Cookie対応は「ポップアップを導入したから安心」ではない　改正法に備え、企業はどこまで対応すべきか：22年4月に迫る個人情報保護法改正（1/2 ページ）

[吉村哲樹，ITmedia]

　2022年4月より施行される改正個人情報保護法で、Cookieに対し明確な規制が加わることになる。これまでCookieの扱いについては明確な指針が示されてこなかったため、国内法で初めての制限となる。

　これを受けて、現在多くの企業が自社サイトへのCookieポップアップの実装などの対策を進めているが、自社のビジネスの実情と照らし合わせた場合にどこまでの対応を行うべきかを判断できず、なかなか具体的な対策に踏み出せていないケースも少なくない。

　弁護士・ニューヨーク州弁護士 石川智也氏（西村あさひ法律事務所 フランクフルト＆デュッセルドルフ事務所共同代表）によると、まずおさえるべきポイントは改正個人情報保護法において新たに加わることになった「個人関連情報」の理解だという。

　21年10月7日に開催された、西村あさひ法律事務所とアンダーワークスによるオンラインセミナー「改正個人情報保護法の下での企業の新たなCookieとの付き合い方」の様子をお届けする。

改正個人情報保護法におけるCookie対応のポイントとは？

　「個人関連情報の範囲が広すぎて曖昧だという声をよく聞きますが、実際には決して曖昧ではありません。一言で言えば、生存する1人の個人に関する情報であれば、基本的には全て個人関連情報に該当します。それらのうち、特定の個人を識別できるものが個人情報、識別できないものが個人関連情報に分類されます」（石川氏）

　ただし、ある組織にとっては特定の個人を識別できない個人関連情報であったとしても、別の組織ではそれを別の個人データとひも付けることによって特定個人を識別できる可能性がある。その場合、同じ情報であったとしても前者の組織では個人関連情報として扱われ、後者の組織では個人情報として扱われることになる。

　Cookieに関しても同様で、MAツールなどを使ってCRMの顧客情報などとひも付けて使われる場合は個人情報となり、これまでの個人情報保護法の規制を受けることになる。しかしターゲティング広告において匿名情報として扱われる場合は、特定個人を識別できないため個人関連情報として扱われるため、規制対象とはならないケースが多い。

　このように、個人関連情報が全て規制の対象となるというわけではなく、規制される範囲は実はかなり狭いという。具体的には「個人関連情報取扱業者」が「個人関連情報（個人関連情報データベースなどを構成するものに限る）」を第三者に提供する場面で、第三者がそれを「個人データとして取得することが想定されるとき」という条件がそろったケースにおいてのみ、規制の対象となる。

　この場合、改正個人情報保護法では、提供先の第三者が第三者提供規制（同意取得）と国外移転規制（外国への転移に係る情報提供、体制整備要件の実現）を順守しているかどうかを確認する必要がある。なお同意の代行は可能だが、提供元が同意取得を代行する場合は提供元の名称と、対象となる個人関連情報を個別明示する必要があると定められている。

　なお海外では、欧州のGDPRを筆頭にCookie規制を独自に進めている国・地域もある。特にGDPRに関しては、たとえ日本企業であってもインターネット経由で欧州を対象にサービスを提供している場合や、欧州からのサイトアクセス履歴を分析しているような場合には域外適用の対象となるため、Cookieポップアップをはじめとする対応は欠かせないという。

　「欧州では現在、NOYB（None of Your Business）というプライバシー保護団体がGDPRに違反しているサイトを当局に通報する動きが活発化しています。その指摘事項を見ると、現在Cookie同意管理ツールを導入している企業でも抵触する可能性が十分にあります。そのため『一度対応したから大丈夫』『Cookieポップアップを導入したから安心』と安心するのではなく、常に最新の動向をチェックしながら自社の取り組みを柔軟に組み替えていく仕組みが必要になるでしょう」（石川氏）