気を付けないといけない！個人情報保護法2020_cookieについて

久々に更新するnoteですが、今回は、個人情報保護法に関して、主にcookie関連について、まとめてみたいと思います。（なお、私も現在cookie関連のサービスを提供しているので、一部我田引水になってしまう可能性あることご了承下さいませ。※ステマにならないためにもw）

１．個人情報保護法_改正前夜（2019年）

ご存知の方も多いかと思いますが、2020年は「個人情報保護法 いわゆる３年ごと見直し」の該当年度です。個人情報の保護に関する法律は、平成27年改正で、「情報通信技術の進展が著しいこと等から」という理由のもと、３年ごとの見直し規定が設けられています。

改正を目前に控えた2019年に、大手人材ビジネス会社の内定辞退予測サービスが、個人の同意を得ずに活用されていた件について、「法の趣旨を潜脱した極めて不適切」と個人情報保護委員会は指摘しました。

詳細は、下記に参照で入れた日経新聞の記事をご覧頂ければと思いますが、注目をするべき点は次の通りです。（現行法では、違法ではなくとも、個人情報保護員会などが問題であると考えている内容です。）

「クッキー等であっても、会員情報等と紐（ひも）付けられ特定の個人を識別できるような場合は、個人情報保護法上の個人情報として取り扱われる必要がある。しかし、事業者の中には理解不足と思われる事例も散見されるため、今後、委員会としても、実態を注視しつつ、適切に執行を行っていく必要がある」。

単体では個人が特定できなくても、クッキー情報を入手した企業側で個人と結びつけて使えば個人情報と同様に扱う必要があると整理。本人の同意を取ることを義務付ける。

情報法制研究所（JILIS）の高木浩光理事は「提供先で特定個人とひも付けることを予定して個人の属性データを提供する行為は、個人データの第三者提供に当たるとみるべきだ」と指摘する。

「クッキー」利用に法規制　リクナビ問題受け改正へ

リクナビ問題、なぜ「脱法」サービスが生まれたのか: 日本経済新聞

上記のできことを踏まえて、2019年12月にまとめられた制度改正大綱が下記のような内容です。この大綱の中でも注目をするべきは、「利用停止権（使わせない権利）」の保護についてだと思われます。※本件、成立前なので、通常国会での状況次第ですが。

政府の個人情報保護委員会は13日、個人情報保護法の見直しに向けた大綱をまとめた。個人が望まないデータ利用の停止を企業に要請できる「利用停止権（使わせない権利）」を導入することが柱だ。個人のデータがインターネットを通して大量に集積し、嗜好や行動が本人に不利益になる形で分析されることを防ぐ。

個人データに「使わせない権利」　個人情報保護法改正案

他人事ではない「リクナビ問題」、全企業に行政指導リスク

個人的に気になっているのは、ユーザーの「使わせない権利」をどのように各企業は保護し利用停止の申請方法を提供するか？ということです。

新型コロナウイルスが蔓延する中で、通信会社がユーザーの位置情報を自治体などへ提供した際、位置情報の取得と第三者提供などについてで、一部のユーザーから「同意なんかしたっけ？？？」という声が上がっており、この領域は良くも悪くも注目が集まっています。

２．個人情報保護法_改正年度（2020年）

2020年になり、改正案について閣議決定した内容を、個人情報保護委員会が法律案をまとめていますが、（Webメディア／サイトを運営する方にとって）重要なポイントは下記の点かと思われます。

・罰金の上限額の引き上げ（1億円以下の罰金）
※GDPRなどが青天井なことを考えると、直接的な経済リスクは抑えられていますが、当該罰金が科された際のレピュテーションリスクを合算すると、看過はできないと思われますが。

・提供元では個⼈データに該当しないものの、提供先において個⼈データとなることが想定される情報の第三者提供について、本⼈同意が得られていること等の確認の義務付
※どこまでを「想定の範囲」として捉えるか？が事業会社としては、重要なポイントになると思われます。（上記の大手人材会社の事案を考えるに、違法ではなくとも、潜脱となるケースはあり、その際のレピュテーションリスクを考えると、過度な対応となるかもしれませんが、Cookie取得を拒否するための機能（「使わせない権利」を担保するためのもの）を用意することが適策ではないか？と思われます。

