マーケッター必見！Cookie施策の規制に関わるGoogleのポリシーアップデート内容を解説！

●はじめに

2022年4月に改正される個人情報保護法(以下、改正個人情報保護法)が間もなく施行開始されます。各プラットフォームにおいても続々とポリシーのアップデートがされている中でも、今回はGoogleのポリシーアップデート内容について解説し、企業がCookieを施策に活用する上で何に注意しなくてはいけないのかをお伝えします。

※この記事は2022年3月時点の情報を元に作成しております。

● 企業が知っておくべき3つのポイント

まずは改正個人情報保護法のCookieIDに関わる部分で企業が知っておくべきポイントは以下3つです。

＜３つのポイント＞

CookieIDが個人データと関連付けられる形で保存されていない場合、個人関連情報に該当する。
企業で取得したCookieID(個人関連情報)と個人データを紐づける際は、CookieIDは、個人データとなる。
この場合、取得や利用にあたっては通知や公表が必要であり、そして個人データを第三者提供する場合は同意取得が必要。
個人関連情報を第三者に提供する場合、提供先で個人データと紐づけすることが想定されるなら、提供元は提供先において、本人から同意を得られていることを確認しなければならない。

個人情報：個人に関する情報で、特定の個人が識別できるもの
個人データ：個人情報データベース等を構成する個人情報のこと
個人関連情報：個人に関する情報で、個人情報、仮名加工情報、匿名加工情報に該当しないもの

●よくご質問頂くこと

上記３の「個人関連情報を第三者に提供する場合、提供先で個人データと紐づけすることが想定されるなら、提供元は提供先において、本人から同意を得られていることを確認しなければならない」というのはどういったケースがあるのか？企業側でよく頂くご質問は下記のような2つのケースがございます。
今回はGoogleを例に各ケースでの対応について解説させて頂きます。

ケース①：企業側で取得した個人関連情報をGoogleプラットフォームに連携して広告配信をする場合

ご質問：企業はGoogleに提供した個人関連情報をGoogle側で個人データに紐づけているか分からないがどうやって確認するの？

こちらについてはGoogleが個人情報保護法に関する内容をウェブサイトで公開しておりますので抜粋した部分を紹介させて頂きます。

Googleは、Googleの広告サービスや効果測定サービスに関連して組織から個人関連情報を受け取る際、それをGoogleが保有する個人データと関連付ける場合があります。個人関連情報をGoogleの個人データと関連付ける場合、Googleは必要な同意をデータ主体から取得しており、通常は、「コンテンツや広告など、カスタマイズしたサービスの提供」および「パフォーマンスの測定」（プライバシーポリシーの「Googleがデータを収集する目的」を参照）を目的として、広告配信、Google広告サービスのパフォーマンス測定、および類似または関連した処理活動にそのデータを関連付けます。

※参考：https://business.safety.google/intl/ja/appi/

上記内容からGoogleが企業からCookie等の個人情報を受け取る際に、Googleの保有する個人データと企業から提供された個人関連情報を紐づけする場合はあり、それを行う場合はGoogle側でデータ主体から同意を取得しているため、企業側はそれを認識しておく必要がございます。

ケース②：Googleプラットフォームで提供されるサービスの利用に関連して、CookieID(個人関連情報)をGoogleから受け取り、それを企業が保有する個人データに紐づける場合。

ご質問：企業はGoogleのCookieID(個人関連情報)と企業の個人データを紐づけることに対し、データ主体から同意を取る必要はあるの？

こちらについてはGoogleのプラットフォームポリシーでアップデートされておりますのでポイントとなる部分を抜粋いたします。

Google プラットフォームで提供されるサービスの利用に関連して、日本国内のユーザーに関する PRI（ポリシーでは「個人を特定できないユーザー情報」と呼ばれます）を Google から受け取る場合は、その PRI を、個人を特定できる情報と統合することは禁止されます。ただし、こうした処理に先立ち、PRI を提供するユーザーから法律で義務付けられた同意を得ており、処理に関する正確かつ完全な情報を Google データ保護規約のトラブルシューティングを介して Google に提供している場合は、この限りではありません。2022 年 4 月 1 日の前までに、PRI の取り扱いが改正個人情報保護法とプラットフォームプログラムポリシーの要件に沿って行われるように準備を整えておく必要があります。

参考：https://support.google.com/platformspolicy/answer/11919029

上記より原則、GoogleのCookieIDと企業が保有する個人データを紐づけることは禁止。
ただし、下記2つの条件を満たすことで紐づけることが許可されます。
※2022年3月現時点

１）ユーザーから同意を得る
　⇒改正個人情報保護法の内容になります。
２）Googleのお問合せフォームに正確で完全な情報を入力してGoogleに送った場合
　⇒Google側でも企業に対して同意が取れているかを確認する必要があるため。

●まとめ

以上を踏まえてGoogleのポリシー改定において企業が行わなくてはいけないことは各ケース下記になります。

①企業側で取得した個人関連情報をGoogleプラットフォームに連携して広告配信をする場合
⇒GoogleはGoogleの広告サービスや効果計測サービスに関連して組織から個人情報を受け取る際、必要な同意をデータ主体から取得している。企業はGoogleが公表している資料通りの対応を行っていることを認識しておく必要がある。

②Googleプラットフォームで提供されるサービスの利用に関連してCookieID(個人関連情報)をGoogleから受け取り、それを企業が保有する個人データに紐づける場合
⇒企業は以下対応する必要がある。
１）ユーザーから同意を得る
２）Googleの問合せフォームに正確で完全な情報を入力してGoogleに送る

いかがでしたでしょうか？
今回はGoogleのポリシーにフォーカスして説明しましたが、他のプラットフォームはまた内容が変わってくるため、Cookieを使用して各プラットフォームと連携する際は、必ずポリシーを確認し、どんな対応をしなくてはいけないのかを把握しておくことで正しく施策にデータを活用することができるかと思います。

弊社では改正個人情報保護法の対応として、プライバシーコンサルティングサービスや同意管理ツール(CMP)の導入サポートなどサービス展開しております。
お困りのことがございましたらお気軽にご相談頂けますと幸いです。