ニュース

IIJ、6月16日施行の「Cookie規制」 を解説〜多くのサイトやアプリが対象になり、情報の公表などが義務に

 株式会社インターネットイニシアティブ(IIJ)は5月30日、2023年6月16日から施行される改正電気通信事業法において盛り込まれる「クッキー等規制(Cookie規制)」について、その概要を説明した。対象事業者のウェブサイトでの対応状況や、対応できていない場合のリスクなどについても言及している。

 クッキー等規制は、「外部送信規律」と呼ばれているもので、サイトやアプリのCookieなどを通じて、利用者に関する情報を外部に送信する場合、一定の情報提供などを義務付けるものとなっている。

「外部送信規律」規定の目的は、安全性・信頼性の確保

IIJ 石村卓也氏(ビジネスリスクコンサルティング本部 シニアコンサルタント)

 米ニューヨーク州弁護士であり、IIJビジネスリスクコンサルティング本部シニアコンサルタントの石村卓也氏は、本件は、ウェブサービス等での行き過ぎたデータ活用の問題が背景にあると指摘。「昨今、SNSや動画共有、ニュース配信、検索などのサービスを通じて、多くの利用者情報が流通されており、利用者が知らないうちに、利用者情報の外部送信が行われている場合がある。なかには、事業者による行き過ぎたデータ活用があり、一度、サイトを閲覧しただけでも、関連する広告が表示され続けるといったことを経験した人も多いのではないか」とした。

 「外部に送信された情報に基づいた広告配信のカスタマイズなどによって、利用者が知らないうちに、目にする情報が選別されているといった影響を受けていることもあり得る。サイトやアプリを運営している事業者は、利用者に安心してサービスを利用できるようにすることが大切である。透明性を高めることによって、自身のサービスの安全性や信頼性をアピールすることにもつながる」と、クッキー等規制の意図を説明した。

海外と比較した日本の個人情報保護、法規制は未だ限定的

 欧州のGDPRでは、Cookie単体を個人データ(個人情報データベースなどにおいて特定の個人を検索可能にするデータ)として扱い、Cookieによる情報取得にあたってはオプトインによる同意が必要になっている。また、米カリフォルニア州のCCPAでは、Cookie単体を個人データとして扱い、Cookieによる情報の取得や広告目的などの場合には、オプトアウト権付与が必要だとしている。

 一方、日本の個人情報保護法では、2022年4月の改正で、Cookie単体は個人情報ではないとしているものの、第三者の提供先で個人データと紐づく場合だけ、同意取得が必要となった。「日本での法規制が限定的であり、欧米に比べて緩いものになっている」と指摘する。

規制対象のサービス事業者は4類型に分類

 では、今回の外部送信規律(クッキー等規制)とは、どういったものになるのか。まず、規制対象となる事業者から見てみたい。

 石村氏は、「他人の需要に応じて、サイトやアプリを通じて、4つの類型に当てはまるオンラインサービスを提供し、事業を営む者が規制対象になる」と説明する。具体的には、次の4つに分類だ。

  • 他人の通信を媒介するサービス:メールやメッセンジャー、Web会議など
  • コンテンツ配信サービス:SNS、電子掲示板、動画共有サービス、オンラインモール、マッチングなど
  • 検索サービス:GoogleやYahoo! JAPANなどのオンライン検索サービス
  • 各種情報のオンライン提供サービス:ニュース、気象情報、オンライン地図など

電気通信事業者以外でも、対応が必要な規制対象になる

 また、対象事業者は、登録、届出を要する電気通信事業者に限られないという。

 これに関し、石村氏は、「他人の需要に応じて」という部分の解釈を説明した。「他人間の通信媒介や場の提供、検索、情報提供そのものが事業になっている事業者が対象になる。ここでは、営むという言葉が用いられており、そのような役務を反復継続して提供することにより、利益を上げようとすることを指している。実際に利益があがっているかどうかは関係ない。だが、自社の製品を自社サイト内で販売している場合には、『他人の需要に応じて』ということには該当せず、適用対象外になる」という。

 規制されるのは、先にも触れたように、サイトやアプリで、Cookieなどの利用者に関する情報を外部に送信する行為だ。たとえば、サイトに埋め込んだタグによって、利用者の閲覧履歴や、使用しているPCのシステム仕様などを外部に送信し、収集するといったものが該当する。第三者のサーバーに送信する場合だけではなく、サービス提供者自身のサーバーに送信される場合も規制対象となる。

「通知/公表」「事前同意取得」「オプトアウト機会提供」のいずれかが義務に

 外部に情報を送信する場合には、利用者情報の外部送信についての通知や、容易に知り得る状態で公表すること、利用者情報の外部送信について、あらかじめ利用者の同意を取得すること、利用者の求めに応じて利用者情報の送信や利用を停止するオプトアウト機会を提供することといった、いずれかの措置を取る必要がある。

「通知または公表」「事前合意取得」「オプトアウト機会提供」のいずれかが必要

 「多くの企業は、比較的負担が少ない公表を選択すると見られる。だが、プライバシーに配慮する姿勢を見せるために、事前同意取得や、オプトアウト機会提供を選択する企業もあるだろう。なお、対象事業者は、端末IDや閲覧履歴といったように、送信させる利用者情報の内容を明らかにし、送信された情報の利用目的を具体的に示す必要がある。公表する場合には、利用目的などを、タグや情報収集モジュールごとに記載すること、送信元の利用目的と送信先での利用目的を記載すること、情報送信を行うウェブページから1回程度の操作で到達できる遷移先のページに表示されることなどに留意したほうがいい」と、石村氏は対応機能の実装について提案した。

