
はじめに
多くのWebサイトを訪れたときに「cookieの使用(利用)に同意」のボタンが表示されるようになりました。
そのため、自身のサイトにもcookie(クッキー)の使用・利用に関する同意ボタンを設置する必要があるのかについて、悩まれている方もいらっしゃるのではないでしょうか。
この記事では
- 「cookieの使用に同意」ボタンは設置しなければならないのか
- cookieは個人情報保護法において何にあたるのか
- 同意の取得はいつから始めていいのか
など、cookieと改正個人情報保護法について、弁護士が詳細を解説していきます。
目次
結論からいうと、サイトでcookieを使用している全ての者が「cookieの使用に同意」ボタンを設置しなければいけないわけではありません。
「cookieの使用に同意」ボタンを設置しなければいけないのは、インターネット上で蓄積されたユーザーデータ等のデータを収集・統合・分析するデータマネジメントプラットフォーム(DMP)事業者などからcookieに紐づいた情報の提供を受けている者です。たとえば、ターゲティング広告などの出稿を依頼している者は、「cookieの使用に同意」ボタンは設置しなければいけない可能性が高いです。
「cookieの使用に同意」ボタンなどでcookieに関して同意の取得が必要となったのは、2020年6月に公布された改正個人情報保護法という法律が関係しています。
まずは、個人情報保護法において、cookieが何にあたるのか、確認していきましょう。
(1)「個人情報」とはなにを指すのか
cookieが個人情報に当たるかどうかについては、まず「個人情報」とは何かを確認していきましょう。
「個人情報」とは、
- 生きている個人に関する情報
- 氏名、生年月日その他の記述等(文書や図画など)に記録・記載されていて、他の情報と容易に照合することができ、特定の個人を識別することができるもの
- 個人識別符号が含まれるもの
+
or
となります。
これを整理すると、個人情報は2つのパターンに分けられます。
- パターン①:生きている個人に関する情報+他の情報と容易に照合することができ、特定の個人を識別することができるもの
- パターン②:生きている個人に関する情報+個人識別符号が含まれるもの
①「他の情報と容易に照合することができ、特定の個人を識別することができる」とは(パターン①)
「他の情報と容易に照合することができ、特定の個人を識別することができる」とは、単体では個人を識別できない情報でも、他の情報と照合すれば個人を特定できる、つまり個人情報となるケースを指します。
たとえば、生年月日という情報はそれだけでは、誰の情報なのか、特定の個人を識別することはできません。また、同姓同名の方がいるような氏名については、その氏名だけで特定の個人を識別することはできません。
もっとも、生年月日と氏名といった情報と組み合わせれば、特定の個人を識別することができるようになります。そのため、生年月日の情報と氏名の情報の両方を持っている場合は、これらの情報は個人情報にあたることになります。
そして、ある情報を第三者に提供する場合において、「他の情報と容易に照合することができ、特定の個人を識別することができる」かどうかは、提供先ではなく、その情報の提供元で判断されます。そのため、情報の提供元において他の情報と照合しても特定の個人を識別できない情報は、たとえ提供先で特定の個人を識別できる情報であっても、個人情報にはあたらないということになります。
②「個人識別符号」とは(パターン②)
「個人識別符号」とは、文字、番号、記号などの符号であって、それ単体で個人を特定できる情報で、「個人情報の保護に関する法律施行令」で列挙されたもののことをいいます。
たとえば、指紋、顔、瞳の虹彩などの個人の身体の特徴や、サービスID、運転免許証番号、マイナンバーなどの番号がこれにあたります。
③「個人データ」とは
顧客データ(氏名、役職、連絡先)などの個人情報について、特定の個人を容易に検索できるようパソコンや、紙のファイル等で整理・分類して管理していない方は少ないでしょう。このように個人情報を含む情報の集合物を「個人情報データベース等」といい、この個人情報データベース等を事業に利用している者は「個人情報取扱事業者」といいます。
