプトイン同意を得なければならない。アメリカでも昨年6月に制定されたカリフォルニア州消費者プライバシー保護法は、クッキーなどのオンライン識別子を個人情報として定義し、Web運営者から第三者への開示については、消費者に拒否権(オプトアウト権)が認められることになった。一方、わが国の個人情報保護法では、クッキーその他のオンライン識別子は、他の情報と照合して特定の個人を識別できる場合のみ個人情報として規制対象となる。たとえば、Webがユーザー認証を行う場合など、クッキーと認証情報とを容易に照合できる場合は、クッキーも個人情報保護法の規制対象となる。

欧州では、ターゲティング広告目的のクッキー利用について、プライバシー保護の観点で議論が高まり、最近ではGoogleに対してフランスの監督機関が5千万ユーロの制裁金を賦課した。ターゲティング広告は、クッキーを媒介として取得する利用者のウェブ閲覧履歴などから利用者の個人属性をかなり精密に分析・推論することにより、それぞれのユーザーに最もマッチする広告を表示するというしくみだ。行動履歴から推論される個人属性には、思想信条、病状、機微な家族関係、性癖など、本人が見たら嫌悪や羞恥を覚え、プライバシーが著しく侵害されたと感じるであろうものもあることを、ポーランドの人権団体、パノプティコン財団が明らかにした。今後、広告・マーケティング目的のクッキー利用に対する風当たりはますます強まると予想される。

こうした中、わが国では、個人情報保護法の3年毎の見直し作業が始まり、ターゲティング広告は法改正着眼点の一つに挙げられているので、今後、国内でも議論が大きくなるだろう。現行の個人情報保護法のもとでも、企業がウェブ利用についてユーザー認証を行っている場合、認証情報とクッキーにより取得するデータは、同じ企業内で容易に照合できるわけであり、法解釈によっては、利用目的・分析方法・開示先などについて情報提供を義務づけるべきとの議論も成り立ちうる。これを求める消費者の声が大きくなったり、争おうとする動きも強まるだろう。

日本は1月にEUからGDPR45条に基づく十分性認定を受けた。個人情報保護法および補完的ルールにより、わが国がEU並の個人データ保護制度を運用していることが認められ、これらを遵守する限り、欧州から日本への個人データ移転が自由になったが、日本に対する十分性認定は2021年1月には、見直しを行うことが既に決定されており、クッキー規制の制度格差についても当然、議論の俎上に上がるだろう。

しかし、企業にとって、規制の有無よりも重要なのは、顧客からの信頼、ブランドイメージである。今後、日本企業に対しては、欧米事業における現地法遵守だけでなく、国内でも広告目的のクッキー利用について、少なくとも利用者への十分な情報提供を求める声が高まるだろう。

日経記事
https://www.nikkei.com/article/DGXMZO41733810V20C19A2I00000/

関連記事