ブログblog

かんたん解説【2022年4月施行】改正個人情報保護法「cookie」は規制対象?

Writer: akino 更新日:2022/05/24

こんにちは、デジナーレのA.水野です。

日本でも4月に「改正個人情報保護法」が施行されましたね。最近弊社でもGDPRやこの改正個人情報保護法を意識したWebサイトの対応がふえてきました。
みなさんのサイトの対応はお済みですか?

今回は改正ポイント6つのうちの1つ、Webサイトに携わる人が気になるCookieの取扱いについて解説していきます。
Cookieとは?
Cookieが規制対象になる場合、ならない場合
確認行為について明示されていること3つ
まとめ

Cookieとは?

Cookieとは、簡単にいえば「閲覧者の情報」をブラウザに保存する仕組みです。
情報を記録することで、ユーザーは2度目にサイトを訪れた際に情報の再入力なしでログインできる、商品を購入する際に住所などの入力を省くことができるといった利点があります。Cookieはユーザーのみだけでなく、サイト運営側にとっても重要なものです。Cookieによって取得した情報で、ユーザーに合わせた情報を提供することができ、またユーザーに合わせた広告を掲出する等にも活用されます。



cookieには、以下の2種類があります

①自社《サイト運営企業》が発行するファーストパーティクッキー(1st Party Cookie)
 ┗自社のWebサイトに訪れたユーザーの情報を保存するために活用されている


②第三者《サイト運用企業以外》が発行するサードパーティクッキー(3rd Party Cookie)
 ┗複数のサイトを横断して閲覧した履歴を追跡していくために使用し、その情報をさまざまなデータと紐付けて活用されている。
  ウェブ広告のターゲティング等に利用
  

Cookieが規制対象になる場合、ならない場合
Cookieは「個人関連情報」という位置づけで、これ単体では「個人情報取得」には該当しません。
ただし、個人情報と紐づけた場合は、Cookie情報も「個人情報」になってしまいます。
そのため、個人情報と紐づける場合はCookie情報取得についてユーザーの同意を得る必要があるとされています。


下の図のように、A社単体の場合は個人情報を取り扱っているとは言えませんが、
B社のCookie情報の使い方は、個人情報保護法の規制対象になると考えられるのです。


cookie解説図

つまり、下記のようになります。

A社は個人情報を提供しているわけではないのでユーザーからの同意不要
B社は、個人情報と紐づけるため、同意が必要と考えられます。
ちなみに、実際には個人情報と紐づけしていなくても、紐づけが可能な環境であれば、同意を取っておいた方が安心ですね。

なお、図の左下の方にあるX社・Y社においても同様になります。
例えば、Y社は個人情報と紐づけられない環境であれば、cookieによって得られる情報を共有していてもユーザーの同意は不要とされてるようです。

こうなってくると、ECサイトや会員制サイトはほぼCookie同意管理が必要になってくるのではないでしょうか?
最近、急激にこのCookie同意バナーが出現するサイトが増えてきたのはこの改正が施行されたからなのです。

みなさまのサイトは実装済みでしょうか?
まだお済でない方はぜひ、弊社までご相談ください。
個人情報取得同意ツールのご紹介
個人情報に関する法律、種類や罰則は?

同意の確認方法について明示されている3つのこと
1.提供元《上の図でいうA社》は、同意を取得したことについて、提供先《上の図でいうB社》の申告内容を一般的な注意力をもって確認すれば良い

2.提供先《B社》が同意を取得したと虚偽の申告をして、個人関連情報を個人データとして取得した場合、「不正取得」に該当する場合がある

3.提供先《B社》から提供元《A社》に対して、本人同意を取得しているID等を提供する行為は、個人データの第三者提供に該当する場合があるが、確認行為において必要な情報のみを伝える場合には、本人の同意取得は必要ない

確認行為とは
① 同意取得義務(改正26条の2第1項1号)  「個人関連情報取扱事業者」から「個人関連情報」の提供を受ける「第三者」は、「個人関連情報」(「個人関連情報データベース等」を構成するものに限る。)を個人データとして取得することが想定されるときは、法23条1項各号に該当する場合を除いて、「個人関連情報取扱事業者」から「個人関連情報」の提供を受けて本人が識別される個人データとして取得することを認める本人の同意を取得する必要があります(改正26条の2第1項1号)。
→WEBサイトでいうところのクッキー同意バナーですね
 DMP業者等から個人情報関連情報を取得してあなたを識別させてください、いいですか?という確認に同意したユーザーのIDをDMP業者等に「個人を識別されない状態の情報」で提供する場合は本人の同意取得は必要ないとされているようです。

まとめ
如何でしたでしょうか。今回は改正個人情報保護法で変わるWebサイトcookie管理についてお伝えしました。

AppleはWebブラウザsafariでのサードパーティクッキーの利用をすでに廃止していますがこれに引き続きGoogleもchromeでのサードパーティクッキー利用が2023年半ばには廃止されてしまいます。
この流れを受け、企業が自らデータを集め、営業やマーケティングに活用するという流れが強くなっています。自社で集めたファーストパーティデータは、本人の同意をしっかりと取得して管理を徹底すれば、非常に強力な武器となり得ますよね。

データ収集や管理を得意とするCDP(カスタマー・データ・プラットフォーム)や、顧客へのレコメンドやプッシュ通知などを最適化するMA(マーケティング・オートメーション)ツールなど、ファーストパーティデータを活用するためのSaaSはデジタルマーケティングにおいて基本設備となってきています。

また、少し壮大な話になってきますが、日本の高齢化や人口減少でマーケットに限界を感じれば、海外マーケットに向けたD2Cも今後もっと増えてくるでしょう。そうなったときはGDPRやCCPAの観点の意識も非常に大切になってきます。

次回からは、
・cookie同意管理ツール(CMP)の導入のポイント

についてお伝えしていきたいと思います。

それではまた!