また、個人情報データベース等に保管されている個人情報は、「個人データ」となります。そのため、多くの個人情報は個人データになっているといえます。
「cookie」(クッキー)とは、ユーザーがWebサイトを訪れた際に、Webサイト側からユーザーのスマートフォンやPCにユーザーを識別するために残された情報のことをいいます。
ユーザーが次回以降に同じサイトを訪れた際、サイト側が前回残されたcookieによって、同一人物と識別することができますし、他のサイトやDMP事業者とcookieを共有すれば、ユーザーが他にどのようなサイトを閲覧しているかなどを把握することが可能となります。
そのため、cookieはサイトの利便性を高めたり、ユーザーの好みや興味に沿ったターゲティング広告を表示するために利用されています。
それでは、cookieは個人情報にあたるのでしょうか。
次の2つのパターンについて検討していきたいと思います。
- パターン①:生きている個人に関する情報+他の情報と容易に照合することができ、特定の個人を識別することができるもの
- パターン②:生きている個人に関する情報+個人識別符号が含まれるもの
まずは、両方のパターンに共通する「生きている個人に関する情報」にあたるかどうかについてです。
cookieというものは、サイトにアクセスした時や、商品を閲覧した時、商品をカートに入れた時などに、サイト利用者に付与され、サイトの利用者のアクセス履歴、閲覧履歴、購入履歴、趣味、嗜好などがわかるものです。サイト利用者に関する情報だといえるため、「生きている個人に関する情報」にあたるものと考えらます。
次に、パターン②の個人識別符号にあたるかどうかについて検討してみましょう。
個人識別符号は、「個人情報の保護に関する法律施行令」で列挙されたものとされています。もっとも、この施行令にcookieは、列挙されていません。
そのため、cookieは個人識別符号とならず、パターン②に個人情報にはなりません。
では、パターン①の「他の情報と容易に照合することができ、特定の個人を識別することができるもの」として、個人情報にあたる場合はあるのでしょうか。
この点、cookieしか情報がなく、他に組み合わせることができる情報が手元になければ、どこの誰かを特定し識別することはできません。
もっとも、たとえば、次の場合を考えてみてください。
- サイトを利用する際に、氏名・生年月日・電話番号の登録を必須としている場合
- サイトに設置したアンケートにおいて重複した回答を避けるために氏名・メールアドレスの入力を求める場合
これらの場合には、サイト運営者は、氏名・生年月日・電話番号といった登録情報、氏名・メールアドレスといった入力情報を取得することになります。
サイト運営者は、登録情報や入力情報といった他の情報とcookieを組み合わせることで、特定の個人を識別することが可能です。この場合には、氏名・生年月日・連絡先だけでなく、cookieもパターン①の個人情報となります。
そのため、cookieは個人情報にあたる場合と、あたらない場合があり、個人情報にあたる場合に、個人情報データベース等でcookieを管理していれば、個人データにあたることになります。この点に関しては、個人情報保護法の改正前、改正後で変化はありません。
では、cookieが個人情報にあたる場合とあたらない場合があり、個人情報保護法の改正前、改正後で変化がないということであれば、改正個人情報保護法でcookieが規制対象になるとの説明があちこちでとびかっているのは、何故なのでしょうか。
改正個人情報保護法で創設された「個人関連情報」について確認していきましょう。
「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれでもないものを指します。
個人情報については、上の項目で説明していますので、ここでは、仮名加工情報と匿名加工情報について説明します。
「加工」という文字が含まれているとおり、仮名加工情報と匿名加工情報とは、個人情報に加工を加えた情報のことをいいます。
そして、仮名加工情報と匿名加工情報の違いは、個人情報をどのような形に加工しているかです。
特定の個人を識別できない形に加工した情報は匿名加工情報となり、他の情報と照合しない限り特定の個人を識別することができない形に加工した情報は仮名加工情報となります。
