改正個人情報保護法により一定のサードパーティ・クッキーについて事前同意が必要に


改正個人情報保護法により一定のサードパーティ・クッキーについて事前同意が必要に

個人情報保護法一部改正法案(以下「改正法案」)が3月10日、閣議決定されました。同法案は現在開会中の通常国会で審議され、会期末(6月17日)までに可決成立すれば、最も遅い場合でも公布の日から2年以内(令和4年5月末前後)に施行されます。

改正法案は多くの重要な改正点を含みますが、その中でも、新設される「個人関連情報」の第三者提供に関する規制は、インターネット利用者のトラッキング、プロファイリング、広告ターゲティングなどに対する規制強化となり、デジタルマーケティングに携わる事業者の関心が特に高いところです。

個人情報保護委員会は、昨年12月に公表した制度改正大綱で、「端末識別子等の取扱い」に言及し、インターネットにおける行動履歴情報などのユーザデータを活用したターゲティング広告が広く行われていること、個人情報を含まないユーザデータがDMPなど提供先において他の情報と照合することにより個人データとなる場合があること、このようなユーザデータの利用は本人が関与する余地がなく、個人データの第三者提供を規制する現行法23条の趣旨を潜脱するものであることを指摘し、提供元(広告主、メディア)では個人データに該当しないものの、提供先(DMPなど広告プラットフォーム)において個人データに該当する場合、第三者提供を制限する規律を適用する方針を明らかにしました。

今日公開された改正法案で、この新規制に対応するのは以下の新設条文です。

(個人関連情報の第三者提供の制限等)
第二十六条の二 個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第二条第五項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第二十三条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。

新たな概念として、個人関連情報が定義されました。概ね、生存する個人に関する情報ではあるが、それ自身で、または他の情報と容易に照合して、特定の個人を識別することまではできないもの、と考えることができます。個人関連情報の典型例として、ウェブサイトで用いられるHTTP Cookie、モバイル端末のアプリで用いられる端末識別子などを通じて個人に関する情報(典型的には閲覧履歴など)を取得・利用する事業者が、利用可能な他の情報と照合しても当該情報から特定の個人を識別できない状況における当該情報が想定できます。

第三者が個人関連情報を個人データとして取得することが想定されるとは、提供先の第三者が、その合理的に利用し得る他の情報と容易に照合して、特定の個人を識別することができる場合と考えられます。典型的には、ソーシャルメディアやeコマースプラットフォームを運営し、会員情報を管理する事業者が発行するサードパーティ・クッキーによって取得されるブラウザ識別子や閲覧情報などのデータが、タグを埋め込んだウェブサイトから当該事業者に提供され、当該事業者が会員情報と照合することによって特定の個人が識別できる場合です。また、閲覧者のアカウント管理をしていないウェブページにFacebook共有ボタン、「いいね!」ボタンなどのようなソーシャル・プラグインを埋め込む場合、埋め込み元ウェブページでは特定の個人を識別し得ない場合であっても、開示先のソーシャルメディア運営者は、アカウント情報との照合により、個人を識別できる場合があります。

このような形で第三者提供を行う場合には、(1)提供先が個人データとして取得することについて、本人の同意が得られていること、(2)提供先が外国にある場合は、同意に先立って、当該外国での個人情報保護制度、提供先が講じる個人情報保護措置などに関して情報提供されていること、の2点を開示元事業者が確認することが新たに義務づけられます。このような確認をしないで第三者提供してはならないという条文の文言から、情報提供および同意は、第三者提供に先立って事前に行われなければならない、すなわち事前の情報提供およびオプトイン同意が求められると考えられます。

新たな規制の対象となる第三者提供先として、プラットフォーマーとして会員情報を管理しつつ、サードパーティ・クッキーを発行し、ターゲティング広告事業も行っている事業者、具体的にはGoogle、Facebookなどのプラットフォーマーが考えられます。これら2社は2018年の世界デジタル広告費の過半のシェアを占め、我が国でも多くの企業がデジタルマーケティングのために利用しています。

個人関連情報の第三者提供について、本人への情報提供および同意が必要とされるのは、「個人データとして取得することが想定されるとき」とされています。「想定されるとき」の具体的内容、開示先が個人データとして取得するかどうかについて、開示元事業者は調査・確認義務を負うのか、開示先は開示元に対して個人データとして取得するかどうかについて情報提供をする義務を負うのかなど、運用の詳細については、今後、個人情報保護委員会の規則、ガイドラインなどを待つことになります。

個人関連情報第三者提供の新規制に関して、企業において必要とされる対応は以下の通りです。
(1) 利用するクッキーやプラグインが新規制の適用を受けるかどうか確認
個人関連情報の提供先であるソーシャルメディアや広告エージェンシーがすでに保有する個人データとの照合により、提供に係る個人を識別できるかどうかを確認し、新規制の適用を受けるかどうかを確認しなければなりません。
(2) 施行までの間に自社ウェブサイトで必要な対策を講じること
改正法案が今国会で可決成立した場合、公布の日(おそらく6月)から2年以内に施行されます。具体的な施行日は追って政令で定められます。新たな第三者提供規制の対象となるターゲティング・クッキーを利用している場合、改正法施行までに、クッキーバナーツールなどを利用して、ウェブサイト利用者に対する情報提供、同意取得、同意管理の準備を進めなければなりません。

改正法案附則第5条により、改正法の施行前であっても、個人関連情報の第三者提供について、改正法が求める同意に相当する同意を得た場合には、つまり、(a)開示先において個人が識別されること、(b)外国事業者への提供の場合には当該外国における個人情報保護制度および開示先事業者が講ずる個人情報保護措置の内容、について情報提供を受けたうえで本人が同意した場合には、そのような同意は、改正後においても有効であるとされています。改正前の同意が一定の場合、改正後にも有効となるので、法改正前であっても、デジタルマーケティングの新施策を採用し、ターゲティング・クッキーなどを一新する好都合なタイミングで遵守対応をスタートさせることもできます。

改正法案に関する資料(個人情報保護委員会・公式ウェブサイト)
https://www.ppc.go.jp/news/press/2019/20200310/

関連記事