デジタル規制、2年先行の欧州　世界への普及め…（写真＝ロイター）

上記の日経新聞の報道によると、2021年の春には施行となりそうです。

準備期間（及び現行法でも違法ではないものの、潜脱という誹りを受ける可能性があるの）を考えるのであれば、2020年上半期中には対応することが良いのではないでしょうか？
※本改正案がGDPRなどの規制を参考（そのまま踏襲ではないが）にしていると考えると、現在の欧州での訴訟事案なども注視しておくことが重要かと考えられます。

グーグルの「GDPR」違反から見えた、個人データ収集を巡るいくつかの課題｜WIRED.jp

EUデータ保護当局が指針を発表、Cookieウォールの同意はNG、スクロールで同意もNG | TechCrunch Japan

※個人情報保護法は、「明示の同意」を要求していない点が、GDPRとは大きくことなるので、その点は注意が必要ですが。

３．世の中ではどのように受け止められているのか？

2020年4月にNHKが「さよならプライバシー」という番組を放映しその中で、膨大な量の閲覧ログ（cookieなど）を使えば、「個人」を特定（確からしい想定）が出来る、と説明されていました。

CookieなどのDataに関する、ビジネスに関わっている方々からすれば、「特定にどれだけ多くの種類／量のDataが必要なんだ！？」という内容ですが。。。（簡単に個人特定／推定出来るのならば、これまでのマーケティングで無駄遣いをすることもなかったでしょうし。）

さよならプライバシー あなたの恋愛も懐事情も丸裸!? | NHKニュース

（社説）コロナと情報　利用の功罪を見極めて：朝日新聞デジタル

スマホの位置情報「危機回避なら問題ない」が半数 コロナ調査 | NHKニュース

ただ、上記のNHKの番組や各種報道を見るに、Dataを使って何でも出来て、「勝手に使われる」のは、とても怖いことだというユーザー/世間の声も多く上がって来ているように感じられます。

そんな中、企業側のデータに関する対応はというと、日本国内の各企業が、データの共有先などの明示について、どのように対応しているかを見てみると、6割超の企業がDataの収集／提供状況について対応しておられます。（「使わせない権利」の担保のためのオプトアウト機能を含めて。）ただ、下記記事でも言及されているように、全ての提供先を記載出来ている訳でない点も注目すべきポイントです。

消費者の閲覧履歴など、データ共有先の明示 65%

個人情報に詳しい影島広泰弁護士は「国内外で個人データ保護の規制が強まり、消費者が関心を高めた。企業は『情報開示を拒んでいる』と思われないよう、データ利用を丁寧に説明しようとしている」と話す。

ただ全ての共有先を記載する上では問題もあります。各サイト運営者が導入した（アドテク／マーケテックなどの）サービスと連携し直接導入していない第三者サービスが動いてることがあり、当該第三者サービスをサイト運営者が（物理的に）把握し切れいない（ないしは、把握するための工数が膨大に掛かる）という問題です。（このような第三者サービスをどこまで把握するか？という、各サイト運営社のビジネスジャッジは必要ですが。）

４．対応をどうするべきか？

「使わせない権利」を担保し得る機能を、（なるべく網羅的に）ユーザーに対して提供することが重要です。ここからが我田引水のポイントですが、私どもも2020年3月31日に下記のようなサービスをスタートしました。

端的に言うと、どのようなサービスがユーザーのcookie情報を収集しているか？を自動で検知して、サイト運営者の代わりに通知することが出来る機能です。（サイト運営者にJSを設置頂く必要はありますが。）

Data流通の信頼性を担保するために！プライバシーポリシー通知&Data同意管理ツールPMC（Privacy Management for Consumer）の提供を開始

なお、上記のような第三者サービスとの連携の簡易調査でしたら、無料で請け負わせて頂きますので、お気軽にお申し付け下さい！

CMP（同意管理ツール） | datatailor

また、本件内容について、下記記事などでも分かり易くまとめて頂いておりますので、併せてご覧くださいませ。

Cookieはどこへ行く？改正個人情報保護法のポイント【DataHub_Vol.1】レポート | FUTURUS（フトゥールス）

「クッキー規制はメディアの好機」DataSign太田氏が解説する改正個人情報保護法のポイント | Media Innovation

知らぬ間に奪われるデータ…パブリッシャーが知るべきデータ管理の現在と未来。【Publisher Salon_Vol.2】 | FUTURUS（フトゥールス）