知ると差がつく！広告運用者も知っておきたいCookieと個人情報保護法のこと

近年、個人情報保護の観点から、Cookieに規制がかかっていることは皆さんもご存知かと思います。これにより、リターゲティング広告のユーザーの追跡に欠損が生じたり、ターゲティング広告の精度に影響が生じたりと、広告に携わる人にとっては大きな影響が生じています。

【各媒体の対策まとめ】ITPによる広告への影響と今後の動向を徹底解説

Web広告は今、大きな変革期に突入していると言っても過言ではありません。 iOS14のアップデートによってITP機能が強化されたことで、全体的にiOSユーザーの全てのweb上の行動が制限されるようになりました。現状ではI…

本記事では、これらの引き金となるCookie規制がなぜ行われるようになったのかという根拠を、個人情報保護法の改正の観点から解説します。広告関連の表面的な影響だけでなく、その背景も詳しく理解していきましょう。

個人情報の定義

日本の法律における個人情報の定義

個人情報という言葉は皆さんよく使うかと思いますが、そもそも何をもって個人情報とするのか、その定義をまずは理解しましょう。
個人情報は以下の2つの条件に当てはまるものを指します。

参考：cookieの使用に同意ボタンの設置は義務？個人関連情報を解説！

Cookieは個人情報に該当するのか？

上記の定義に沿って、Cookieは個人情報に該当するのかどうかを確認していきましょう。

①生きている個人に関する情報⇨Cookieは該当する

Cookieはサイトにアクセスした時、商品を閲覧した時、などにブラウザから付与されます。
このような行動は生きている個人の行動であり、Cookieはその個人にまつわる情報であるため、この項目には該当すると言えます。

②-A 氏名、生年月日、その他記述等（文書や図画等）に記録されていて、他の情報と容易に照合することができ、特定の個人を識別することができるもの

Cookieは個人に対して付与されるのではなく、ブラウザに対して付与されます。そのため、Cookie単体で個人を特定することはできません。

しかし、サイトを利用する際に氏名やメールアドレスの登録が必要な場合は、登録された情報とCookieの情報を組み合わせて特定の個人を識別することが可能です。このため、この項目にCookieは該当する場合があると言えます。

②-B 個人識別符号が含まれるもの⇨Cookieは該当しない

個人識別符号に含まれるものは法律で明確に定義されています。Cookieはこれには当てはまらないため、この項目には該当しません。

参考：個人情報の保護に関する法律施行令

まとめると
①：Cookieは該当する
②-A：Cookieは該当する場合がある
②-B：Cookieは該当しない

つまり、Cookieは「個人情報に該当する場合がある」というのが結論となります。このような、個人情報の定義に関しては、今までもこれからも変更されていません。

それではなぜ近年Cookieが規制されるようになってきたのでしょうか？

2020年個人情報保護法の改正

2020年の個人情報保護法の改正がCookie規制強化のきっかけとなっております。

この改正により、個人情報の定義が変わったわけではありませんが、「個人関連情報」という新しい概念が登場しました。個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないもの」のことを指します。

参考：【法律】Cookie規制に繋がる！？個人関連情報とは？

※補足
仮名加工情報：他の情報と照合しない限り特定の個人を識別することができない
匿名加工情報：（他の情報との照合等は関係なく）個人を識別することができない

つまり、その情報だけでは個人情報という扱いはされないものの、他の情報と照合することで個人を識別できるものが「個人関連情報」となります。

今までは他の情報と組み合わせて個人を特定できる情報のみが規制対象でしたが、この法律改正によってその情報単体で個人を特定できないものであっても規制の対象となりました。この影響を受け、Cookieに対する規制も厳しくなったということです。

なぜ規制が厳しくなったのか

今までの制度

どのような改正が行われたのか、は前述のとおりですが、なぜそのような変更が行われたか、という背景についても少し触れておきます。
これまでの文章の中で「個人を識別できる」「個人を特定できる」という言葉を多く用いてきましたが、この「誰が個人を識別できるのか」が大きなポイントでした。

今までの制度は、複数の情報の組み合わせによって、情報の提供「元」が個人を識別でいる場合は規制対象、情報の提供「先」が個人を識別できる場合は規制の対象にならないというものでした。

