- 2024年11月21日
※すべてを見るには記事下のボタンからeBookをダウンロードしてください。
欧州・米国・日本のクッキー規制に対応したクッキーバナー実装と運用ルール策定時の重要ポイント~改正電気通信事業法や新CCPA(CPRA)についても解説
多くの企業でDXによる個人データ利活用が進められる中、クッキーやその類似テクノロジーによるユーザーデータの収集や利活用に対する規制が世界各国で強化されてきています。
欧州では引き続きGDPR(一般データ保護規則)違反による制裁事例が多く出ており、こうした事例からの学びも踏まえてクッキーバナーの実装を行うことが重要です。
米国ではCPRA(カリフォルニア州プライバシー権法)による改正を受けて、2023年1月1日に施行された新CCPA(カリフォルニア州消費者プライバシー法)により、Opt-Out Preference Signalsへの対応をはじめ、Webサイト管理者が留意すべきクッキーバナー実装に関連した多くの規定が盛り込まれています。
日本ではクッキーの利用に関わる規制として、主に、2022年4月1日に施行された改正個人情報保護法より新設された個人関連情報第三者提供規制、そして今年2023年6月16日に施行された改正電気通信事業法より新設された外部送信規律の2つの規制があります。
本書では、グローバルに事業を展開されている企業様の関心が特に高い欧州・米国・日本におけるクッキー規制の内容を分かり易くまとめ、クッキーバナーの実装により法令遵守対応を行う上での重要ポイントと、クッキーバナーを導入した後に必要となる運用のための社内ルールに定めるべき内容について詳細に解説いたします。
*1 General Data Protection Regulation:一般データ保護規則
*2 California Consumer Privacy Act:カリフォルニア州消費者プライバシー法
留意事項:
- 当社は、本書の提供に当たり最善の注意を払っておりますが、その正確性、完全性その他質的事項について保証や法的助言を行うものではありません。
- 貴社は、貴社の責任において本書に関する全ての経営上の判断、本書の検討・利用に関する判断及び本書が貴社の目的に適合するか否かの判断を行うものとし、当社はこれらの判断につき一切の責任を負いません。
お断り:
- 本書では、Webサイトやモバイルアプリで利用される他の追跡技術(LocalStorage、トラッキング・ピクセル、デバイス・フィンガープリンティング等)も含め、便宜的にクッキー(Cookie)と記載しています。
- クッキーバナー実装例については、当社が取り扱いをしているOneTrust社のクッキーバナーツールを用いて解説しています。
第1章 各国法に対応したクッキーバナー実装の重要ポイント
1-1. 各国のクッキー規制の最新動向(2023年7月時点)
下記の世界地図は、2023年7月時点での世界各国のクッキー規制の整備状況を表したものです。
出典:IIJビジネスリスクマネジメントポータル(BizRis)
オレンジは、クッキーの取扱いについて独自の規制がある国、黄色は独自の規制はありませんが、クッキーにより取得されるデータも個人データに該当する、もしくは該当する可能性が高く、プライバシー保護法の下で規制対象になると考えられる国、濃い緑はクッキーにより取得されるデータも個人を特定できるその他の情報と紐づけられることによって規制対象となる場合がある国となっています。
本章では、この中で日本のグローバル企業のご担当者様の関心が得に高い欧州、米国カリフォルニア州の規制に加えて、日本の個人情報保護法、そして先日2023年6月16日に施行された改正電気通信事業法による規制について、それぞれの規制の要点とクッキーバナーで対応を行う際の実装の重要ポイントについて解説します。
1-2. 欧州GDPR編
1-2-1. 欧州のクッキー規制の概要
欧州では、GDPRとePrivacy指令によりクッキーの取扱いが規制されています。GDPRでは、個人を直接特定することはなくブラウザを一意に識別するに留まるクッキーも、間接的に個人を特定し得るため、ほとんどの場合個人データに該当し保護の対象となります。ePrivacy指令は、電子通信における秘匿性の確保とプライバシー権の保護のためのルールを定めている指令で、その内容は欧州各国において国内法として取り入れられています。ePrivacy指令では、個人データであるかどうかに関わらず、クッキーを利用した電子通信端末装置の読み書き機能の利用が規制されています。なお、英国においてもUK GDPRそしてePrivacy指令を取り込んだ国内法であるPECR *3によって同様の規制がされています。
