個人データを、ビジネスを守る、IIJ

クッキー(Cookie)は個人情報?規制の対象となるクッキーについて


最近、欧米のWebサイトで、クッキーの利用目的について説明し、クッキー等の設定について閲覧者の同意を求めるクッキーバナーを見ることが多くなったのではないでしょうか。

欧州連合(EU)と米国では、それぞれ2018年5月のEU一般データ保護規則(GDPR)施行、2020年1月のカリフォルニア州消費者プライバシー法(CCPA)の施行に伴い、Webサイトやモバイルアプリにおけるクッキー及び類似の追跡技術に関する規制(クッキー規制)が強化されたことに伴い、クッキーバナーにみられるようなクッキー規制への遵守対応が本格化しています。

このため多くの日本企業が対応を急いでおり、この他にも中国、ブラジル、インド、タイでも同様の規制が予定されています。世界に公開されるWebサイトは法律違反が一番簡単に見抜かれ、制裁や罰則を受ける部分でもあり、早急な対策が必須です。

IIJでは、現在のようにクッキー規制対応が本格的に議論をされる以前より先駆けて対策を練られるお客様に、プライバシー保護とITセキュリティの専門家による、各国のクッキー規制対応コンサルティングサービスを提供してまいりました。これより2回に分けて今までのコンサルティング経験を通じて、お客様より多く頂いたご質問を中心に、一問一答形式でご紹介します。本ブログ記事では、クッキーが個人情報に該当するか、どのようなクッキーが規制対象となるかについてのご質問を取り上げます。

そもそもクッキーは個人情報なのか?

クッキーが個人情報に該当するかは、結論として法域によって異なっています。ヨーロッパでは、クッキーで得られる情報も規制対象であり、また、アメリカではネット上の個人を識別できるものと解釈され個人情報として取り扱われることもあります。日本では今のところユーザーが使っている端末やブラウザを特定できるだけで、個人と直接結びつかないので、個人情報ではないと解されていますが、今後の個人情報保護法改正では、規制対象となる可能性があり、注意が必要です。

英語サイトがあれば、海外の規制(GDPR、CCPA)の対象になってしまうか?

提供しているサービス・製品が明らかにその海外国、地域向けのものであれば対象となります。例えばオンラインストアでの現地通貨対応(例:ユーロ建てでの決済が可能等)が一つの判定の基準となります。正確に判断するためには弁護士やコンサルタントが事業内容およびサイトコンテンツをチェックする必要があります。

クッキー規制対象となるクッキーとは、例えば具体的にどのようなものか?

ソーシャルメディア・プラグイン、ソーシャルメディア・トラッキング、オンライン広告、ユーザー行動の追跡を目的とするクッキー等の設定については同意が必要となります。
(2019年7月3日公開、英国のデータ保護監督機関 ICOのガイドラインより) 

クッキー規制が適用除外となる必須クッキーとは、例えば具体的にどのようなものか?

例えば、ユーザー入力記憶、ユーザー認証状態記憶、セキュリティ確保、ストリーミング・コンテンツ配信、ロードバランシング、ユーザー・プリファレンス管理を目的とするクッキー等の設定は、必須クッキーとして規制除外の対象となります。
(2019年7月3日公開、英国のデータ保護監督機関 ICOのガイドラインより)

 次回はクッキー規制に対し、企業がするべき対応・実装、また問われる責任についてのご質問を中心に回答いたします。

<本ブログ上では、端末装置への読み書きを行う技術全般、Webサイトやモバイルアプリで利用される他の追跡技術も含め、便宜的にクッキー(Cookie)と記載しています>

関連記事