2022.02.28 コラム

• データプライバシー
• データプライバシーコラム
• 個人情報保護

22年4月 改正個人情報保護法の施行に向けて Cookieを活用する企業が知っておくべき3つのポイント

●はじめに

2022年4月より、改正された個人情報保護法(以下、改正個人情報保護法)が施行開始されます。各企業においても、これに向けた対応の準備を進めているかと思います。

弊社では、プライバシーコンサルティングサービスやCMPツール導入支援などを提供させて頂いておりますが、今回は、改正個人情報保護法のなかでも特に関心が高い部分である Cookieなどの「個人関連情報」の規律と、必要と考えられる対応 についてお伝えしたいと思います。

個人関連情報の取扱いに関するポイントとしては下記3点を上げさせていただきます。
※この記事は2022年2月時点の情報を元に作成しております。

＜３つのポイント＞

1. Cookieは同意の対象となるのか？
2. 自社内で取得した個人関連情報（Cookie等）と個人情報を紐づける際は、個人情報になるため通知や公表は必要になる。そして個人データ情報を第三者提供する場合は同意取得が必要
3. 個人関連情報を第三者に提供する場合、提供先で個人データとして取得することが想定される場合、提供元は提供先において、本人から同意を得られていることを確認しなければならない。

ここでいう同意について補足すると、通知・公表のみのものではなく
会員登録時などに規約を読んで頂いてから同意を取得する明示的同意を指しております。

それでは、３つのポイントを順番に解説していきます。

１．Cookieは同意の対象となるのか？

ここが多くのお客様から質問として頂く機会が多いですが、まずGDPRやCCPA、改正個人情報保護法での個人情報の定義の違いを説明いたします。

GDPRでは個人情報のことを「Personal Data」と呼び、Online Identifierと言われるオンライン識別子（CookieやIPアドレスなど）がそれに含まれます。

次に、CCPAでは「Personal Information」と呼んでおり、こちらもオンライン識別子が含まれます。　

そして改正個人情報保護法の「個人情報」とは、個人に関する情報であり、特定の個人を識別することができる情報のことを指しております。

つまり日本の場合、個人を識別できるかどうかが、個人情報かどうかの判断軸 になります。
個人情報と紐づけしていないCookieはブラウザを識別しており、IDFA/ADIDはデバイスを識別しているという見方も可能です。このような見方を採用すると、特定の個人を識別しているとは限らないということになるのです。

もちろん、自社内の個人情報データベースと紐づけられる場合は、Cookie自体が、特定の個人を識別するIDとして機能しますので、個人データに該当し、プライバシーポリシー等で通知・公表する必要がございます。

ちなみに、Cookieと個人情報を紐づけはしていないが紐づけが容易な環境であれば、紐づけなかったとしても個人データに該当します のでご注意ください。

２．個人情報を第三者提供する場合は同意取得が必要

先ほどもお伝えしましたが、個人関連情報と個人情報を紐づけする場合は、個人情報となるのでプライバシーポリシー等に利用目的などの通知・公表は必要 になります。

企業のDXを推進する上で、個人情報をグループ会社や外部の会社などに第三者提供しマーケティング活用したいというケースがあるかと思いますが、このような個人情報を第三者提供する場合は 原則として本人の明示的同意の取得が必要になります のでご注意ください。
※これは改正個人情報保護法の以前より定められております。

３．個人関連情報を第三者に提供する場合、提供先で個人データとして取得することが想定されるのであれば、提供元は提供先において本人から同意を得られていることを確認しなければならない。

個人情報と紐づかない個人関連情報（Cookie単体など）を第三者提供する場合についてのお話になります。
ガイドラインでは以下のように記載されております。

＜ガイドライン：3-7-2-1 「個人データとして取得する」について＞

法第 26 条の 2 第 1 項の「個⼈データとして取得する」とは、提供先の第三者において、個⼈データに個⼈関連情報を付加する等、個⼈データとして利⽤しようとする場合をいう。

提供先の第三者が、提供を受けた個⼈関連情報を、ID 等を介して提供先が保有する他の個⼈データに付加する場合には、「個⼈データとして取得する」場合に該当する。

提供先の第三者が、提供を受けた個⼈関連情報を直接個⼈データに紐付けて利⽤しない場合は、別途、提供先の第三者が保有する個⼈データとの容易照合性が排除しきれないとしても、ここでいう「個⼈データとして取得する」場合には直ちに該当しない

これはどういった場合になるのか、例を用いて解説します。

例えば個人情報データベースを保有するプラットフォームAの広告配信で使用するCookieIDを企業側で取得していたとします。
そしてそのCookie IDをプラットフォームAに提供し、広告配信を行っていきたいと考えています。
この場合、提供元である企業の元で個人関連情報である情報が、提供先のプラットフォームAで個人データとなることがあるかどうか注意する必要があります。

プラットフォームAが「個人データとして取得する」ことになる場合には、プラットフォームAにおいて本人から同意を得ているかどうか確認しなくてはいけません。

ただし、単位に用意照合性があるにすぎず、直接個人データに紐づけて利用しない場合にはプラットフォームAが「個人データとして取得する」とは言えず、同意を得る必要はありません(同意を得ているかどうか確認する必要はありません)。

●まとめ

改正個人情報保護法に向けて、3つのポイントについて説明させていただきました。
いかがでしたでしょうか？

まずは、自社のCookie利用用途がどのようになっているのかを洗い出し、新たにプライバシーポリシーや規約を変更しなくてはいけないかどうかを確認していく必要があります。

弊社ではそういった規約やプライバシ―ポリシーの記載内容の整理を第三者の目線でサポートさせて頂くことができます。
何をどのように確認するべきか、今の状態は同意を取れていると言えるのかなど、お悩みの場合はお気軽にお問合せ頂ければ幸いです。

また、CMPツールの導入支援も提供させて頂いております。
CMPを導入すべきか、どのツールが適しているのかなどについてもサポートさせて頂きますので、是非ご相談頂ください。

●サービス資料

》データ保護・ プライバシー対応 支援サービスの詳細はこちら

》CMP導入・運用支援サービスの詳細はこちら