利用者に対し、「送信される利用者情報の内容」「送信先の氏名・名称」「利用目的」の情報提供が必要

 また、「事前同意取得」や「オプトアウト機会提供」の場合には、GDPR対応などによって、すでに利用されているクッキーバナーの使用を提案。だが、その際にも、わかりやすさや効率性の観点から「公表」ページも一緒に用意したほうがいいと提案した。

 そのほかにも、注意すべき点がある。「事前同意取得」の場合は、ウェブページやアプリケーションに埋め込まれたタグや情報収集モジュールごとに同意を取得することが望ましいとされていること、「オプトアウト機会提供」の場合は、送信される利用者情報の内容、送信先の氏名や名称、利用目的のほかに、オプトアウト措置を講じていることや、オプトアウト措置の申し込み方法などを、利用者が容易に知り得る状態に置かなければならないという。

 公表や事前同意取得、オプトアウト機会提供を実装する際に守るべきルールは、総務省のガイドライン解説に示されているという。

「公表」の場合の実装例1
「公表」の場合の実装例2
「事前同意取得」や「オプトアウト機会提供」の場合の実装例

業務遂行の手段としてのみ使用する情報など、適用外のケースも

 ただし、規制適用の除外とされる情報もある。

 たとえば、コンテンツ再生に必要な端末構成情報といった「オンラインサービスの提供に利用する情報」や、ECサイトで買い物カゴに入れたアイテムなど、「利用者の入力内容を端末ディスプレイに再表示するために必要な情報」、利用者の利便性を高めるために、端末のディスプレイに「ユーザーIDを再表示するために必要な情報」、普段と違う端末IDからのログインを疑うといった「不正検知などに必要な情報」、複数のサーバーで負荷分散する際に、端末IDを識別して、同一の端末からのリクエストを同一サーバーに振り分けてセッションを維持するといった用途において、「ロードバランシングなどに必要な情報」などが適用除外対象になる。

 石村氏は、改正電気通信事業法の施行を、約2週間後に控え、「対象事業者となる可能性がある企業から『自社のサービスは規制対象になるのか?』といった質問が圧倒的に多い」とし、そうした問い合わせ事例のなかから、いくつかの事例を紹介した。

 ある企業は、製品の販促のため、自社製品に関連するトレンド情報などをサイト上で配信しているという。石村氏は、「この場合は、情報提供自体を事業の内容とするのではなく、事業遂行の手段としているに過ぎないため、改正法のクッキー等規制の適用はない」とした。

 また、別の企業では、複数のSNS公式アカウントを運用し、自社製品の情報発信やキャンペーン情報などの発信を行っているという。「クッキー等規制の適用を受けるのは、サービス提供者であるSNS事業者である。この企業の場合は、SNSの利用者に過ぎない。SNS公式アカウントを運営しているのみでは、改正法のクッキー等規制は適用されない」という。

 オンラインショップで自社製品とともに、グループ会社の製品も販売している企業においては、グループ会社の製品の販売に関する部分で適用の対象となる、「自社の製品やサービスの販売などを行うサイトは、クッキー等規制の適用を受けないが、法人格の異なるグループ会社の製品を販売することは、複数の出品者の商品などを購入できる場を提供するサービスに該当し、クッキー等規制が適用されることになる」と説明した。

 IIJでは、オウンドメディアである「世界のプライバシー保護規制対応を支援するサイト」を運営。同サイトでは、ニュースを扱っており、クッキー等規制が適用の対象事業者になると判断。すでに、必須公表事項を記載したページにリンクできるようにしている。

適用除外の対象となる例

罰金などはないが、評判低下によるリスクは想定される

 対象となる事業者が、クッキー等規制への対応ができていない場合、どのようなリスクがあるだろうか?

 石村氏は、「業務改善命令とともに、違反行為を行った事業者の名称などが公表される場合がある。GDPRなどのように直接的な罰金はないが、事業者のリスクとして、報道やSNS拡散などによるレピュテーションの低下、消費者離れ、取引先との取引停止や株価下落、信用下落などが想定される。最悪の場合は市場からの撤退を余儀なくされる可能性もある」と説明。近年、プライバシーに関わる問題は、複数の要因が重なりあって、現代の新たな経営リスクとなっていることに注意する必要がある」と警鐘を鳴らした。

対応できていない場合のリスク

 石村氏が懸念しているのは、対象事業者の対応状況が遅れる一方で、内容に不備があるサイトが散見されることだ。

 IIJでは5月20日時点で、クッキー等規制の対象と考えられる国内のメディアサイトを対象に調査を行った。対象は、全国の新聞社とテレビ局、およびネットニュースメディア230サイトで、分母の多くは新聞社とテレビ局が占めるという。

 調査の結果、未対応サイトが178サイトとなり、全体の77.4%を占めた。また、「公表」により対応済みと思われるが、内容に不備があり、法要件を満たしていないと思われるサイトが29サイトで、12.6%を占めた。

 「内容に不備があると思われるサイトでは、タグや情報収集モジュールごとの記載になっていないことや、『広告』や『アクセス解析』などの分類のみの表示になっており、目的の記載が不十分であること、フッターのリンクなどから2~3回の遷移が必要で、階層が深いことといった例があった」と、石村氏は指摘。「法要件を満たさず、また利用者への透明性が確保されているとは言えない。対象となる事業者は、ガイドライン解説や総務省のサイトで示されているクッキー等規制の趣旨に立ち戻り、実装を見直す必要がある」とした。

 一方で、「公表」により規制へ対応したうえで、クッキーバナーを表示して積極的な情報開示まで行っているサイトは、全体の1.3%にあたる3サイト、「公表」で規制に対応済みのサイトは3.0%にあたる7サイト。クッキーバナーを表示して積極的に情報開示しているサイトは、5.7%の13サイトだった。

クッキー等規制の対象となるメディアサイトの対応状況の調査結果