欧州におけるクッキー規制の内容を一言でいえば、「クッキーの取得と利用について、ユーザー(データ主体)に対して明確かつ包括的な情報提供とオプトインによる同意取得が必要」となります。
有効な同意の要件はGDPRによって定められており、概ね以下の通りです。これらの要件を満たさない同意は無効となります。
- クッキーによるデータ処理の目的・開示先・保持期間等について明確かつ包括的な情報提供をユーザーに行ったうえで取得した同意であること
- ユーザーが自由に与えた同意であること、つまりサービスを利用するために同意の選択を強要していないこと
- 特定されたデータ処理の目的毎に同意を取得すること
- 曖昧ではない、明確で肯定的な行為(例えばチェックボックスにチェックを入れる、スライドスイッチのドラッグ等)により取得した同意(オプトイン同意)であること
- クッキーを実際に設定するまでに事前に同意を取得すること
- 同意を取得したことをWebサイト管理者が証明できること
- いつでも容易に同意を撤回できること
*3 Privacy and Electronic Communications Regulations
1-2-2. 同意が不要な必須クッキー
しかし、全てのクッキーについて同意が必要な訳ではなく、商用オンラインサービスの機能を実装するために厳格に必要なクッキーは同意の取得が不要とされており、これらは通称必須クッキーと呼ばれています。欧州各国の監督機関のガイドラインでは、以下が必須クッキーの例として挙げられています。
必須クッキーの例 |
---|
1. 利用者のクッキー設定等の同意/拒否の選択保持を目的とするもの |
2. ユーザー認証を目的とするもの(ロボットによるアクセスの試みを制限するものを含む) |
3. ログイン試行での繰り返しの失敗を検知する等のセキュリティ目的のもの |
4. 買い物かごの中身の記憶や購入した製品・サービスに関する利用者への請求を目的とするもの |
5. ユーザー・インタフェイスのカスタマイズを目的とするもの |
6. レスポンシブデザイン等のレイアウトを最適化するためのもの |
7. アクセス負荷分散を目的とするもの |
8. 有料ウェブサイトでの無料限度・無料期間を超えるアクセスを制限することを目的とするもの |
また、フランスの監督機関(CNIL)は、アクセス解析目的のクッキーについて、自社によるオーディエンス測定目的で、自社利用に限定してクロスサイトの測定を行わず、第三者にデータが提供されない場合に限って、必須クッキーとして扱うことができる、という見解をガイドライン *4で示しています。
1-2-3. GDPRの同意要件を満たさないNGクッキーバナー例
せっかくクッキーバナーを実装しても、GDPRの要件を満たしていない同意は無効となります。また、特にダークパターン *5の実装になっている場合には、ユーザーからのクレームも受け易く、当局から制裁を課されるリスクも高くなります。以下に、欧州各国の監督機関のガイドライン等でNGとされている典型例をご紹介します。これらのNG例は、いずれも法令違反であると同時に、ダークパターンであるともいえます。
・みなし同意
「閲覧を続ける場合、クッキーの使用に同意したものとします」と表示するだけで同意を取得したことにする、いわゆる「みなし同意」タイプのバナーです。
このような同意は、利用者による明確で肯定的な行為による同意の要件を満たさないためNGとなります。(EDPB同意ガイドライン2020/5/4 *6)
*4 https://www.cnil.fr/sites/cnil/files/atoms/files/recommandation-cookies-et-autres-traceurs.pdf
*5 ダークパターン:一般的に、Webサイトやアプリにおいて、消費者を巧みに誘導して企業側に有利な選択をさせるようなデザインやユーザーインターフェースのこと
*6 https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf
