いちから分かる!スモールビジネスのためのCookie入門:第3回「Cookieは法律でどう扱われる?日本のCookie規制」
「Cookieにはいろんな種類がある」というテーマでお届けした前回の記事では、Cookieの分類や広告のしくみについて見てきました。
では、実際にホームページを運営する場合、こうしたCookieはどんなルールのもとで扱えばいいのでしょうか?
今回は、個人情報保護法をはじめとする日本国内の法律との関係を中心に、「日本におけるCookie規制」についてやさしく解説していきます。
Cookieと個人情報保護法の関係
Cookieは「個人情報」ではない、でも…
Cookieは、ユーザーがサイトを訪れたという情報や、閲覧履歴などを記録するしくみですが、それ単体では「このCookieは〇〇さんのものです」と個人を特定する情報は含んでいません。
そのため、Cookie情報自体は、個人情報保護法における「個人情報」にはあたりません。「個人情報とは何か」については、こちらの記事で詳しく説明しています。
しかし、Cookieと他の個人データ(たとえば、会員登録時に入力された氏名やメールアドレス、商品購入履歴など)を組み合わせると、特定のユーザーを識別できてしまうケースがあります。
このような場合、その組み合わせ全体は「個人情報」として個人情報保護法の対象になります。たとえば、「Cookieに記録された閲覧履歴」と「会員情報に登録されたメールアドレス」が紐づいて管理されていれば、その全体として個人情報に該当することになります。
特に、会員制のサイトや、Googleアナリティクスのよ��うなアクセス解析ツールを使ってユーザーの行動を詳しく分析しているサイトでは、この点に十分注意する必要があります。
「個人関連情報」としてのCookie
2022年の改正個人情報保護法では、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」を「個人関連情報」として新たに定義しました(個人情報保護法第2条第7項)。
そして、「Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴」は、個人関連情報の事例のひとつとされています(個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」)。
この改正の背景には、Cookieや広告識別子などのデータが、企業のマーケティングや広告配信に広く利用される一方で、ユーザーが自分の情報がどのように使われているか分かりづらいという課題がありました。そのため、ユーザーのプライバシー保護を強化しつつ、企業に対しても一定の説明責任を課すために、「個人関連情報」という新しい概念が導入されたのです。
たとえば、ある事業者が収集したCookie情報を、別の第三者に渡して、その第三者が他の個人データと組み合わせて利用する場合 ーこれは、「個人関連情報の第三者提供」に該当します。
このようなとき、提供元の事業者には、提供先がどんな情報を使って個人を特定するのか、目的は何かなどについて、確認義務や記録義務が発生します。別の言い方をすると、個人データを第三者に提供する際と同じ義務を守る必要があります。
つまり、「Cookie情報を、どこか別の会社に渡していませんか?」という点が、法的にひとつのポイントになってくるのです。もし、あなたがCookie情報を第三者に渡しているならば、個人情報保護法の第三者提供の義務を守らなければなりません。
サイト運営者なら知っておきたい「外部送信規律」
多くの事業者は、ご自身でホームページを作ったり、ブログやSNSを運営したりして、ネットを使った集客や情報発信を行っていると思います。
特に、あなたが、サイトやアプリを通じてユーザーの情報を外部に送信することがある場合、「外部送信規律(がいぶそうしんきりつ)」という法律上のルールにも注意が必要です。
「外部送信」とは、サイトやアプリを開いたとき、ユーザーの端末(スマホやパソコン)から、他社のサーバーにデータが送られることです。
2022年の電気通信事業法の改正に伴い、外部送信規律が導入されました。外部送信規律については、総務省のパンフレット「外部送信規律について」がとても分かりやすいので、ご一読をおススメします。
「外部送信規律」が導入された背景には、ユーザーの個人関連情報(Cookieや広告識別子など)が、本人の知らないうちに外部の事業者へ送信されるケースが増えたことがあります。これにより、ユーザーが「自分のデータがどう使われているのか分からない」と感じることが多くなり、透明性の向上が強く求められるようになりました。
対象になるのはどんな事業者?──ポイントは「他人のためのサービスかどうか」
外部送信規律の対象になるのは、「電気通信事業者」や「第三号事業者」と呼ばれる、他人のためにインターネットを使った通信サービスを提供している人や会社です。
ここでのポイントは、「そのサービスが、他人のためにオンラインサービスを提供するもの�であるか」です。たとえば、ユーザー同士のメッセージ交換ができるチャットアプリやSNS、掲示板などは、他人のために通信を仲介する仕組みを提供しているため、対象となります。
また、検索エンジンや、ニュースサイト・キュレーションサイトなど、多くのユーザーに情報を届けることを目的としたサービスも同様に、「他人のためにオンラインサービスを提供するもの」とされ、外部送信規律の適用対象です。
一方、次のようなサイトは「自分のサービスのための情報発信」であり、原則としてこのルールの対象にはなりません。
・自社のオンラインショップや予約サイト(例:小規模オンラインショップ、レッスン予約サイトなど)・法人や個人事業主の事業紹介サイト・個人の趣味や活動を発信するブログ(例:料理ブログ、育児記録ブログなど)
これらのサイトは、自社商品や�サービスの紹介、販売、広報活動を目的としており、他人のためにサービスを提供するものではないからです。
つまり、あなたの運営するサイトが「誰か他の人のためのサービス提供の場」になっているか、それとも「自分のビジネス紹介のため」かによって、外部送信規律の対象となるかが決まります。
事業者がしないといけないことは?
