最近、「Cookieに同意しますか」といったポップアップが多いなあ…。よく分からなくて「同意します」を押しているのだけれど、本当に大丈夫なのか不安だなあ。

こんにちは！弁護士のワタナベです。
どうやらCookieの同意管理に悩んでいるようですね。

今回は、このCookieとは何者なのか、そして今世間を騒つかせている同意管理について弁護士のわたしから説明していきますね！

最近よく聞く「Cookie」とはなんでしょうか？

Cookieとは「サーバ側で利用者を識別するために、サーバから利用者のブラウザに送信され、利用者のコンピュータに蓄積させる情報」のことをいいます。

日本では、今までCookieは、プライバシーという文脈では取り扱われていたものの、単体では個人情報保護法の対象外でした。しかし、2022年4月に改正個人情報保護法が施行され、新たに「個人関連情報」という概念が定義・導入されたことにより、第三者提供先において、個人データとして取得することが想定される一部のCookieが個人情報保護法の規制対象になったため、そのことに関するご相談も多く受けています。

さらに感度の高い、もしくは海外進出している企業だと話は変わってきます。EUのeプライバシー指令や2018年に施行されたGDPRでは、Cookieを正しく取り扱う必要があります。このため、「GDPR対応で何をすればよいのか？」という観点から、Cookieを正しく取り扱わなければならないという意識が高まってきました。

つまり、Cookieは個人関連情報に含まれるということになるということでしょうか。

「はい」とも、「いいえ」とも回答できます。

その理由を説明するため、ここでは一旦定義に立ち返ってみる方がいいと思います。（個人情報の保護に関する法律）

そもそも個人情報保護法の定義において個人関連情報は、生存する個人に関する情報から「個人情報」「匿名加工情報」「仮名加工情報」を除いたものだとされています（通則編GL2-8 個人関連情報（法第2条第7項関係））。

個人関連情報の定義を理解するうえで重要なのは、個人を識別できるかどうかであり、端的にいえば「人が関わる情報はすべての情報が個人関連情報」となり得ます。

したがって、サーバへのアクセス情報を把握するCookieは、個人に関する情報であることから、情報の紐づけによってCookieが個人情報に該当しない限り、個人関連情報となります。

Cookieに関し、最近よく話題になるものとして、「3rd party Cookie」があります。個人が閲覧していたサイトのドメイン以外から発行されたCookieのことをいい、ターゲティングなどを行うときに利用されます。もし、3rd party Cookieを提供される第三者が、当該Cookieに紐づくユーザーの個人データを保有していた場合、これは個人関連情報の第三者提供の制限の対象となります（通則編GL3-7個人関連情報の第三者提供の制限等（法第31条関係））。

Cookie以外にも個人関連情報はありますか？

個人情報保護委員会が挙げている具体例としては、個人情報に紐づいていない「インターネットの閲覧履歴」や「位置情報」などがあります。また、身近なものでいえば「レシート」「電話番号」なども個人関連情報に該当することがあります。 ただし、会員証などを利用せず、現金で購入したレシートは、通常は、特定の個人と紐づけるのは困難です。「メールアドレス」単体は、それ自体で社名と個人名から特定の個人を識別できる場合には個人情報に該当しますが（通則GL2-1 個人情報（法第2条第1項関係））、それ以外の場合には個人関連情報になります。

ただ、個人に関する情報が何かによっても変わるため、イメージが湧きづらく、線引きしづらいのが現状です。したがって、個人関連情報としてしっかりと分類するためには、「個人情報」「匿名加工情報」「仮名加工情報」の特徴もあわせて理解しておく必要があるでしょう。

Cookie規制により、企業はどのような影響がでてくるのでしょうか？

先ほど個人関連情報について話したように、企業が、本人以外の第三者から、個人情報に紐づいていないCookieを個人データとして取得する場合、本人からの同意取得が必要になります。このため、法改正により、広告関係でCookieを第三者から譲り受けているデジタルマーケティングなどの企業などに大きな影響が出ており、対応に苦慮した企業も多いと思います。

Cookieを用いたビジネスモデルを今後も継続するには、自社における情報が個人データとなるのか、しっかりと棚卸しを行う必要があります。

とはいえ、個人関連情報の追加によりCookieが提供先で個人データとなる場合には、プライバシーポリシーの変更が必要であるなど大変ではあるもののCookie情報の提供先企業が同意を取得することが第一といえるでしょう（通則編GL3-7-2 本人の同意の取得方法）。

同意管理ですか…。最近だと、企業のHPなどで「Cookie使用同意しますか」というポップアップをよく見るようになりました。

現時点で国内のサイトなどでよく表示されているCookieの同意取得ポップアップは、EUのeプライバイシー指令に対応するために出しているか、もしくは、パーソナルデータを取り扱うに際してプライバシー保護の観点から同意取得しているものが大半だと考えています。