「すべて許可ボタン」と「クッキー設定ボタン」のみが設置されたバナーです。フランスの監督機関(CNIL)は、ユーザーの拒否は、同意と同程度の簡単な行動で実行できなければならず「すべて許可ボタン」と「クッキー設定ボタン」の組み合わせは不均衡であり、「すべて拒否」のボタンを「すべて許可ボタン」と同じ階層かつ同じ形式で配置しなければならない、としています。(フランスCNIL Q&A*7 #35)
*7 https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/FAQ
・同意ボタンを強調
同意ボタンだけを強調して、クッキー設定リンクを薄い小さい字で見づらくしているようなバナーもNGです。フランスCNILのQ&Aではユーザーに同意が必須であると思わせ、ある選択肢を他の選択肢よりも視覚的に強調するような、誤解を与えるようなデザイン手法をUIに取り入れてはいけない、と示されています。(フランスCNIL Q&A #37)
1-2-4. 欧州での最近の制裁事例
以下に、欧州での最近の制裁事例の一部を参考としてまとめました。クッキーバナーを導入する際は、上記のNG例に加えて、これらの制裁事例で違法とされたポイントにも留意して実装を進める必要があります。
【欧州での最近の制裁事例】
■2023年6月 フランス:広告配信サービス大手であるCriteo社に4,000万ユーロの制裁金。クッキーによる閲覧履歴等のデータ収集、分析、広告配信サービスへの利用について、ユーザーの同意を取得したことを証明することができず(同意取得証明義務違反)、また利用目的の説明も不十分で、曖昧で不明確な用語を使用していた。その他にも複数のGDPR違反があった。
■2023年6月 フランス:オンライン占いサイト運営会社KG COM社に15万ユーロの制裁金。2021年4月時点で、広告目的等でのクッキーの利用について、情報提供と事前の同意取得を行っていなかった。その後、クッキーバナーが設置されたが、クッキーを拒否する方法や同意を撤回する権利等の情報が提供されていなかった。さらに、同クッキーバナーでは、1回のクリックで同意できるのに対し、拒否するためには5回以上のクリックが必要であり、同意する場合と同じように容易に拒否ができなかった。その他にも複数のGDPR違反があった。
■2023年2月 エストニア:オンラインチケット販売事業者Ticketer OÜに対し5,000ユーロの制裁金。GDPRが定める同意条件を満たす形でクッキーの使用について十分な情報を提供せず、かつ、チェックボックスのような、消費者が積極的な意思を反映して同意を与える仕組みも提供していなかった。
■2023年1月 フランス:TikTok系2社に計500万ユーロの制裁金。クッキーの受け入れが1回のクリックで済むのに対し、拒否には複数回のクリックを要求しており、ユーザーがクッキーを受け入れるのと同程度の簡便さでクッキーを拒否できる手段を提供していなかった。また、クッキーバナーにおいて、クッキーの利用目的に「分析及びマーケィング目的」が含まれていたものの、それ以上の詳細が示されておらず、クッキーの目的について一般的かつ概要的な説明しか含まれておらず、提供情報が不十分であった。
■2022年12月 フランス:Microsoft Ireland Operations LTDに6,000万ユーロの制裁金。クッキー利用に関する事前の同意取得を行っていなかった。クッキーバナーの第一層では、「同意」ボタンと「設定」ボタンのみが配置されており、「拒否」ボタンは設置されていなかった等。
■2022年6月 ベルギー:報道機関Rosselに50,000ユーロの制裁金。同意が適切な情報提供に基づいたものではなく、また、同意チェックボックスに予めチェックがされており、Webサイトの閲覧の継続を同意とみなす「みなし同意」であった。さらに、同意の撤回を有効に行う方法も提供されていなかった。
■2022年5月 ベルギー:報道機関Roulartaに、上記と同様の内容にて50,000ユーロの制裁金。
■2022年4月 ドイツ:Googleへ是正通知。検索エンジンおよびYouTubeで表示されるクッキーバナーで、同意はバナー第一層の「同意」ボタンをクリックすればよいが、拒否はバナー第一層の「設定」ボタンをクリックしたうえで、利用目的毎に拒否する必要があった。拒否手順が同意と同程度の簡便さを有していなかった。
■2022年1月 フランス: Googleに1億5千万ユーロ(約197億円)、Facebookに6千万ユーロ(約79億円)の制裁金。実装されていたクッキーバナーではクッキー利用に関する拒否を、同意と同程度の簡便さで行うことができなかった。
