Cookieは個人情報なのか?
――特に「4、データ利活用に関する施策の在り方」がデジタルマーケティングに従事する方には関係してくるポイントだと思いますので、詳しく教えていただけますか?
デジタルマーケティングでは、消費者の「Web行動データ」「位置情報データ」「購買データ」などを収集・分析して、対象の個人にアプローチして購買行動へつなげることを目的としています。この肝となるデータは個人に関する情報といえますので、取り扱う際には個人情報保護法に注意しないといけないというのが大前提としてあります。
その中で疑問となるのが「Cookieは個人情報なのか?」という点です。そもそも個人情報とは、「生存する個人に関する情報」であって、「1、氏名、生年月日などの特定の個人を識別することができるもの」または「2、個人識別符号が含まれるもの(マイナンバーなど)」を指します(図表2)。
Cookieはなにかというと、ウェブサイトがブラウザに各種情報を保存するための仕組みで、いわば数字や記号の羅列です。それだけを取り出してみても、「このCookieは○○さんのもの」というのはわかりません。つまり、Cookie自体は個人情報ではないのです。もちろん、氏名や住所が記載された顧客情報がリストで並んでいて、そこに紐づく形でCookieを並べておくなどすると、そのCookieを含んだリストは個人情報になりますが、「Cookie単体では個人情報ではない」というのが現在の理解です。
では、なぜ今回このCookieが規制の対象になってくるのか。それを説明する前提として、まず「個人データの第三者提供ルール」についてお話しします。たとえば私がA社のメルマガを読むために会員登録をしたとして、その登録した情報を私の許可なくA社がB社に渡すことは当然認められないように、現行法では「本人の同意を得ないで、個人データを第三者に提供してはならない(23条)」というルールがあります。この“個人データを”というところがポイントで、これまで個人データでなければ、この条項には該当されていませんでした。つまり個人情報でも個人データでもないCookieは、この条文に該当しなかったわけです。しかし、実際にはこのルールを潜脱してしまっているのではないか、というケースが起きてしまっていたのです。
「個人関連情報」が新たに規制対象に
――現行法を潜脱しているケースとは、どのようなものでしょうか?
「個人情報保護法いわゆる3年ごと見直し制度改正大綱」では、次のように説明がされています。
“ユーザーデータを大量に集積し、それを瞬時に突合して個人データとする技術が発展・普及したことにより、提供先において個人データとなることをあらかじめ知りながら非個人情報として第三者に提供するという、法第23条の規定の趣旨を潜脱するスキームが横行しつつあり、こうした本人関与のない個人情報の収集方法が広まることが懸念される。”
(「個人情報保護法いわゆる3年ごと見直し制度改正大綱」P24〜)
これをわかりやすく説明したのが、図表3のケースです。
出典:改正法に関連するガイドライン等の整備に向けた論点について(個人関連情報)
A社のもとではIDと購買履歴がわかるだけで、「ID1番が誰なのか」はわかりません。つまり、A社が持つ情報は、個人データではありません。しかしそれをB社に渡すと、B社で保有する個人データとそのIDを紐付けて「ID1番は山田一子さんで、ミルクティーを買っている」ということがわかってしまうのです。
つまり、提供先(情報を受け取る側)では個人情報となることを知りながら、提供元(情報を渡す側)では特定ができないとして、本人の同意なくデータが第三者提供される事例が存在していたということです。
提供元では個人情報ではないものの、結局は本人の同意がないまま個人情報が渡されているということになっているため、今回それはよくないということで、新たに「個人関連情報」という新しい概念が導入され(図表4)、提供元(A社)で個人データに該当しなくても、提供先(B社)に渡すと個人情報になってしまう場合、A社は本人に同意を取らないといけないというルールが新たに追加されました。
では、具体的にどのような規制が追加されたのかというと、「①提供元(個人関連情報を持っている側)は、②提供先(情報を渡す相手)が、個人関連情報を個人データとして取得することが想定されるときは、③一定の事項を確認しなければ、提供先に個人関連情報を提供してはいけない」というものです。
図解すると、サードパーティCookieの事例がわかりやすいでしょう(図表5)。
サードパーティCookieを提供するA社がWebサイトを運営するB社にデータを渡すとき、B社でCookieと個人データが紐付けられるとわかった場合には、そのデータは規制の対象になります。絶対に渡してはいけないということではなく、確認を取らなければ渡してはならないということです。では誰に確認を取るのか? 条文にはA社とB社がすべきことが一緒に記載されているので少しわかりづらいのですが、簡単に説明すると、自社の立場がB社である場合はユーザーから同意を取る必要があり、A社の場合は、B社がきちんとユーザーから許諾を取っていることを確認しなければなりません。情報を渡す側も、もらう側も意識しないといけないということです。
また同意取得はきちんと目的を説明していないと、同意の取得とはみなされないケースもあるのでご注意ください(図表6)。
出典:改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)
今後、きちんと法律に遵守したDMP社であれば、ユーザーから同意が取れていない事業者にはデータを渡さないというケースも増えてくると思います。そうすると、広告効果が薄れ、事業社にはダメージが出てくるでしょう。Cookieは絶対に使ってはいけないということではありませんので、2022年4月の施行を見据え、きちんと準備しておくことが重要です。
