改正個人情報保護法でCookieが規制対象に
MarkeZine編集部(以下、MZ):2022年4月に施行される改正個人情報保護法では、Cookieの利用が規制されるということで、多くのマーケターが関心を寄せています。なぜ今回、Cookieが規制対象となったのでしょうか?
牧野:個人情報保護法は元々3年ごとに見直しを行い、社会情勢の変化に合わせて改正されることになっておりました。これまでCookieは直接規制の対象外でしたが、ちょうど個人情報保護法を見直すタイミングで、リクナビの内定辞退率問題が起こりました。
大手自動車メーカーから米Georgetown Law School卒業後、ミシガン州弁護士登録。その後帰国しアップルコンピュータ法務部長としてJobs氏と急成長期を経験。現在は大学・法科大学院での講義や、日本や外資系のIT企業・ベンチャー企業の顧問を十数社担当。
リクルートキャリア社は、「リクナビ」に登録した学生に関し、Cookieを突合して個人を識別しない形で内定辞退率を算出し、学生の同意を得ずに辞退率を利用企業に提供していました。Cookie IDなので単体では個人を識別できませんが、利用企業側が個人名とCookie IDを突合すれば個人を特定できることがわかり、大きな社会問題となりました。
これがきっかけとなり、来年4月に施行される改正法ではCookie IDを使った行動履歴などをデータとして収集し、第三者に提供する行為が規制されるようになりました。
MZ:どのように規制されるのでしょうか?
牧野:個人情報を集めるサイトの側で「3rdパーティCookieの情報を○○に利用します」という旨を明記し、承諾を取らないと、そのサイトへCookie情報(リクナビ事件では個人を特定できないがCookie IDを使った「内定辞退率」)を提供できない(同意の確認義務)というように改正しました。ただしこれだと、規制としては少々不十分なんです。なぜなら、個人情報を集めるサイトの側でWebサイトにCookieバナーを貼り付けてCookie情報を取得する場合はそのサイトへの「提供にはならない」ということで、規制の対象外になるからです。
欧米だと事情は違って、ユーザー側に「Cookieを設定します」ということで同意をもらわないといけません。欧米といっても、EU域内の国と、米国はカリフォルニア州を始めとする一部の州だけですが、いずれもCookieの取り扱いに関しては、日本より厳しい規制が設けられています。日本では、あくまでリクナビ事件のように、第三者の個人情報管理者に提供する場合は、個人情報を集めるサイトの側で本人からの同意があることを確認することが必要ということで、利用者から承諾さえ取れればOKなんです。
MZ:すると日本国内では、Cookieを使ったターゲティング広告のようなものは規制対象ではないということですか?
牧野:WebサイトにCookieバナーを貼り付けてCookie情報を取得する場合は、改正法では規制対象となっていないという解釈です。必要最低限のリクナビ事件のようなケースだけが対象ですが、これはむしろレアケースで、Cookieの利用といえばそれ以外のWebサイトにCookieバナーを貼り付けてCookie情報を取得する場合がずっと多いんですよ。欧米ではCookie利用には必ず同意を取ることが必要で、そうでないと使えません。ただ日本の個人情報保護法も、今後欧州並みにCookie規制が厳しくなることが想定できます。
世界におけるCookie規制事情
MZ:牧野先生からは改正個人情報保護法におけるCookie規制のポイントを伺いましたが、欧米と比べるとまだ緩いというご意見がありました。そこでここからは飯田先生に、データ規制に関するグローバルな潮流を伺いたいのですが、世界的にどのような傾向があるのでしょうか。
飯田:皆さんご承知だと思いますが、今日では巨大ITプラットフォーマーが膨大な個人情報を収集し、莫大な利益を得ている状況にあります。まず、これで本当にいいのかという問題意識が前提にありました。
牧野氏と同じ法科大学院を卒業後、ニューヨーク州弁護士登録。日本・米国の電機、IT、製薬、エンタテインメント企業などの法務部で、さまざまな国内・国際取引・訴訟などの法律的なサポートやアドバイスを行なってきた。現在は大学・大学院などで法律の講義を行っている。
そんななかで発生したのが、ケンブリッジ・アナリティカ事件です。これは、ケンブリッジ大学に在籍する心理学者アレクサンダー・コーガン氏が性格診断アプリを用いてFacebookから収集した個人情報をコンサルティング企業のケンブリッジ・アナリティカ社が利用し、選挙結果を操ったされる疑惑で、イギリスのEU離脱の国民投票やアメリカ合衆国大統領選挙の結果を左右したともいわれています。さすがにそれは行き過ぎということになりました。
元々欧州では、1950年に調印された「欧州人権条約」がプライバシーの保護を謳ったように、人権やプライバシーに対して非常にセンシティブであるという土壌があります。この流れで誕生したのがGDPR(General Data Protection Regulation:EU一般データ保護規則)です。GDPRはおそらく今日、世界で一番個人情報については厳しいスタンダードだと思います。GDPRの下では、Cookie情報を含む個人情報の取得と利用について事前許諾を得ること(=オプトイン)が必要で、それが徹底されているんです。
MZ:米国はどのような動きなのでしょうか。
飯田:米国もプライバシーや人権については厳しい国なのですが、これまでは、EUと比べると多少緩やかな規制になっていました。IT企業が多く存在するカリフォルニア州では、現在、2020年に施行されたCCPA(California Consumer Privacy Act:カリフォルニア州消費者プライバシー法)という法律がありますが、2023年1月には、CPRA(California Privacy Rights Act: カリフォルニア州プライバシー権利法)が施行されることになっています。CPRAは、個人情報を第三者へ販売することを規制するだけでなく、これを共有することも規制の対象とするなど、CCPAよりも厳しい内容になっています。
こうした流れを受けて、AppleやGoogleといった巨大IT企業も、自社のOSやWebブラウザで3rdパーティCookieをブロックするなどの規制の動きが進んでいます。ただGoogleは、広告事業が大きな収益の柱なので、2022年までに段階的に対応していくとのことです。
MZ:全体的に見て、欧米は日本より規制が厳しいようですね。
飯田:そうですね。Cookie設定のバナーについても、グローバル展開している企業は表示していますが、一般的な日本語のWebサイトではそう言った表示がなされていないものも少なくありません。「日本語だから大丈夫」「日本の法律だけを意識しておけば大丈夫」という考えかもしれませんが、Webサイトは世界中からアクセス可能です。したがって、今回の改正法に対しても、最低限順守すればいいというのではなく、欧米をはじめとする世界の動向を意識して準備したほうがいいでしょう。