そのため、個人関連情報とは、生存する個人に関する情報であって、
- 個人情報
- 個人情報を加工して他の情報と照合しない限り特定の個人を識別することができない情報に加工した情報(仮名加工情報)
- 個人情報を加工して特定の個人を識別できない形に加工した情報(匿名加工情報))
以外の情報のことをいうことになります
先ほども説明したとおり、cookieは、登録情報や入力情報などの他の情報と組み合わせることで、特定の個人を識別可能な場合は個人情報にあたりますが、他に組み合わせるべき情報を持っておらず、特定の個人を識別することができない場合は、個人情報にはあたりません。
そのため、個人情報にあたらない(他の情報と組み合わせて特定の個人を識別できない)cookieは個人関連情報にあたる可能性があります。このことから、cookieが、改正個人情報保護法の規制対象になったと説明されているのでしょう。
また、個人関連情報の具体例については、今後個人情報保護委員会からガイドラインがだされた際に、明確になるものと考えられますが、cookie以外にも、たとえば、以下の情報が個人関連情報にあたるものと考えられます(※個人を識別できない形で取得し、他に個人を識別できる情報を持っていない場合)。
- ゲストID(個人情報の登録をせずに付与されたID)
- 識別子情報(IPアドレス、MACアドレス、スマホのデバイスID等)
- 位置情報、メールアドレス、性別、職業
なお、個人情報をデータベース化し、事業に用いている者のことを「個人情報取扱事業者」と定義されているのと同様に、個人関連情報をデータベース化し、事業に用いている者のことを「個人関連情報取扱事業者」という定義も改正個人情報で追加されました。
このように、個人情報保護法の規制の対象外とされていた情報について、新たに「個人関連情報」という定義が設けられたわけですが、、この「個人関連情報」はなぜ創設されたのでしょうか。そのきっかけについて確認していきましょう。
3 なぜ個人関連情報は創設されたのか
個人関連情報が創設されたのは、次の問題を解決するためです。
【発生していた問題】
提供先で他の情報と照合することで個人情報(個人データ)になることを知りながら、データの提供元において個人を特定できないこと(個人情報(個人データ)にあたらないこと)を理由に、本人の同意を得ることなくデータを提供するという問題
この問題は、たとえば、DMPを利用したターゲティング広告などで問題になります。
問題点を図にまとめると、以下のとおりです。
既に説明したとおり、あるデータを第三者に提供するときに、「他の情報と容易に照合することができ、それにより特定の個人を識別することができるかどうか(個人情報にあたるかどうか)」については、そのデータの提供先ではなく提供元において容易に照合できるか、という基準で判断されます。
そのため、DMP事業者が依頼元などの企業に、cookieやIDに関連するデータを提供したとしても、データの提供元であるDMP事業者は他の情報と照合して個人を特定することができないため、個人情報(個人データ)を提供していない=本人からデータの提供に関する同意を取得する必要はないという整理がなされていたわけです。
同様の問題は、リクルートキャリアの内定辞退率データの提供サービスでも起きていました(いわゆるリクナビ問題)。サービス利用企業は、氏名などの個人情報の代わりにcookieやID等の情報を提供し、リクルートキャリアは受け取ったcookieやID等を基に個人を特定できない形で内定辞退率を算出し、新卒から第三者提供の同意を得ることなく情報提供を行っていました。
この点に関し、個人情報保護委員会は、リクルートキャリアに対して2019年12月4日「個人情報の保護に関する法律に基づく行政上の対応について」にて、以下のとおり、勧告の原因となった事実を指摘しています。
リクルートキャリア社は、内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた。
このように、本人からの同意を取得することなく、提供される側で個人情報(個人データ)となるデータの第三者提供が行われてしまうという問題を解決するために、「個人関連情報」が創設されました。