もしあなたのサイトで外部送信に該当する仕組みを使っている場合、次のような対応が必要になります。
どんな情報が送られているかを特定する
Cookieの内容、広告ID、閲覧履歴など、送信している情報を確認しましょう。
送信先とその目的を明確にする
情報が送られる相手(たとえばGoogleやMetaなど)と、広告配信や分析などの目的をまとめます。
ユーザーに分かるように説明する
ホームページ上でプライバシーポリシーやCookieポリシーを用意して、誰でも見られる状態にしておくことが必要です。
必要に応じて「同意」や「オプトアウト」の仕組みを用意する
たとえば、「Cookieバナー」などで事前に同意を取る方法や、「ここをクリックすればオプトアウトできます」といった設定ページへのリンクを設ける方法があります。
海外のCookie規制もチェック
日本国内のCookie規制について見てきましたが、グローバルな視点に立つと、実は日本よりもはるかに厳しいルールを採用している国や地域があります。とくに、EU(欧州連合)とアメリカでは、Cookieの利用について明確な規制が存在しています。
EU:事前同意が原則、同意の質も問われる
EUでは、「GDPR(一般データ保護規則)」と「eプライバシー指令※」という2つの法制度が連携して、Cookieの利用に関するルールを定めています。Cookieに関しては、ユーザーのプライバシーを守るため、原則として事前同意が求められるという共通のルールが定められています。
�特に特徴的なのは、Cookieの利用には原則として「ユーザーの事前同意」が必要であるという点です。つまり、ユーザーがCookieの使用に同意する前に、勝手にCookieを収集したりすることは原則として認められていません。
多くの欧州のウェブサイトでは、ページを開いたときに「Cookieバナー」が表示されます。このバナーは、単に「Cookieを受け入れる」と表示するだけでなく、「どの種類のCookieを使うか」「どの目的で使うか」といった情報を明示し、ユーザーが自分で選択できるようにする必要があります。
また、「同意しないとサイトが見られない」「同意ボタンを大きく、拒否ボタンを目立たなくする」といった手法は、いわゆる「ダークパターン」として禁止される方向にあります。単に同意を得れば良いというものではなく、“自由な選択”ができる状態でなければ、同意とは認められないという厳しいルールです。
アメリカ:州ごとに異なるが、カリフォルニア州の規制が中心
アメリカでは、EUのような連邦レベルでの包括的なプライバシー法は存在していませんが、州単位で個人情報保護法が制定されつつあります。その中でも特に有名なのが、カリフォルニア州の「CCPA(カリフォルニア州消費者プライバシー法)」です。
この法律では、Cookieを含む個人情報の収集・利用について、ユーザーに対して事前に「どのような情報を、どんな目的で利用するのか」を通知することが義務付けられています。さらにユーザーは、自分の情報が第三者に共有されたり、販売されたりすることに対して異議を唱える権利を持っています。このため、多くのウェブサイトでは「Do Not Sell My Personal Information(私の情報を販売しないでください)」というリンクを設け、ユーザーが自らその意思を表示できるようにしています。
このように、アメリカでは企業がユーザーのデータをどのように扱っているか、よりオープンに説明し、ユーザーがその取り扱いをコントロールできるようにすることが求められています。
海外展開を考えるなら「グローバル基準」の理解が必須
これからECサイトを海外向けに開く、外国人観光客向けサービスを展開する、あるいは海外の広告ネットワークを利用する ーそのような場面では、日本国内のルールだけでなく、EUやアメリカのCookie規制との違いを正しく理解しておくことが不可欠です。
まとめ:法律を味方に、安心できるウェブサイト運営を
今回は、日本におけるCookie規制の全体像について解説しました。
Cookieは、個人情報保護法や電子通信事業法の外部送信規律によって規制されるだけでなく、JIAAのガイドラインや総務省・経産省による指針など、法律以外にも参照すべき実務上のルールも存在します。また、海外では、より厳しい規制があることは、説明し�たとおりです。
法律やガイドラインに対応することは、「義務」ではありますが、それ以上に「信頼されるサイト」を作るための大切な一歩です。スモールビジネスオーナーにとっても、Cookie規制の基本的な知識を学ぶことは重要です。
次回は、Cookieポリシーについて、どんな事業者が必要になるのか、作成のポイントなどについて説明します!
※eプライバシー指令は、電子通信のプライバシー保護を目的としたEUの「指令」であり、各加盟国が自国の法律として導入することで効力を持つ仕組みです(これに対し、GDPRはすべての加盟国に直接適用される「規則」です)。このため、eプライバシー指令については、国によって適用のされ方に若干の違いがある点も特徴です。
参考
個人情報の保護に関する法律についてのガイドライン(通則編)-個人情報保護委員会
「外部送信規律について」-総務省