この場合、情報の提供「先」は本人の同意を得ずに個人情報を利用することが可能となってしまいます。これが、個人のプライバシーを守れていないのではないか？と疑問視されたことが今回の改正の背景です。

実際に存在した事例

この改正を理解するうえでわかりやすい事例があるため紹介します。リクルートキャリアが行政指導を受けた転職関連のサービスです。上記のように、顧客企業（＝人を募集している企業）がIDや氏名等をリクナビに提供し、その情報をもとにリクナビが抽出した内定辞退率等のスコアを顧客企業側に提供していました。

サービスを利用するユーザーの立場からすると、内定辞退率を許可なく情報開示されていることになります。このようにユーザーが不利益を被る可能性がある仕組みが法律上許容される状態にありました。

このような背景があり、個人のプライバシーを守るために規制が厳しくなりました。

海外の状況（参考）

GDPR

2018年5月にEUにてGDPR（EU一般データ保護規則）が施行されました。

• 本人が自身の個人データの削除を個人データの管理者に要求できる
• 自身の個人データを簡単に取得でき、別のサービスに再利用できる（データポータビリティ）
• 個人データの侵害を迅速に知ることができる
• 個人データの管理者は個人データ侵害に気付いた時から72時間以内に、規制当局へ当該個人データ侵害を通知することが求められ、また、将来的には本人への報告も求められる。
• サービスやシステムはデータ保護の観点で設計され、データ保護されることを基本概念とする
• 法令違反時の罰則強化
• 監視、暗号化、匿名化などのセキュリティ要件の明確化

上記のような規制事項があります。
詳細は割愛しますが、世界的にも個人情報保護の規制が強化されていることがわかります。

今さら人に聞けない”GDPR”とは｜日本への影響と対応も合わせて解説

動画で記事の概要をご確認いただけますはじめに近年個人情報の取り扱いに関するニュースをよく見るようになりました。最近でいうとFacebookユーザーのデータ、およそ8,700万人分がコンサルティング会社ケンブリッジ・アナリ…

Apple社の動き

アップル社もこれまで、個人情報保護の目的で提供するサービスにおいて様々な規制を行ってきました。直近ではCookieの規制はもちろん、アプリ利用時の個人情報取得には許可が必要な仕組み等、個人情報を守るために様々な規制を行っています。世界的な大企業のこのような動きは、他の企業にも影響を与えていく可能性があるでしょう。

このように、日本だけでなく海外でも、個人情報保護の動きは活発化していることがわかります。

今後の対応

事業者の対応

個人関連情報の取り扱いに関して、情報を取り扱う事業者が行うべきことはこのような形で定められています。

この「①同意取得義務」が昨今話題になっている、サイト上へのCookie利用許可ボタンの設置等につながっております。
しかし、「何をすれば同意取得確認義務を果たしたことになるのか」という明確なガイドラインは現在定められていないため、今後変更や追加対応が必要となる可能性も0ではありません。

法律施行日と違反時の罰則

改正された法律の公布が2020年6月12日にすでに行われています。
この法律の施行日は2022年4月となります。そのため、この施行日までに各事業者は準備をする必要があります。

また、罰則については下記の通りです。

周辺事業者の今後について（推測）

広告主側

サイト上に利用許可を選択するボタンの設置等の準備が必要となります。ただ、同意取得の方法について明確な定めはないため、今後対応の変更が必要になる可能性もあります。

DMP業者等

サイトの情報を得てデータ活用をする業者は、自身が利用するデータの持ち主に対して、「ユーザーの許可を得られているかどうか」を確認する義務のようなものが発生する可能性があると考えられます。これにより、DMP等を利用する広告主側に対しサービスの安全性をアピールすることも可能になるのではないかと思われます。

まとめ

Cookie規制はWeb広告を継続していくにあたっては無視できないものです。

「Cookieが規制されている」という事実を知るだけでも十分な場合もありますが、なぜ規制されているのか、どのように規制されているのか、等の詳細を知ることで、より広告の詳細な分析や、今後の動きの推測が可能になります。
表面的な知識だけではなく、深い背景知識にも目を向けて、広告業務に取り組んでいきましょう。