中小企業にクッキー(cookie)同意取得対策は必要?!

最近、「GDPR」や「クッキー(cookie)」といったワードを耳にしたことはないでしょうか?
または、とあるホームページを訪問したら画面下に下図のようなメッセージが表示されることはないでしょうか?

これらは2018年5月のEU一般データ保護規則(GDPR)施行以降、ホームページ閲覧者に対して「あなたが閲覧しようとしているこのウェブサイトでは、cookieを使ってあなたの情報(使用しているブラウザやアクセスした地域等)を取得しますがよろしいですか?」という許諾を得るために、ホームページ運営会社が自主的に設置しているものです。

クッキー(cookie)とは?

cookieとは、私たちがホームページを閲覧する際に、使用しているブラウザに保存される小さなテキストファイルです。このファイルの中には利用しているブラウザ、アクセスしている地域、使用言語、閲覧履歴 等の情報が含まれており、ホームページ運営会社やインターネット広告会社は、クッキーを利用することで自社のサービスを好みそうな人を抽出したり、その人に適した広告を出したりすることが可能になります。

ただし、cookieには個人情報(氏名、住所、電話番号 等)の情報は含まれません

cookieに含まれるデータを利用することは、ホームページでビジネスを行ったり、様々なホームページに広告を出す場合には便利なのですが、次第にcookieが「閲覧者の許可なく」「自動的に」データを取得することが問題となってきました。
また、最近のAIの急激な進歩により「自分の知らないところで、自分の情報が使われている」ような状況になりえる可能性が大きくなってきたため、2018年5月にEUはEU一般データ保護規則(GDPR)を施行しました。
(実際にはcookieには複数の種類が存在し利用方法などに違いがありますが、このページでは概略のみを説明しているため種類の違いについては省略しています)

EU 一般データ保護規則(GDPR)とは

EU一般データ保護規則(GDPR)とは、それまでEU加盟国が各国ごとに定めていた個人データ保護に関する法律にかわり、EU域内での共通ルールとして定めたものです。
EU域外へのデータ移転を原則認めず、個人情報を使用する企業への説明責任を求め、違反した場合の制裁と執行の機能も強化されました。

EU一般データ保護規則(GDPR)はcookieのみを規制するものではありませんが、個人を識別できる情報を個人情報と定義しており、その中には「オンライン識別子」としてIPアドレスやcookieが含まれています

そして、EU一般データ保護規則(GDPR)を踏まえて、米国ではカリフォルニア州消費者プライバシー法(CCPA)が2020年1月に施行されました。

そのため、EU域内や米国カリフォルニア州との間でビジネスを展開している企業などは、自社のホームぺージを閲覧するユーザーに対して、クッキーの取得についての許可を得る必要が出てきました。

ということは、日本国内で・国内のみを対象にビジネスをしている中小企業は無関係なのでしょうか?

日本の場合

日本では、改正個人情報保護法が20年6月に公布され、2022年4月施行となる予定です。

個人情報保護法は3年ごとに見直しされる規定があり、今回の改正では諸外国の規制なども視野にいれつつ、下記のような点が改正されています。

今回の改正のポイントは以下の6点です。

ポイント1 個人の権利の在り方(が強化される)
ポイント2 事業者の責務が追加される(不適正な方法での利用を制限)
ポイント3 事業者による自主的な取組を促す仕組みの在り方(認定団体制度が新設される)
ポイント4 データ利活用に関する施策の在り方(を明文化)
ポイント5 ペナルティの在り方法定刑、罰金刑を強化)
ポイント6 法の域外適用・越境移転の在り方
(外国の事業者に対する、報告徴収・立入検査などの罰則が追加)

個人情報の保護に関する法律等の一部を改正する法律(概要) より抜粋および加筆

この中で、「cookieの使用に同意」ボタンに関連しているのは

ポイント4.データ利活用に関する施策の在り方」部分です。

個人情報保護委員会の概要資料には

提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける

とあり、該当部分の法律の本文は

「個人関連情報取扱事業者は、提供先の第三者が、個人関連情報を個人データとして取得することが想定される場合には、第三者が本人が識別される個人データとして情報を取得することについて本人の同意が得られていることなどの確認をしないで、個人関連情報を第三者に提供してはならない」
(同法26条の2第1項本文)

となっています。

ここでいう「個人関連情報」とは「生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないもの」(個人情報保護法26条の2第1項)をいいます。cookieなどのような識別子情報も含まれると思われます。

cookieは、それ自体は個人データではないとしても組み合わせることで個人を識別できるようになるデータが含まれています。

この部分に関して、参考となる記事をご紹介します。

結論からいうと、サイトでcookieを使用している全ての者が「cookieの使用に同意」ボタンを設置しなければいけないわけではありません。

「cookieの使用に同意」ボタンを設置しなければいけないのは、インターネット上で蓄積されたユーザーデータ等のデータを収集・統合・分析するデータマネジメントプラットフォーム(DMP)事業者などからcookieに紐づいた情報の提供を受けている者です。たとえば、ターゲティング広告などの出稿を依頼している者は、「cookieの使用に同意」ボタンは設置しなければいけない可能性が高いです。

cookieの使用に同意ボタンの設置は義務?個人関連情報を解説!(トップコート国際法律事務所)
より抜粋

つまり、当ホームページのように「広告出稿をせずに、またいずれの企業からもマーケティングデータを購入していない」場合は “「cookieの使用に同意」ボタンを設置” することは必須ではない。ということらしいです。まずは一安心。

当ホームページでは、googleアナリティクスを用いてのログ解析はしていますが google社はデータの販売はしていないと明言しています。

参考:google セーフティセンター

しかし、googleアナリティクスは日々進化しており取得・分析できるデータも多岐にわたるため、2021年7月時点でも自社ホームページの訪問者に関してはかなりの分析が可能となっています。

そのため、今後googleアナリティクスの機能追加や、諸外国および日本の個人情報保護委員会などの対応に注意が必要です。

 

「今あるホームページを良くしたいけれどどうしたらいいか・・・?」といったお困りごとはありませんか?
まずは丁寧にお話を伺い、改善策をご提案します! お問い合わせはこちらから

以前関わった お仕事の事例(一部)はこちら に公開しています。

「ホームページ」という語について
本来「ホームページ」とはウェブサイトのトップページを示す語でしたが、ウェブサイトのことを「ホームページ」と呼ぶ方も多いことから、このサイトではウェブサイトを指すのに「ホームページ」という語を使用しています。

タイトルとURLをコピーしました