ニュース

個人情報保護法の改正で示されたCookie規制の方向性とは? IIJが解説

 個人情報保護委員会が11月29日に公表した「個人情報保護法 いわゆる3年ごとの見直し 制度改正大綱(骨子)」では、どのようなCookie等規制の方向性が示されているのか? 株式会社インターネットイニシアティブ(IIJ)が12月5日に報道関係者向けのセミナーを開催し、同社ビジネスリスクコンサルティング本部副本部長の鎌田博貴氏が、Cookie規制強化の背景も含め、解説した。

 なお、このセミナーの段階ではまだ「骨子」だったが、その後、「個人情報保護法 いわゆる3年ごとの見直し 制度改正大綱」が公表され、現在、パブリックコメントを受け付けている(2020年1月14日まで)。これを経て、今後、国会への改正法案の提出へと進む流れとなる。

株式会社インターネットイニシアティブの鎌田博貴氏

 鎌田氏は、この骨子におけるCookie規制で注目すべき点として、「IV.2」にある「提供元では個人データに該当しないものの、提供先において個人データとなることが明らかな情報については、個人データの第三者提供を制限する規律を適用する」という部分を挙げた。

 個人情報保護法において“個人データ”とは、氏名や住所などと照らし合わせて個人が直接識別できる情報と定義されている。提供元では単なるCookieであり、個人データにはならないが、閲覧履歴がサードパーティCookieによってSNSなどの会員制サービスに伝わった場合、提供先であるSNSや会員制サービスにはユーザーアカウントがあるため、そのCookieによって得られた閲覧情報を特定の個人に紐付けることができる。そのような場合は第三者提供を制限するというのが今回公表された内容だ。

改正大綱の骨子の内容

 そして、このような規制対象となる情報については、個人情報保護法23条2項に基づいて、オプトアウト(利用者が開示を拒否する権利)が認められる。ウェブサイトにおいて、FacebookやTwitterなどのSNSや、例えば「リクナビ」や「YouTube」などの会員制となっているサービスが発行するサードパーティCookieを使う場合は、利用者にそのことを説明し、利用者が拒否する権利を保証しなければならないことになる。

サードパーティCookieで取得されるネット上の行動履歴が規制対象

 今回の改正法の規制対象となるものとならないものは、一般的なターゲティング広告だ。ターゲティング広告ではCookieの発行元は広告エージェントであり、広告エージェントはユーザー1人1人のアカウントを保有しているわけではないため、提供先においても個人データとはならない。したがって一般的な広告エージェントが発行するサードパーティCookieによるターゲティング広告は対象外となる。

 逆に規制対象となるのは、前述したように、FacebookやTwitter、Instagram、Googleなどの会員情報を保持するサービスが発行したCookieや「いいね!」ボタンなどのプラグインを別のウェブサイトが埋め込んでいる場合だ。その場合はCookieによって取得された閲覧履歴などをSNSや会員制サービスの事業者が得ることで個人データになるため、オプトアウト権の対象となり、利用者に対して利用目的などを情報提供することや、利用者がSNS等への情報提供を拒否する権利を保証すること、個人情報保護委員会に届け出することなどが義務付けられるという。

 鎌田氏は、上記のような内容を踏まえた上で、個人的な見解として以下の3つの論点を挙げた。

 1つめは、個人情報保護法では、個人情報は「氏名などによって個人を識別できるもの」と定義されているが、提供先において実名ではなくニックネームやハンドルネーム、ユーザーIDだけを保持しているような場合も規制対象となるのではないか――という問題だ。仮名でアカウントを作れるサービスであっても、そのニックネームやハンドルネームを使って発言・投稿すれば、それは1人の人格として社会的に実体のある存在となる。そのような仮想的な人格のプライバシーは今回の制度改正大綱では規制の対象とはならない。それをどう捉えるべきかという議論は必要であると鎌田氏は考えている。

 2つめは、個人情報保護法の23条5項3号にある「複数の主体が個人情報を“共同利用”する場合はオプトアウト権を認めず、情報提供するだけで共同利用は自由にできる」という内容の条文についての議論だ。今回の改正内容のケースにおいて、「これは共同利用であり、第三者提供ではない」と強弁する企業が現れた場合に、そのような規制迂回をどのように防ぐかを法運用の中で考える必要がある。

 3つめは、前述したように、一般的なターゲティング広告を目的とするサードパーティCookieは今回の規制対象にはならない可能性が高いが、最新の分析技術により、検索などのネットの行動履歴をもとに、病歴や犯罪歴、犯罪被害、信条など、個人情報保護において「要配慮個人情報」として特別に保護を受けるセンシティブなプライバシーが提供先で推論される可能性がある。氏名などで識別できない場合であっても、このようなセンシティブな情報も何らかの保護を必要とするのではないか――という議論は必要であると、鎌田氏は指摘する。

 「どこまでがプライバシー保護の対象となる人格なのか、実名が分かった人間でなくてはならないのか――といった点については、本格的に議論し、よりよいプライバシー保護を実現していただければいいなと思います」と鎌田氏は語った。