改正個人情報保護法のクッキー規制


サマリー

改正個人情報保護法による個人関連情報の第三者提供規制は、ターゲティング広告目的のサードパーティークッキーなどデジタルマーケティング技術の利用に影響する可能性があるが、正確な規制適用条件は政令、委員会ガイドラインを待たなければならない。

1.改正個人情報保護法が成立
2.ターゲティング広告を規制する方針
3.個人関連情報の第三者提供規制
4.適正な個人データ利用義務の明確化
5.企業に求められる今後の取組

1.改正個人情報保護法が成立

個人情報の保護に関する法律等の一部を改正する法律(以下「改正法」)が6月5日、国会で可決成立しました。改正法は、公布の日から2年以内に施行されます。改正法は多くの重要な改正点を含みますが、その中でも、新設される「個人関連情報」の第三者提供に関する規制は、インターネット利用者のトラッキング、プロファイリング、広告ターゲティングなどに対する規制強化となる可能性があり、デジタルマーケティングに携わる事業者の関心が特に高いところです。

2.ターゲティング広告を規制する方針

個人情報保護委員会は、昨年12月に公表した制度改正大綱で、「端末識別子等の取扱い」に言及し、インターネットにおける行動履歴情報などのユーザデータを活用したターゲティング広告が広く行われていること、個人情報を含まないユーザデータがDMPなど提供先において他の情報と照合することにより個人データとなる場合があること、このようなユーザデータの利用は本人が関与する余地がなく、個人データの第三者提供を規制する現行法23条の趣旨を潜脱するものであることを指摘し、提供元(広告主、メディア)では個人データに該当しないものの、提供先(DMPなど広告プラットフォーム)において個人データに該当する場合、第三者提供を制限する規律を適用する方針を明らかにしました。

成立した改正法の中で、新規制に対応するのは以下の新設条文です。

(個人関連情報の第三者提供の制限等)
第二十六条の二 個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第二条第五項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第二十三条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。

3.個人関連情報の第三者提供規制 

新たな概念として、「個人関連情報」が定義されました。概ね、生存する個人に関する情報ではあるが、それ自身で、または他の情報と容易に照合して、特定の個人を識別することまではできないもの、と考えることができます。個人関連情報の典型例として、ウェブサイトで用いられるHTTP Cookie、モバイル端末のアプリで用いられる端末識別子などを通じて個人に関する情報(典型的には閲覧履歴など)を取得・利用する事業者が、社内で利用可能な他の情報と照合しても当該情報から特定の個人を識別できない状況における当該情報が想定できます。

第三者が個人関連情報を個人データとして取得することが想定されるとは、提供先の第三者が、その合理的に利用し得る他の情報と容易に照合して、特定の個人を識別することができる場合と考えられます。典型的には、ソーシャルメディアやeコマースプラットフォームを運営し、会員情報を管理する事業者が発行するサードパーティークッキーによって取得されるブラウザ識別子や閲覧情報などのデータが、タグを埋め込んだウェブサイトから当該事業者に提供され、当該事業者が会員情報と照合することによって特定の個人が識別できる場合です。また、閲覧者のアカウント管理をしていないウェブページにFacebook共有ボタン、「いいね!」ボタンなどのようなソーシャル・プラグインを埋め込む場合、埋め込み元ウェブページでは特定の個人を識別し得ない場合であっても、開示先のソーシャルメディア運営者は、アカウント情報との照合により、個人を識別できる場合があります。

このような形で第三者提供を行う場合には、(1)提供先が個人データとして取得することについて、本人の同意が得られていること、(2)提供先が外国にある場合は、同意に先立って、当該外国での個人情報保護制度、提供先が講じる個人情報保護措置などに関して情報提供されていること、の2点を開示元事業者が確認することが新たに義務づけられます。このような確認をしないで第三者提供してはならないという条文の文言から、情報提供および同意は、第三者提供に先立って事前に行われなければならない、すなわち事前の情報提供およびオプトイン同意が求められると考えられます。

新たな規制の対象となる第三者提供先の可能性として、プラットフォーマーとして会員情報を管理しつつ、サードパーティークッキーを発行し、ターゲティング広告事業も行っている事業者、具体的にはGoogle、Facebookなどのプラットフォーマーが考えられます。これら2社は2018年の世界デジタル広告費の過半のシェアを占め、我が国でも多くの企業がデジタルマーケティングのために利用しています。