では、創設された個人関連情報は、この問題解決のために、個人関連情報に関してどのような義務を課しているのでしょうか。次の項目で確認していきましょう。
4 個人関連情報に関する義務とは
個人関連情報については、次の2者に義務が課せられます。
- 個人関連情報を受け取る者(第三者)
- 個人関連情報を提供する者(個人関連情報取扱事業者)
これらの者に課せられる義務を図にまとめると以下のとおりです。
(1)個人関連情報を受け取る者(第三者)に課せられる義務
個人関連情報を受け取る者には以下の4つの義務が課せられます。
- 同意取得義務
- 個人関連取扱事業者からの確認に対する虚偽の禁止
- 外国における個人情報保護制度等の情報提供
- 相当措置の継続的な実施
なお、3と4は、外国にある第三者が個人関連情報を受け取る場合に課せられる義務となっています。
①同意取得義務
個人関連情報を受け取る者(第三者)は、本人から以下の事項に関して同意を得た上で、個人関連情報を取得しなければいけません。
【本人から同意を取得しなければいけない事項】
第三者が個人関連取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の同意
2020年7月現在「cookieの使用に同意」ボタンは、この同意取得を明らかにするために、設置されているものと考えられます(あるいはGDPR(一般データ保護規則)の規則を遵守するため)。
もっとも、もし改正個人情報保護法を見越して「cookieの使用に同意」ボタンを設置しているのであれば、その同意取得の方法について注意する必要があります。
なぜなら、改正個人情報保護法では、同意取得をどのようにするべきか、その方法について定めがありません。今後個人情報保護委員会規則やガイドライン等で明らかになる予定であり、2020年7月現在の「cookieの使用に同意するボタン」がその基準を満たしていない可能性があるからです。
そのため、この同意取得義務に対しては、特にその同意の取得方法について、今後も情報を収集する必要があります。
②個人関連情報取扱事業者からの確認に対する虚偽の禁止
個人関連情報を受け取る者(第三者)が、個人関連取扱事業者から個人関連情報の提供を受ける際には、次の事項について確認が入ります。
- 本人から①で取得した同意を得ているか
- 外国の第三者である場合には、その外国における個人情報保護制度などの情報提供を本人に行っているか
これらの確認に対して、個人関連情報を受け取る者(第三者)は、偽ってはいけないことになっています。
たとえば、同意の取得や情報提供について、実際には行っていないのに、取得した、提供したと虚偽の事実を伝える等の行為を行うと、偽ったことになると考えられます。
③外国における個人情報保護制度等の情報提供
外国にある第三者は、個人関連情報を提供されることを予定している場合、本人から①の同意を得る際に、その本人にあらかじめ情報提供を行う必要があります。
具体的に行うべき情報提供としては、
- その国における個人情報の保護に関する制度
- その第三者が個人情報保護のために講ずる措置
- その他本人に参考となるべき情報
が挙げられます。
もっとも、これらの情報の提供方法については、改正個人情報保護法では明らかになっていません。そのため、今後個人情報保護委員会規則で明らかになった場合には、その提供方法を「cookieの使用に同意」ボタンにも反映させる必要があります。
④相当措置の継続的な実施
個人関連情報の提供先である外国の第三者には、「相当措置の継続的な実施」が求められています。改正個人情報保護法では、この「相当措置の継続的な実施」が具体的に何を指しているかは明らかにされていません。
もし、個人情報取扱事業者と同様の基準が求められるとすれば、「相当措置の継続的な実施」とは、次のいずれかを指すものと考えられます。
- 個人関連情報取扱事業者と個人関連情報情報を受け取る者(第三者)との間で、個人関連情報の取り扱いについて、適切かつ合理的な措置が取られていること
- 個人関連情報の提供を受ける者が、個人関連情報の取扱いに係る国際的な枠組みに基づく認定を受けること