以上の事例より、制裁の理由として多く挙げられており、特に注意すべき点をまとめると以下となります。
- 同意取得時の情報提供が不十分
- 事前のオプトイン同意取得の不備(チェックボックスに予めチェックが入っている等)
- 同意と同程度の簡便さでクッキー利用の拒否が出来ること
- 同意の撤回が、同意を与えた時と同程度の簡便さで出来ること
- 同意を取得したことをWebサイト管理者が証明できること
※最新のクッキー規制に関するニュースや制裁事例については以下サイト(BizRis)をご参照ください。
IIJビジネスリスクマネジメントポータル(BizRis):portal.bizrisk.iij.jp
1-2-5. 欧州の規制に対応したクッキーバナー実装のポイント
上記に挙げたNG例や制裁事例を踏まえ、欧州の規制へ対応したクッキーバナー実装のポイントは以下の通りとなります。
- ユーザーがWebサイトにアクセスした際に最初に表示されるクッキーバナー第一層において、クッキーの利用目的等について概要的な説明を行うだけではなく、「クッキー設定(Cookie Settings) 」ボタンを押して表示されるクッキーバナー第二層において、クッキーによるデータ処理の目的・開示先・保持期間等について透明性
を持ったより詳細な情報提供を行い、各クッキーの目的 (カテゴリー)毎に同意、拒否を選択可能とする。 - デフォルトで必須クッキー以外はOFFとし、オプトイン形式でユーザーの明確で肯定的な行為により同意を取得。チェックボックスに予めチェックを入れることや、トグルボタンを予めONにしておくのはNG。
- 「すべて同意(Accept All Cookies)」ボタンを設置する場合、「すべて拒否(Reject All Cookies)」ボタンも設置し、同意と同様の簡便さでクッキー拒否の機会を提供する。
- クッキーバナー第一層の「すべて同意」・「すべて拒否」・「クッキー設定(Cookie Settings) 」の選択オプションは同じ階層かつ同じ形式で配置。例えば「すべて同意」ボタンだけを見やすく強調し、「すべて拒否」ボタンを見づらくする様なUIはNG。
- クッキー利用に対する同意を簡単に撤回する手段を提供する。例として、OneTrustのクッキーバナーツールではユーザーがいつでもクッキーバナー第二層を呼び出して、同意を撤回できるホバーボタンを設置することが可能。
- 同意を取得した記録を保管し、いつでも同意取得の証明が出来るようにする。(OneTrustを用いた同意記録証明の例は、本書の「2-2-1.(4)ユーザーからの問い合わせへの備え」をご参照ください)
【推奨されるGDPRに対応したクッキーバナー例】
【画面左下のホバーボタンから第2層を呼び出して同意撤回を可能とする例】
1-3. 米国CCPA編
1-3-1. CCPAのクッキー規制の概要
CCPA(カリフォルニア州消費者プライバシー法)は2020年1月に施行された米国で初めての包括的なプライバシー保護法と言われています。2023年1月1日に、CPRA(カリフォルニア州プライバシー権法)による改正を受け、規制の内容が強化されています(法律の名称としてはCCPAのままとなります)。CCPAにおいて必要とされるクッキー規制への対応としては主に2つで、一つ目がプライバシーノーティスの通知、二つ目がオプトアウト機会の提供になります。
1-3-2. プライバシーノーティスの通知
CCPAでは、GDPRと同様にクッキーで収集されるデータは個人情報に該当するとされています(Cal. Civ. Code §1798.140 (v)(1) / (aj))。そして、個人情報を収集する場合、本人に対して収集する個人情報の種類や利用目的等の通知が必要となります。この通知は通称プライバシーノーティスと呼ばれています(Cal. Civ. Code §1798.100)。そしてこの通知は、個人情報が収集される時点、もしくは収集される前に、消費者が読み易くて理解しやすい内容で行わなくてはならず、通知には以下に記載の情報を含まなければなりません(CCPA規則 §7003, §7012)。
- 収集する個人情報の種類のリスト
- 個人情報の利用目的
- 個人情報の保持期間
- 個人情報の「売却」または「共有」の有無と、個人情報を「売却」または「共有」する場合、オプトアウトページ「Notice of Right to Opt-out of Sale/Sharing」へのリンク
