Cookieの取り扱いから考えるデジタルデータ活用と個人情報保護
デジタルデータを取り扱う技術は日々急速に進歩を続けており、収集されたデータの利用用途はかつてとは比べ物にならないほど拡大しています。利便性が向上する一方で、私たちの個人情報を含むデータが悪用され、プライバシーの侵害などの問題が起きるリスクも同時に高まっているのが実情です。 この記事では、デジタルデータの活用と個人情報保護の関係を、Cookieを例に解説します。Cookieは事業者がWebを通して情報収集を行うことができる便利な方法として利用されてきましたが、今後はどのような点に留意する必要があるでしょうか?
Cookieとは?
CookieとはWebサイトにアクセスした時に、Webサイト側から利用者のPCやスマートフォンに保存されるデータです。Cookieには、Webサイトでの利用者の行動に関する情報を記録できるため、後日同じサイトに再度アクセスした時に前回入力したIDやパスワードの入力を省略したり、ショッピングカートの情報を引き継いだりすることなどが可能になります。
日本の個人情報保護制度
デジタル技術が生活の幅広い場面で使用されるようになるのに合わせて、日本でもデジタルデータの取り扱いを個人情報保護という観点から規制する仕組みが整えられています。日本における個人情報保護規制の中心となるのは、「個人情報の保護に関する法律」(個人情報保護法)です。この法律は2003年に成立して以降、社会の変化に対応した改正が続けられています。
「個人情報」とは
個人情報保護法でいう「個人情報」とは、生存する個人に関する情報であって、個人を識別できるもの及び他の情報と容易に照合することができ、それによって個人を識別できるもの、とされています。
個人を識別できる情報の具体例には、
本人の氏名
本人が映った映像
特定の個人と紐づいていることが容易に推定できるメールアドレス
などがあります。
他の情報と組み合わせて個人を識別できる情報には、
細胞から採取されたDNAの塩基配列
容貌データ(骨格や皮膚の色、顔のパーツの位置関係等)
指紋や虹彩の模様、声紋、歩行時の動作パターン等
公的な文書等に記載される番号(マイナンバーやパスポート、自動車運転免許に記載の番号)
が挙げられます。
これらの情報は個人情報として保護するべきことがイメージしやすいものですが、現在の個人情報保護法によって取り扱いが規制されている情報の範囲はさらに拡大しています。
「個人関連情報」とは
「個人関連情報」とは、生存する個人に関する情報であって、個人情報や匿名化した個人情報に該当しないものを指します。
つまり、ある個人に関する情報であるものの、その情報単体ではもちろん、(個人関連情報を保有するものにとって)他の情報と組み合わせて個人を識別することができないものが当てはまります。
個人関連情報の具体例には、
Cookie等に記録された、ある個人のWebサイト閲覧履歴
メールアドレスに紐づいた、ある個人の年齢、性別、家族構成の情報
ある個人の購買履歴、サービス利用記録
ある個人の興味、関心に関する情報
ある個人の位置情報
などがあります。
確かにこれらの個人関連情報だけでは個人を識別することができませんが、個人関連情報が第三者に提供された場合、他の情報と照合することで特定の個人が識別できてしまう可能性があります。
そこで、2020年に改正された個人情報保護法では、提供先事業者が「個人関連情報を個人データとして取得する可能性があるとき」は、個人関連情報の第三者への提供にあたって、本人の同意が得られていることを確認する等の義務が定められています。
EU一般データ保護規則 GDPR
EU加盟国とアイスランド、リヒテンシュタイン、ノルウェーからなる欧州経済領域(EEA)における個人データの取り扱いについて定めた規則が、2016年4月に制定されたEU一般データ保護規則(GDPR:General Data Protection Regulation)です 。GDPRは2018年5月25日に施行されました。
GDPRの保護対象
GDPRで保護対象とする「個人データ」の範囲は、日本の個人情報保護法でいう「個人情報」よりも広く、「個人関連情報」までも含みます。
第4 条 定義
(1) 「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。
具体的には、
本人の氏名
本人の識別番号(パスポートやクレジットカードの情報、指紋等個人を識別できる情報)
位置データやオンライン識別子(Cookie含む)
が保護対象となる「個人データ」に該当します。
加えて、日本の企業にとって注意すべきポイントは、GDPRの対象がEU域内に居住する人の個人データとされている点です。EU域内に支店や子会社が存在せずEU域外で個人データを取り扱う場合でも、EU域内の個人に関するデータである限りGDPRの規制対象となります。
第3 条 地理的適用範囲
1. 本規則は、その取扱いがEU 域内で行われるものであるか否かを問わず、EU 域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される。
2. 取扱活動が以下と関連する場合、本規則は、EU 域内に拠点のない管理者又は処理者によるEU 域内のデータ主体の個人データの取扱いに適用される:
(a) データ主体の支払いが要求されるか否かを問わず、EU 域内のデータ主体に対する物品又はサービスの提供。又は
(b) データ主体の行動がEU 域内で行われるものである限り、その行動の監視。
つまり、自社のWebサイトにEU域内の個人がアクセスしたケースで、氏名やクレジットカード情報はもちろん、cookie情報を取得した場合もGDPRに則った適切な個人データの管理が求められることになります。
GDPRによって事業者に求められる対応
個人データを取り扱う事業者が従う必要があるGDPRの規則は多岐にわたりますが、主なものとして次の3点が挙げられます。