理由としては、ポップアップが、必ずしも、個人関連情報の同意取得に必要となる要件を満たしているわけではないからです。

個人関連情報の提供元がポップアップで同意を取得する場合、提供元が提供先に代行して同意取得しないといけないため、個人データとして取得する提供先の第三者を個別に明示するなどした上で同意を得る必要があります（通則編GL3-7-2 本人の同意の取得方法）。しかし、今のところ、この要件を満たしているポップアップ表示はほとんどないと思います。

個人関連情報に関する規制はあまりどこまで守られるかがわからないところがあり、その理由は、「個人関連情報に関する規制が複雑なこと」と「個人関連情報に関する規制が緩いこと」などにあります。

1つ目の個人関連情報に関する規制が複雑なこととは、個人関連情報に関する規制では、提供先が本人の同意を得ることが原則で、提供元は提供先が同意を得ていることを確認するという構成になっており（通則編GL3-7-2 本人の同意の取得方法）、個人データの第三者提供の場合に提供元が本人同意を得るのに比べて、複雑になっています。ちなみに、GDPRでは、個人を識別できる情報自体が、必ずしも特定の個人を識別できなくとも保護対象となっているため、個人関連情報という概念は存在しません。

2つ目の個人関連情報に関する規制が緩いことについては、提供先で本人から同意を取得する場合、対象となる個人関連情報を特定できるように示せばよいとされているので、提供先がプライバシーポリシーなどで一度包括的な同意を取得すれば法的に問題はないことになります。

さらに付言すると、個人関連情報の規制はできたものの、企業外からは、個人関連情報をどのように取り扱っているかは分からないため、取扱いが問題となること自体が非常に限定的と考えられます。

EU圏では同意取得は必須なんですね。

はい。そういうことになります。

EU圏などeプライバイシー指令が適用される国や地域でビジネスを行う場合、Cookieで取得した情報を利活用するためには、オプトイン、つまりユーザーに対してCookieの利用について同意を取得する必要があります。

先ほどのポップアップとの関連では、EU圏内でビジネスを行い、eプライバイシー指令への対応として英語版のホームページで同意取得している企業が、プライバシー保護を手厚くする観点から日本語版でも同様に同意取得を行っているケースが多いのではないかと考えています。

EU圏内ではeプライバイシー指令によってCookie取得段階でポップアップが必要で、最近国内で「同意取得」のポップアップを見るのもこの影響だということですね…なるほど。ということは、今後国内やEU以外でも個人情報保護法委員会が同じようなCookie規制をしていく流れになるのでしょうか？

個人情報保護法が現在個人関連情報として規制しているのは、個人関連情報を第三者に提供するもしくは第三者から提供を受ける場面に限定されており、Cookieを本人から取得する段階で保護しているわけではありません。ただし、将来的にはCookieを個人情報として取り扱って、EU圏内と同じような対応を行う可能性はあります。

というのも、国内でも2015年の個人情報保護法の改正当時から、Cookie単体を個人情報として規制するかは議論されています。さらに、一般的な話として、プライバシーの保護基準をGDPRに合わせていく傾向が世界的にあります。

では、EU圏以外はどうなのか。アメリカではプライバシー一般を保護する連邦法上の制度はなく、各州で規制されています。代表的なのはカリフォルニア州の「CCPA」ですね。このCCPAを皮切りに、各州でも規制するような動きがあり、近年では連邦法でも規定しようという動きが強くなっています。

また、AppleやGoogleは、ターゲティング目的に情報収集に利用されている3rd Party Cookieを規制する流れを作っており、今後、Cookie規制の流れはさらに高まっていくでしょう。

最後にCookieを含んだ個人関連情報で、今後企業が気をつけることはありますか？

2022年4月の改正個人情報保護法施行にともなって、焦って自社で保有している個人情報を棚卸しした企業が多いと思います。しかし、これからも個人情報に限定せず情報を保護しようという流れは全体的に強くなっており、令和4年に改正された電気通信事業者法でも、個人情報以外の情報も保護していく流れになっています。

特定の個人を識別できる情報ではない個人関連情報でも、大量にかつ長期にわたって取得していれば、実際には、個人を特定できる可能性が高まります。例えば、位置情報についても、連続的に蓄積されれば、個人情報に該当する場合があります（通則編GL2-8 個人関連情報（法第2条第7項関係））。そして、情報を持っている企業であればあるほど、特定の個人を識別しやすくなります。

したがって、明らかに個人情報に該当する情報だけを保護して満足するのではなく、今一度情報の流れを整理し、今後は、特定の識別子など、一定の個人関連情報を含めて管理していく意識が重要になります。

なるほど！同意管理にもちゃんと意味があるんですね。とはいえ、個人情報を取得した企業側の管理も大変そう…。データ活用ってよく聞きますが、簡単ではないんですね。

また分からない事があったら教えてください！

いつでもお待ちしていますよ！