- プライバシーポリシーへのリンク
なお、CCPAでは上記の個人情報の収集ポイントで通知するプライバシーノーティスとは別に、企業としての個人情報取扱いの内容について網羅的な情報をプライバシーポリシーとしてオンライン上に公開しなければならず( §1798.130(a)(5) 、CCPA規則§7011)、プライバシーノーティスにおいて、プライバシーポリシーへのリンクを記載しなくてはいけません。
1-3-3. オプトアウト機会の提供
そして必要な対応の二つ目が、本人へのオプトアウト機会の提供になります。個人情報を第三者へ「売却」又は「共有」する場合、本人へのオプトアウト機会の提供が事業者に求められます。
「売却」とは、事業者が他の事業者等に対して、金銭又は「価値ある対価」と引き換えに、個人情報を開示することを言います。個人情報を販売して、金銭を受け取るといった直接的なものだけでなく、個人情報を第三者に提供して何らかの価値ある対価を受け取る場合も売却に当たると解されますので、かなり広い概念になります。
「共有」とは、CPRAによる改正によって新しく追加された定義で、金銭や価値ある対価と引き換えであるか否かに関わらず、Webサイトやアプリをまたいで収集された個人情報に基づく行動ターゲティング広告を行うために、第三者に個人情報の共有を行うことをいいます。
「売却」の具体例としては、例えば、Google アナリティクス等のアクセス解析ツールを使って、クッキーで収集した自社Webサイトにおけるユーザーの行動履歴等のデータがツール提供事業者に連携され、当該データがツール提供事業者側の独自の利用目的にも利用される場合、その対価としてアクセス解析ツールが利用できる、という価値の交換が行われるため「売却」と解され得ます。ただし、Google等のツール提供事業者をCCPA上のサービスプロバイダー(いわゆる、契約に基づいてのみ個人情報の取扱いを行う委託業者)と整理したうえで所定の契約を締結して、利用目的を委託業務の範囲内に限定し、さらにそのツール提供事業者の独自の目的でのデータ利用設定をツール上でもオフにする等の措置を取ることで、「売却」に該当しないという整理を行える場合もあります。こうした整理や対応は具体事案毎に必要に応じて専門家の助言等も受けて頂きながら慎重に行って頂ければと思います。一方で、サードパーティクッキーを利用した行動ターゲティング広告については、確実に「共有」に該当するため、本人へのオプトアウト機会提供が必須となります。
■オプトアウト機会の提供方法(CCPA規則§7013)
オプトアウト機会の提供方法についてはCCPA規則に細かく定められているため、規則を参照しながら実装を行う必要がありますが、以下に概要を記載します。
- 「Do Not Sell or Share My Personal Information」というタイトルのリンクをWebサイトのヘッダーかフッターに設置。リンクがクリックされた場合、以下の何れかを実行
A. 即座にオプトアウト処理を完了させる
B.「Notice of Right to Opt-out of Sale/Sharing」ページに遷移させ、そこでオプトアウト機会を提供 - 上記Bの場合「Notice of Right to Opt-out of Sale/Sharing」ページでは以下の情報を提供(※)
(1) 本人のオプトアウト権に関する説明
(2) 本人によるオプトアウト方法の説明と、実際にオプトアウトを行うためのフォーム
※専用のページでなくても、上記(1) (2)の内容を掲載したプライバシーポリシーの特定箇所へ直接遷移させる形でも可
■Opt-Out Preference Signals への対応(CCPA規則§7025)
そして、オプトアウトに関連した重要な規定が、Opt-Out Preference Signalsへの対応です。個人情報の「売却」又は「共有」を行う事業者はOpt-Out Preference Signalsを消費者の有効なオプトアウトの要求として扱わなければいけません。Opt-OutPreference Signalsとは、代表的には Global Privacy Control(GPC)が挙げられます。
