- 2026年 5月 8日
2026年個人情報保護法改正案では、
- Cookie
- 課徴金制度
- 委託先管理
が重要テーマとして注目されている。
これらの全体像については、
「2026年個人情報保護法改正案 Cookie規制・課徴金・委託先管理の3大テーマと『今から備える』実務対応」
で整理したところだが、本シリーズでは、各テーマについて実務上の論点をより詳しく解説する。
第1回となる今回は、Cookie ID等を対象とする「連絡可能個人関連情報」を取り上げる。
1. 「連絡可能個人関連情報」とは?
改正案では、従来の「個人関連情報」のうち、
特定の個人に対する連絡その他の情報の伝達に利用することができる一定の記述等
を含むものを、「連絡可能個人関連情報」と定義している。
具体例としては、
- Cookie ID
- 広告識別子
- 電話番号
- メールアドレス
- 特定個人の所在場所に関する情報
などが想定されている。
従来から、Cookie等は「個人関連情報」として整理されていたが、今回の改正案では、特定個人への働きかけに利用可能な情報について、より強い保護の規律が導入される点が特徴だ。
2. 何が規制されるのか?
改正案では、「連絡可能個人関連情報」について、
- 不適正利用
- 不正取得
が禁止される(31条の2)。
下位法令、ガイドライン、Q&A等による制度の詳細化を待つことになるが、Cookie等の利用そのものを一律に規制するわけではなく、犯罪行為・それに準じる不当な行為につながるような利用など、利用態様が規制の中心となる。
そのため、事業者においては、
- Cookie等を含むデータの棚卸し(データマッピング)
- データフローの可視化
などを行い、
「どんなデータを、何の目的で、誰が利用しているのか」
を説明・管理できる状態にしておくことが求められるだろう。
3. まとめ
改正法の詳細は下位法令、ガイドライン、Q&Aを待つことになるため、現時点で直ちに全面的な制度改修や運用変更を求められるものではない。
しかし、
施行を待ってから対応するのではなく、まずは既存のデータ管理実態を整理し、改正内容との関係を段階的に確認していくこと
が現実的な対応といえる。
また、Cookie ID等の利用については、その取扱いは利用態様や他の個人情報との関係等によって個別に検討される余地があると考えられるため、今後示されるガイドライン等も踏まえながら、必要な範囲で運用の見直しを検討していくことになる。
今回の記事で焦点を当てたCookie ID等を対象とする「連絡可能個人関連情報」に関する規制だけではなく、改正法全般の遵守に向けた準備期間となった今、
- データフローや保有データの棚卸し・可視化
- Cookie ID等を含む各種データの取得・利用状況の整理(特に第三者提供や外部連携の有無の確認)
- 委託先・再委託先を含む管理実態と契約内容の点検
- ログ取得やアクセス管理など既存システム上の統制状況の把握
- 課徴金リスクも踏まえた社内報告・判断プロセスの整理
- マーケティング・IT・法務等の関係部門間の連携体制の再確認
などを通じて、現行のデータガバナンスの全体像を一度整理しておくことが重要だろう。