具体的に想定される措置としては、個人関連情報取扱事業者と個人関連情報を受け取る者(第三者)との間で、個人関連情報の取扱に関する契約、確認書、覚書などを締結するといった合理的な措置をとったり、APECの参加国・地域が参加できる「APEC CBPRシステム」といったプライバシ―フレームワークへの適合性に関する国際的な認定を受けたりといった措置が挙げられます。
なお、「APEC CBPRシステム」はあくまでも個人データのやり取りに認められる「相当措置の継続的な実施」であり、個人関連情報では、措置として認められない可能性もあります。そのため、具体的な措置については何が認められるかは、ガイドラインを待たざるを得ない状況です。
(2)個人関連情報を提供する者(個人関連情報取扱事業者)に課せられる義務
個人関連情報を提供する者には以下の4つの義務が課せられます。
- 同意取得の確認義務
- 記録の作成・保存義務
- 外国の第三者による情報提供が行われていることの確認義務
- 相当措置の継続的な実施
なお、3と4は、外国にある第三者が個人関連情報を受け取る場合に課せられる義務となっています。
①同意取得の確認義務
(1)②でも説明したとおり、個人関連情報取扱事業者が個人関連情報を提供する場合には、個人関連情報を受け取る者(第三者)が本人から以下の事項について同意を取得したことを確認しなければいけません。
【取得を確認しなければいけない本人からの同意】
第三者が個人関連取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の同意
なお、具体的な確認方法については、今後、個人情報保護委員会規則で示される予定です。
②記録の作成・保存義務
個人関連取扱事業者は、個人関連情報を提供する際に、記録を作成し、一定期間、その記録を保存する必要があります。
改正個人情報保護法では、記録すべき事項として、
- 個人関連情報を提供した年月日
- 確認に関する事項
- その他個人情報保護委員会規則で定める事項
が示されていますが、記録すべき内容については、実質的に保護委員会規則で定めることになっています。また、保存期間についても、記録を作成した日から個人情報保護委員会規則で定める期間保存することになっています。
そのため、具体的な記録の内容や保存期間については、個人情報保護委員会規則で確認することになります。
③外国の第三者による情報提供が行われていることの確認義務
(1)②でも説明したとおり、個人関連情報取扱事業者が個人関連情報を提供する場合には、個人関連情報を受け取る者(第三者)が本人に対して以下の事項について情報提供したことを確認しなければいけません。
- その国における個人情報の保護に関する制度
- その第三者が個人情報保護のために講ずる措置
- その他本人に参考となるべき情報
具体的な確認方法については、個人情報保護委員会の規則で示される予定です。
④相当措置の継続的な実施
個人関連情報の提供先である外国の第三者に「相当措置の継続的な実施」が求められているように、個人関連情報取扱事業者にも「相当措置の継続的な実施」が求められています。個人関連情報取扱事業者が行うべき措置については、今後、個人情報保護委員会規則や、ガイドラインで明確になる予定です。
(3)個人関連情報に関する義務に違反した場合のペナルティ
これまで説明した個人関連情報に関する義務に違反した場合、違反した者はペナルティを負わなければいけません。場合によっては、懲役の可能性もあるという重いものとなっています。
①確認に対して虚偽を伝えた場合のペナルティ
前の項目でご説明した通り、個人関連情報を受け取る第三者が、個人関連情報取扱事業者から個人関連情報の提供を受ける際には、以下の事項の確認をされます。。
- 第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして認める旨の同意
- 第三者が外国の事業者である場合は、その外国における個人情報の保護制度などの情報提供を本人にしたかどうか
第三者は、上記の確認に関して偽ってはならないことになっています。
これに関して虚偽があった場合は、
- 最大10万円の過料
を科せられる可能性があります。
②個人関連情報の第三者への提供に関するペナルティ