GPCはユーザーが利用しているWebブラウザからWebサイト側にオプトアウト要求の信号を送る設定のことです。Firefox、Duck Duck Go、Brave等の一部のWebブラウザで標準実装されており、Chromeでもブラウザの拡張機能のインストールにより利用可能になります。このGPCがブラウザで有効になっている場合、閲覧するWebサイトに対してオプトアウト要求が自動送信されますので、ユーザーはWebサイト毎にオプトアウトを行う必要がなくなります。このOpt-Out Preference Signalsへの対応についても、CCPA規則で細かい要件が定められていますので、事業者は規則の内容に留意しながら実装を行う必要があります。
■その他オプトアウトに関する留意点(CCPA規則§7026)
その他にもCCPA規則ではオプトアウトに関して細かい規定があるため、以下に留意点としてまとめます。
- オプトアウト要求を受けてから15営業日以内の対応が必要
- オプトアウト要求を受けてから、対応が完了するまでの間に個人情報を売却、共有した場合、事業者は、売却・共有先のすべての第三者に対して、消費者からオプトアウト要求があったことを通知したうえで、その要求に従うこと、またそれらの第三者が個人情報を開示した相手先にも当該要求について伝達することを指示しなければならない
- 事業者は消費者に特定の利用目的のみをオプトアウトする選択肢を提示することができるが、その場合は一括オプトアウトの機会も同時に提供しなければならない
- オプトアウトをした消費者に再度同意を求める場合、オプトアウトされた時点から最低でも12か月は待たなければならない
1-3-4. CCPAに対応したクッキーバナー実装のポイント
以上の内容を踏まえて、CCPAへ対応したクッキーバナー実装のポイントは以下の通りとなります。
- クッキーバナー第一層と第二層にて、プライバシーノーティスとして必要な情報提供を分かり易く行う。
- クッキーバナー第一層に「Do Not Sell or Share My Personal Information」リンクを設置。リンクがクリックされた場合、クッキーバナー第二層「Notice ofRight to Opt-out of Sale/Sharing」ページを呼び出し、第三者との売却・共有に使用されるクッキーの一括オプトアウトを可能とする。
- Webサイトのヘッダーかフッターにも「Do Not Sell or Share My Personal Information」のリンクを設置。リンクがクリックされた場合、上記と同様のクッキーバナー第二層「Notice of Right to Opt-out of Sale/Sharing」ページの呼び出しを可能とする。
【推奨されるCCPAに対応したクッキーバナー例】
なお、OneTrustでは、以下の通り、GPC等のOpt-Out Preference Signals へ対応する機能が提供されています。また、ヘッダーやフッター等Webサイトの任意の場所に「Do Not Sell or Share My Personal Information」リンクを設置して、バナー第二層の「Notice of Right to Opt-out of Sale/Sharing」を呼び出せるように実装することも可能となっています。
【Opt-Out Preference Signalsへの対応の設定例】
「GPC: Global Privacy Control」や「DNT: Do Not Track (トラッキング拒否)」に対応。管理画面で、チェックを入れたカテゴリーのクッキーについては、ブラウザ側の要求を優先するように設定が可能
【ヘッダーやフッターにオプトアウトのリンクを設置する例】
ヘッダーやフッター等、Webサイトの任意の場所に「Do Not Sell or Share My Personal Information」リンクを設置し、そのリンクから売却・共有に使用されるクッキーの一括オプトアウトを可能とする第二層バナーの「Notice of Right to Opt-out of Sale/Sharing」ページを呼び出すことが可能
1-4. 個人情報保護法編
1-4-1. 個人情報保護法のクッキー規制の概要
日本では、2022年4月1日に施行された改正個人情報保護法により個人関連情報第三者提供規制(法第31条)が開始され、一部のクッキーの取扱いに規制がかかりました。この規制は、個人関連情報取扱事業者が、個人関連情報データベース等を構成する個人関連情報を第三者に提供し、当該第三者が当該個人関連情報を個人データとして取得することが想定されるときは、原則として、このような提供及び取得について本人の同意が得られていることを確認する義務を負う、というものです。これだけでは少々分かりにくいため、ポイントなる用語を以下に解説します。