個人関連情報の第三者提供について、本人への情報提供および同意が必要とされるのは、「個人データとして取得することが想定されるとき」とされています。「想定されるとき」の具体的内容、開示先が個人データとして取得するかどうかについて、開示元事業者は調査・確認義務を負うのか、開示先は開示元に対して個人データとして取得するかどうかについて情報提供をする義務を負うのかなど、運用の詳細については、今後、個人情報保護委員会のガイドラインなどを待つことになります。また、「個人関連情報データベース等」の正確な定義についても、政令で定めることとされています。

4.適正な個人データ利用義務の明確化

改正法でもう一つ、デジタルマーケティングに影響を与える可能性がある新規制があります。それは、適正な個人データ利用義務の明確化および個人データ利用に関する公表事項の拡大です。個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならないとされました(第16条の2)。何をもって禁止される利用態様となるかについての詳細は、今後ガイドラインで示されると思われます。

これと関連して、昨年12月に個人情報保護員会が公表した制度改正大綱では、個人データ取扱事業者がプライバシーポリシーなどで公表すべき事項として、個人情報取扱体制、講じている措置、処理の方法などを追加する方針が示されています。公表事項は政令に委任されているので、今回の法改正には含まれていません。上記の適正利用義務明確化と相まって、プライバシーポリシー等での情報提供範囲と利用の態様について規制が強化されることになります。

上記の個人関連情報第三者提供規制との関連では、個人情報保護委員会が制度改正大綱で言及した提供先であるDMPなど広告プラットフォームを運営する事業者においても、(公表事項を定める政令の内容によりますが、)その個人データ処理の方法などについて情報提供義務が拡大され、適正利用義務が課されることにより、第三者提供規制と相まって、様々な当事者が関与するデジタルマーケティングに関する規制が厳格化される可能性があると思われます。

5.企業に求められる今後の取組

上述の通り、政令、規則、ガイドラインを待たなければ適用条件・適用範囲が確定しませんが、これらの新規制に関して、企業において必要とされる対応は以下の通りです。

(1) 利用するクッキーやプラグインが新規制の適用を受けるかどうか確認
個人関連情報の提供先であるソーシャルメディアや広告エージェンシーがすでに保有する個人データとの照合により、提供に係る個人を識別できるかどうかを確認し、新規制の適用を受けるかどうかを確認しなければなりません。新規制の詳細な適用要件は今後、政令、ガイドラインで決まるので、これらを注視する必要があります。
(2) 施行までの間に自社ウェブサイトで必要な対策を講じること
改正法は公布の日から2年以内に施行されます。具体的な施行日は追って政令で定められます。新たな第三者提供規制の対象となるターゲティング・クッキーなどを利用している場合、改正法施行までに、クッキーバナーツールなどなどを利用して、ウェブサイト利用者に対する情報提供、同意取得、同意管理の準備を進めなければなりません。とくに個人を識別しうる立場にある広告プラットフォーム事業者は、プライバシーポリシーにおける公表事項が拡大されること、適正利用義務が課されることを意識する必要があります。
(3) 事業活動を行う国・地域の規制に合わせた対策を講じること
EUではePrivacy指令に基づく各国法およびGDPR、米国では連邦取引委員会法(FTC法)、児童オンラインプライバシー保護法(COPPA)、カリフォルニア州消費者プライバシー法(CCPA)などの法律により、クッキー等の利用が規制されています。新興国でもデジタルマーケティングを目的とするクッキー等の利用に関する規制が増えつつあります。我が国でも改正法によるデジタルマーケティングの規制強化がやがて始まります。国際的に事業活動を展開する企業は、これらの複数の国・地域の規制にそれぞれ対応した対策を講じる必要があります。

世界のウェブブラウザ市場で6割超のシェアを占めるChromeは、サードパーティークッキーの利用をいずれ中止し、広告ターゲティングのための新たな仕組みをオープンな場で開発・普及することを発表し、すでに議論と作業が始まっています。デジタル・マーケティング業界では、サードパーティークッキーを利用しない広告ターゲティングの仕組みの開発に向けて取組が進んでいます。今回の改正法はクッキーという特定の技術だけに適用されるものではありません。新たなデジタル・マーケティングの仕組みを採用する場合、改正法を含む世界の主要なプライバシー保護法の規制を遵守するためにどのような対応が必要か、注視を続ける必要があると思われます

改正法案の要綱、法律案・理由、新旧対照表など(個人情報保護委員会・公式ウェブサイト)
https://www.ppc.go.jp/news/press/2019/20200310/

関連記事

個別説明をお申込希望の方

個別説明をお申し込み希望の方は以下のフォームをご記入の上、送信ボタンを押してください

*のある項目は入力必須です。