個人情報保護委員会は、個人関連情報取扱事業者と個人関連情報を受け取る者(第三者)が、①で説明した義務違反以外の義務に違反し、個人の権利利益を保護するために必要があると認めるときは、その義務違反者に対し、
- 違反行為の中止
- 違反の是正に必要な措置を取ること
を「勧告」することができます。
この勧告に従わない場合で、個人の権利や利益に重大な侵害があり、緊急に措置を取る必要があると認める場合は、個人情報保護委員会は、
- 違反行為の中止
- 違反の是正に必要な措置を取ること
に関する「命令」をすることができます。
上記の命令に従わなかった場合は、
- 最大1年の懲役
- 最大100万円の罰金
のいずれかが科される可能性があります。
ここでいう勧告は、法的強制力はありますが罰則がないものである一方、命令は、法的強制力があり従わない場合罰則を伴うものと整理することができます。
このほか、個人情報保護委員会は、義務違反者の命令違反を公表することもできます。
5 いつから改正個人情報保護法のルールを守る必要があるのか
すでに改正個人情報保護法は公布されていますが、公布と施行の時期は異なります。
事業者はいつ頃をめどに対応しなければならないのでしょうか。
(1)2020年6月12日公布の改正個人情報の施行日とは
改正個人情報保護法は、2020年(令和2年)6月12日に公布されました。
新しい法律の施行は公布から2年以内ですので、2022年6月12日までに施行される見込みです。
また、個人関連情報等、改正個人情報保護法に関するガイドラインについては、今後個人情報保護委員会から発表される予定です。
(2)改正前に取得した「個人関連情報」の扱い
改正個人情報保護法が施行された後は、当然、第三者が本人から同意を取得した後でなければ、個人関連取扱業者から、個人関連情報の提供を受け取ることはできません。
では、改正前に第三者が改正個人情報保護法(その他、個人情報保護委員会規則、ガイドライン)に従って本人から同意を取得していた場合はどうでしょうか。
この場合、改正後の個人情報保護法に基づいた同意取得があったとみなされるため、改正個人情報保護法の施行後に改めて本人から同意を取得しなおす必要はありません。
6 小括
自社サイトの「cookieの使用に同意」ボタンの設置は、2020年7月の時点では義務ではありません。なぜなら、改正個人情報保護法がまだ施行されていないからです。
もっとも、施行前の同意取得も認められています。そのため、Webサイト上でユーザーデータ等を収集するDMP事業者などからcookieに紐づいた閲覧履歴や趣味、嗜好などの情報を受けて広告の出稿データなどに使用している場合は、改正個人情報保護法に関する個人情報保護委員会規則やガイドラインが出た後は、「cookieの使用に同意」ボタンを設置した方がいいでしょう。
7 まとめ
これまでの解説をまとめると、以下の通りです。
- Webサイト上でcookieを使用している全ての者が「cookieの使用に同意」ボタンを設置しなければならないわけではない
- 個人情報保護法上では、cookieは個人情報にあたる場合と当たらない場合がある
- 「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれでもないものをいう
- 個人関連情報については、①個人関連情報を受け取る者(第三者)と②個人関連情報を提供する者(個人関連情報取扱事業者)に義務が課される
- 個人関連情報を受け取る者(第三者)には、①同意取得義務、②個人関連取扱事業者からの確認に対する虚偽の禁止、③外国における個人情報保護制度等の情報提供、④相当措置の継続的な実施の4つの義務が課せられる
- 個人関連情報を提供する者(個人関連情報取扱事業者)には、①同意取得の確認義務、②記録の作成・保存義務、③外国の第三者による情報提供が行われていることの確認義務、④相当措置の継続的な実施の4つの義務が課せられる
- 改正個人情報保護法は、2020年(令和2年)6月12日に公布され、2022年6月12日までに施行される見込みである
- 施行前に個人関連情報について改正個人情報保護法に基づき本人から同意を取得した場合、施行後に改めて同意を取得しなおす必要がない場合もある
- 個人関連情報等、改正個人情報保護法に関するガイドラインについては、今後個人情報保護委員会から発表される予定である