Cookieに基づく行動履歴など個人に関連する情報も規制の対象になる

　日本で生じた、ある就職情報サイトによる内定辞退率提供において、サイト側が保有・分析するユーザーの行動情報が、その顧客で採用活動をしている企業の手に渡って利用されていたことが問題となった。就職情報サイト側ではユーザーのCookie IDに関連した行動履歴を収集し「日系企業に内定をもらっているが、外資系企業の情報を盛んに閲覧しているので内定辞退率が高い」といったIDごとの内定辞退率を導き出していた。これには個人情報保護法上の個人情報が含まれていなかったため、法に触れるものではなかった。しかし、採用企業側ではこれを突合して個人の行動を特定することができたことが問題となり、規制が強化された。

　「元々グレーな扱い方だといわれていましたが、2022年4月に施行される個人情報保護法の改正で規制されるようになりました。こういった個人情報ではない情報を『個人関連情報』という名前にして、提供先の企業が個人と関連づけられるなら、提供先で同意を得なければならない対象となりました」（太田氏）

　一方で、Facebookなどの広告事業者がリターゲティングタグなどで直接取得したものを利用する場合は、Webサイト側や直接取得する広告事業者側でも同意の必要はなく、法改正の影響は受けない。つまり、個人情報保護法上の個人情報に該当しない限り日本においては何の規制もないのだ。しかしこれは利用者にとってはあまり気持ちのいいものではない。

プラットフォーマーの規制と、電気通信事業法の改正内容

　法制度以外に、AppleやGoogleといったプラットフォーマーがユーザー保護のために規制をする動きもある。AppleのブラウザSafariでは、トラッキングを制御し、GoogleのChromeも2023年にサードパーティCookieの利用を廃止する予定だ。iOSアプリもアプリにおけるCookieのような働きをするIDFAの利用にはユーザーの同意が必要で、Androidでもデバイス用の広告IDであるAAIDを2024年以降に廃止するといわれている。

　日本においてはまだ法的な制限がないので、プラットフォーマーの規制を回避する策がいろいろとある。そこで、ルールとして定めるために電気通信事業法を改正して、広告タグ等を設置している全てのWebサイトは同意またはオプトアウトを必須とする動きがあった。しかし、経済団体から猛反発があり内容が変わった。

　対象事業者は「電気通信事業者」と「電気通信事業を営む者」に限定され、義務の内容も通知・公表、または、同意あるいはオプトアウトと緩和された。ユーザーの同意やオプトアウトは必須なく、公表していればデータを利用できるようになったのだ。また、自社のサーバーにデータを送信する場合も例外となった。