Cookie規制の行方 −個人情報保護委員会の資料にて問題提起—


クッキー(Cookie)規制の行方 −個人情報保護委員会の資料にて問題提起—

個人情報保護委員会(PPC)は、2019年4月に「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」を公表し、パブコメを受けて11月25日に「個人情報保護をめぐる国内外の動向」という資料(以下「本資料」)を公表した。資料の内容は

① 法の域外適用の在り方関係
② ペナルティの在り方関係
③ いわゆる短期保存データ関係
④ いわゆる「仮名化」関係
⑤ 利用目的による制限等の例外の在り方関係
⑥ 提供先において個人データとなる情報の取扱い関係
となっている。3年ごとの見直しにより、2020年に個人情報保護法(以下「同法」)が改正される予定であるが、この本資料で指摘されている内容が改正される可能性があることを示唆している。

中でも注目すべきは、⑥の中でクッキーについて触れられていることである(文書の中では「クッキー」という言葉は図解の中にしか出てこないが、クッキー等トラッキングテクノロジーが念頭におかれている。)。同法における「個人情報」は「生存する個人に関する情報であって、特定の個人を識別できるもの」(2条1項)とされている。クッキーは、Webページを閲覧した際にPCやスマホの中に保存される情報であり、それだけでは「特定の個人を識別できるもの」とはいえず、「個人情報」には該当しない。この点、本資料では「他の情報と容易に照合することにより『特定の個人を識別できる』」のであれば、Cookieも個人情報に該当する。しかし、IT化の進展により、通常の業務従事者の能力で照合できる範囲が格段に拡大していることから、広く容易に照合できると解釈して、「個人情報」として適切に管理を求めるべき、としている。

また、クッキー等のデータを第三者に提供する場合、提供元にとってクッキー等が個人情報に該当するのであれば、「個人データ」(※)を提供することになり、提供元には
●利用目的に第三者提供の旨を記載する(同法15条1項)
●同法23条1項各号に該当しない限り、本人の同意を得るか、オプトアウト手続きをとる(同法23条1項、2項)
●記録(同法25条)等の義務が生じる。また、提供先には
●確認・記録(同法26条)
等の義務が生じる。他方で、提供元にとってクッキー等が「個人情報」に該当しない場合は「個人データ」を提供したことにならず、既述の義務は発生しないことになる(提供元を基準とすることについては、PPCが公表している「個人情報の保護に関する法律についてのガイドライン」を参照のこと。)。しかし、本資料では、提供元で「個人情報」に該当しなくても、提供先で他の情報と照合すれば特定の個人を識別できる場合もあることから、提供元を基準とすることに疑問が投げかけられている。

 ヨーロッパでは、e-privacy directiveとGDPR、また各国法が、企業が商業目的で運営するWebやモバイルアプリで利用するクッキーなどのトラッキングテクノロジーについて規制を行っており、イギリス、フランス、スペインは、その運用方針についてガイドラインを公表している。また、ヨーロッパ主要国は、来年以降クッキーに関する規制の監督を強化する旨を表明している。世界に展開する企業にとって各国のクッキー規制に合わせ、クッキーなどに関する実装を行い、取締りの対象とならないように対応する必要があるが、その対応は将来の日本の規制対応にもなるかもしれない。

【PPC「個人情報保護をめぐる国内外の動向」】
https://www.ppc.go.jp/files/pdf/191125_shiryou1.pdf
※「個人データ」…同法では、個人情報データベース等を構成する個人情報を「個人データ」としており(同法2条6項)、第三者提供における義務等(23条)は「個人データ」を客体としている。

関連記事