「個人関連情報」とは「誰であるか不詳だが、ある個人に関する情報」と解することができます。法律では「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」とされていますが、個人情報保護委員会のガイドライン*8では、以下の5つが個人関連情報の例として挙げられています。
個人関連情報の例 |
---|
1. Cookie等の端末識別子を通じて収集された、ある個人のWebサイトの閲覧履歴 |
2. メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等 |
3. ある個人の商品購買履歴・サービス利用履歴 |
4. ある個人の位置情報 |
5. ある個人の興味・関心を示す情報 |
上記の1に記載の通り、クッキー等を通じて収集されたある個人のWebサイトの閲覧履歴は個人関連情報に当たります。
「個人関連情報データベース」とは、「個人関連情報を含む情報の集合物であって特定の個人関連情報を検索できるように体系的に構成したもので、目次、索引その他検索を容易にするためのものを有するもの」とされています。つまり、例えば、デジタルマーケティングの文脈でいえば、顧客等の行動履歴、属性情報等から構成されるデータベースを意味するものと考えられます。
「個人関連情報取扱事業者」とは、この個人関連情報データベース等を事業活動において利用している事業者となります。
以下は、個人情報保護委員会の資料*9から引用した図で今回の規制が当てはまる典型的なケースが示されています。
*8 個人情報の保護に関する法律についてのガイドライン(通則編):https://www.ppc.go.jp/files/pdf/230401_guidelines01.pdf
*9 改正法に関するガイドライン等の整備に向けた論点(個人関連情報): https://www.ppc.go.jp/files/pdf/201120_shiryou-1.pdf
例えばA社がサードパーティクッキーを利用して様々なWebサイトから様々なユーザーの情報を収集しているパブリックDMPのような事業者、B社がそのパブリックDMPのサービスを利用する事業者だとします。A社はクッキーで収集した購買履歴等の個人関連情報(個人は特定できないが、ある個人に関する情報)をIDで管理しデータベース化している個人関連情報取扱事業者です。一方で、B社は、自社サイトの会員情報等の個人データを保有しています。A社がこの個人関連情報をB社に提供して、B社においてA社と共有をしている共通IDを使って個人関連情報を自社データと結合(照合)すると、A社では個人は特定できなかった購買履歴情報が、B社では個人が特定された購買履歴情報となるため、個人データになります。このようなデータ連携を行うときには、本人からの同意が必要となります。同意を取得するのは、基本的には本人と直接接点を持っていて、情報を利用する主体となる提供先の第三者となるため、このケースではつまりB社になりますが、ガイドライン*10では、同等の本人の権利利益の保護が図られることを前提に、提供元の個人関連情報取扱事業者(A社)が同意取得を代行することも認められる、とされています。
*10 個人情報の保護に関する法律についてのガイドライン(通則編): https://www.ppc.go.jp/files/pdf/230401_guidelines01.pdf
1-4-2. 個人情報保護法に対応したクッキーバナー実装のポイント
前述の例にあった通り、自社保有データとクッキーで収集された個人関連情報との結合(照合)は、通常パブリックDMP等が発行するサードパーティクッキーのIDと自社で利用するID等を統合して生成する「共通ID」で可能となります。そのため、この個人関連情報第三者提供規制にクッキーバナーで対応をする場合、クッキーバナーによって該当のサードパーティクッキーを制御して、ユーザーからの同意を取得するまで共通IDの生成を行わない、という実装方法が考えられます。
【個人情報保護法に対応したクッキーバナー例】
↓↓↓すべてを見るには下のボタンからeBookをダウンロードしてください。↓↓↓