個人データ取得の目的の明示と本人による同意
個人データの取得にあたって、どのようなデータを何の目的で取得するのかを明示した上で、本人の同意を得なければなりません。
保存期間の制限
収集した個人データを保存する必要が無くなった時は、個人データを削除する必要があります。
ユーザーが本人の個人データをコントールする権利の保障
本人の求めに応じて、本人の個人データを閲覧、編集、削除できる権利を尊重しなければなりません。
ポリシーを策定する
個人データを取り扱う事業者は、個人データを保護するセキュリティを確保するための技術的、組織的な措置をとる必要があります。具体的には、個人データの暗号化やセキュリティポリシーの策定などが挙げられます。
GDPRには上記以外にも詳細なルールが多数設定されており、そのすべてを理解することは容易ではありません。適切な個人データ管理体制の構築のためには専門家のアドバイスを受けることが推奨されます。
カリフォルニア州消費者プライバシー法 CCPA
アメリカ版GDPRとも言われる個人データ保護規制が、カリフォルニア州消費者プライバシー法 CCPA(California Consumer Privacy Act)で、2020年1月1日から施行されています。その名の通り、アメリカのカリフォルニア州の州法であり、保護対象はカリフォルニア州の住民とその世帯の情報です。
カリフォルニア州はアメリカでもっとも人口の多い州であり、IT産業の中心地として有名なシリコンバレーが存在することでも知られています。将来的にCCPAがアメリカ全体の個人データ保護制度のモデルになる可能性も想定されるため、世界中から注目が集まっています。
CCPAの保護対象
保護対象となるデータの範囲はGDPRに近く、Cookieなど単体で個人を識別できない情報を含みます。条文には具体的な例が記載されていますが、これらの例に限定されるわけではないことも明記されており、今後の技術発展や社会情勢の変化に応じて範囲が拡大していくことも想定されます。 対象となる個人データは、カリフォルニア州の住民のデータに限られますが、個人データを取り扱う事業者はカリフォルニア州内に所在するものに限定されません。そのため、日本国内の事業者も対象になる可能性があります。
CCPAによって事業者に求められる対応
事業者が為すべき対応に関するCCPAの規制も、GDPRと同様に多岐にわたります。CCPAの規制のなかでGDPRと似ている部分には、
収集される個人データとその目的に関する情報の提示
本人が収集された情報の開示を受ける権利及び情報の削除を求める権利
個人データに対して合理的なセキュリティ対策を施す
などがあります。
3つの法規制におけるCookieの考え方の違い
この記事で紹介した3つの個人情報保護制度をCookieの考え方には以下のような違いがあります。
個人情報保護法 | GDPR | CCPA | |
|---|---|---|---|
適用範囲 | 日本国内にある者を本人とする個人情報を取り扱う事業者(外国において取り扱う場合も含む) | EU圏に所在する個人の個人データを取り扱う事業者 (EU圏外において取り扱う事業者を含む) | カリフォルニア州の住民とその世帯の情報を取り扱う事業者(事業者には対象となる要件あり、州外において取り扱う事業者を含む) |
Cookieの位置付け | 氏名などの個人情報とは異なるカテゴリの「個人関連情報」 | 氏名などと同じ個人データ | 氏名などと同じ個人データ |
Cookie利用に関する本人の同意 | 個人を識別できる情報と照合することが想定される第三者に提供する場合は、本人の同意を得られていることを確認する必要あり。 | 通知の上、本人が自ら能動的に同意することを求める(オプトイン)。 拒否しない限り取得する方式では不十分。 | 本人がCookieの利用を停止できる権利(オプトアウト)を通知する必要がある。 |
3つを比較すると日本の個人情報保護法は比較的緩やかな規制であると考えられており、Cookieの取り扱いにもそれが現れています。
日本企業はGDPRやCCPAに従うべき?
それでは、日本の事業者は個人情報保護法さえ遵守しておけば良いのでしょうか。
GDPRやCCPAの規定を見ると、Webを通じて対象となるデータを取得する場合には日本国内で事業を行っている場合でも適用対象となり得ます。思わぬ形で制裁金や民事訴訟の対象になるリスクもあるため注意が必要です。
実際にGoogleやFacebookがGDPRに対応できていない部分があったことを理由として巨額の制裁金が科せられました。
国内企業の例としては、Web検索の他様々なサービスを提供している「Yahoo! JAPAN」は、GDPRへの対応コストの負担を考慮し、2022年4月6日をもってEEA及びイギリスへのサービス提供を停止しました。「Yahoo! JAPAN」の場合は日本国内向けのサービスが中心だったとはいえ、その決断は驚きをもって迎えられました。
デジタルデータ活用に向けて
Webを通じて私たちの情報がやり取りされる現状において、個人データの取り扱いに関する規制の整備が進んでいます。現在の日本では適法な行為も、海外の規制が求める対応になっていない可能性もあります。 GDPRやCCPAは厳しい基準を提示していますが、データの活用そのものを禁じる趣旨はありません。適切な手順を経て取得されたデータを、適切な方法で処理することは、現代の、そして将来のビジネスにとって重要な課題となっています。
実際にGoogleやFacebookがGDPRに対応できていない部分があったことを理由として巨額の制裁金が科せられました。
国内企業の例としては、Web検索の他様々なサービスを提供している「Yahoo! JAPAN」は、GDPRへの対応コストの負担を考慮し、2022年4月6日をもってEEA及びイギリスへのサービス提供を停止しました。「Yahoo! JAPAN」の場合は日本国内向けのサービスが中心だったとはいえ、その決断は驚きをもって迎えられました。
