サイト制作プロセス・運用
Cokkie(クッキー)取得に関する同意は必要?不要?必要性について分かりやすく解説します!
以前からCokkie取得を示すポップアップの表示はありましたが、2022年4月から施行となった改正個人情報保護法により、施行となった少し前からそういったサイトが増えていると思います。
自社のサイトも必要なのか気になっている方もいらっしゃるのではないでしょうか。ただ、調べても、何やら難しい表現での解説記事ばかりです。そのためここでは、できるだけ分かりやすく解説したいと思います。
ただし、改正個人情報保護法は施行されたばかりで、まだ判例もありません。また、解釈が難しい部分もあり、調べて出てくる記事でも解釈が分かれている状況です。本記事は、私の解釈です。
Cookie取得同意の必要性について
まず、Cookie同意の必要性の有無は、Cookieを個人情報と紐づけて扱うかどうかによって変わってきます。Cookieによって得られるサイトの閲覧情報や、操作した内容などを個人が特定できる形で把握するかどうかということです。例えば、資料ダウンロードをしてもらうためのフォームがあって、そこには氏名や連絡先を入力する欄があったとします。そのとき、氏名や連絡先とCokkie情報を紐づけてサイト閲覧履歴などを把握するといったことは、Cookieを個人情報と紐づけて扱っている例のひとつです。
Cookieを個人情報と紐づけて取り扱う可能性がある第3者に提供する場合は、Cokkieの取得時に、そのことについて同意を得る必要があります。
第3者に提供しなかったとしても、上述のような例や、サイトで購入した人がその時点でお気に入り登録している商品を把握するなど、取得したCokkieを個人情報と紐づけて取り扱う場合は、個人情報の取得時に目的の説明が必要です。
逆に言えば、個人情報と紐づけて取り扱われないのであれば、取得に際して、取得される人に対して何かを示す必要はないというのが改正個人情報保護法で解釈できる内容です(この点、GDPRとは異なります)。
結局のところ、法律をもとに裁かれる場合も、常識的見解で判決が出るものだと思いますし、こういうのは常識的に考えてどうかで決めればよいのではないかと思います。ユーザーが嫌がるかもしれないことをするなら同意を得る、そういう観点で考えれば良いのではないでしょうか。
改正個人情報保護法のポイント
分かりやすい解説は以上です。以下は、どうしてそうなったのか、気になる方は読みといてください。
「個人関連情報」の新設
個人情報保護法の改正後は、「個人情報」とは別に「個人関連情報」が定義され、Cookieはこの「個人関連情報」に当たります。
個人情報 | 個人を識別できる情報(あるいは、他の情報と照合して容易に個人を特定できる情報) |
---|---|
個人関連情報 | それだけでは個人が特定されないが、個人に関連する情報 |
「個人関連情報」の取扱い
「個人関連情報」の取扱の前に、「個人情報」の取扱いについて説明します。
「個人情報」は取得時に必ず同意を得る必要があるわけではありません。必要なのは、利用目的の通知です。
改正個人情報保護法の関連部分抜粋:
(取得に際しての利用目的の通知等)
第二十一条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前三項の規定は、次に掲げる場合については、適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
四 取得の状況からみて利用目的が明らかであると認められる場合
これに対して「個人関連情報」は、取得した事業者が第3者にそれを提供し、第3者が他の情報と紐づけることで「個人情報」として保有する想定がある場合に同意を得る必要があります。ここで、「第3者」という言葉が登場するところに着目したいと思います。
改正個人情報保護法の関連部分抜粋:
(個人関連情報の第三者提供の制限等)
第三十一条 個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)を個人データとして取得することが想定されるときは、第二十七条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
2 第二十八条第三項の規定は、前項の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。この場合において、同条第三項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。
3 前条第二項から第四項までの規定は、第一項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第三項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。
同意や目的の説明が不要な場合
まず、そもそもCookieを取得してなければ関係がありません。
例えば商品や物件などのお気に入り登録機能がホームページにはよくあると思いますが、それらにはCookieが利用されています。この場合も、その情報を第3者に提供する可能性がなければ事前の同意は必要ありませんし、問い合わせ時や購入時に、お気に入り登録情報と紐づけて個人情報を取得する場合は、個人情報の利用目的の説明の中に、その旨の説明を付せばよいということになります。
他の情報と紐づけて個人情報となる例
取得する事業者自体による場合
問い合わせフォームから問い合わせをする際、氏名や連絡先などの個人情報を入力すると思います。
その際、入力した人のCookie情報と個人情報を紐づけることが可能です。つまり、その問い合わせをした人が、それまでホームページの中でどのようなページを見たのか、といったことを把握することが可能です。これをホームページの主が実行した場合、Cookieは「個人関連情報」から「個人情報」へと変わります。
ただこの場合、第3者にCookie情報を渡すわけではなければ、Cokkieと紐づけて見る、という利用目的を問い合わせフォームに入力してもらうときに明示すればよいと思われます。
問い合わせフォームの送信ボタンの近傍に、個人情報取り扱いについての説明の記載、ないしは記載ページへのリンクがあると思いますが、そこに書かれていればよいということです。
第3者による場合
この改正個人情報保護法のきっかけにもなったと言われるのがリクルート事件です。リクルート事件といわれて、1988年の事件を思い起こしたあなたは、きっと私と同年代以上ですね。
ここでご紹介する事件は2019年です。リクルートキャリア社は、Cookieと内定辞退率を紐づけて採用を検討する企業に販売するサービスを行っていました。内定辞退率自体には個人情報は含まれてなかったのですが、提供される側はそのCookieと個人情報を紐づけることができる状態になっているという、法律の穴をついた巧妙なサービスでした。
リクルートは政府の勧告に対して、「個人情報」ではないと主張しました。リクルートが提供していた情報自体には個人を特定できる情報がなかったので、「個人情報保護法」における「個人情報」ではないのは、改正後の個人情報保護法においても、その通りです。このときの内定辞退率は、改正個人情報保護法における「関連個人情報」であり、個人情報として保有することがわかっている第3者に伝えるつもりだったわけですから、改正個人情報保護法のもとであれば取得時に、そのことを伝える必要があります。
繰り返しですが、わたしは、法律云々以前に、誰かを傷つけるようなことがないか、といった常識で考えれば良いと思います。法律は人を傷つけるようなことを防ぎ、裁くためにあるものであって、誰も傷つかなければ、訴えられることもないでしょう。
もう一つの例として、Cookieはホームページに表示される広告(リターゲティング広告)に用いられています。この、リターゲティング広告は「3rd Party Cookie」と呼ばれるものが使われていて、複数のサイト(ドメイン)を横断して、そのユーザーがどのようなサイトを訪問したかを把握の上で広告を提示しています。
この場合が現在、特に問題として取り上げられている部分です。
「3rd Party Cokkie」はchromeなどのブラウザ自体が、取り扱わないようにする方向で動いています。
外国での取り扱いについて
EUはGDPR(General Data Protection Regulation)において、日本の改正個人情報保護法とも異なりCookieが個人情報として定義されていて、活用する場合は取得時に本人の同意を得る必要があります。
アメリカのカリフォルニア州でもCCPA(California Consumer Privacy Act)によって、Cookieの取得目的を明示する必要があるとなっています。
まとめ
改正個人情報保護法によってCookie取得時にどのようなことを配慮すればよいかをご紹介しました。