セキュリティ

個人情報保護法改正のCookie規制やGDPR・CCPAへの影響とは?

2020年3月に個人情報保護法が改正されました。Webサイトにおける個人情報取り扱いのルールが改正されたのは、2018年に海外で施行されたGDPRや、2019年のリクルートが学生に無断で内定辞退率を分析・販売したリクナビ事件などの影響とされています。個人情報保護法の改正における変更点やCookie規制の理由や内容を理解して、Webマーケティングを違反なく行えるようにしましょう。

個人情報保護法改正について

目次

個人情報保護法とは?改正の変更点は?

個人情報保護法とは?

個人情報保護法とは、2005年に施行された企業の個人情報の取り扱いの方法を定めた法律です。そもそも個人情報は、生存する個人の氏名や生年月日など、特定の個人を識別できるデータのことを指していて、DNAや指紋などの生体データや、マイナンバーや運転免許証など公的期間が生成する個人識別符号も個人情報に含まれます。これらの個人情報を保護するために制定された法律が、個人情報保護法です。

改正の変更点は?

2020年の3月に個人情報保護法の改正案が閣議決定されました。改正案では、Cookieのような電子情報の取り扱いについての利用条件が厳格になりました。例えば、個人情報の取り扱い条件を違反した際の罰金額は「50万又は30万円以下」から「一億円以下」へと引き上げられました。

Cookieとは

2019年の「リクナビ事件」をきっかけに日本でもCookie規制が始まり、個人情報保護法の改正案にCookieが盛り込まれました。では、そもそもCookieとはどのようなものなのか、どの機能が問題なのかを紹介していきます。

Cookieとは?

Cookie(クッキー)とは、ユーザーがWebサイトに入力した情報を一定期間ブラウザに保存する仕組みです。例えば、会員サイトで一度IDやパスワードを入力してWebサイトにログインすれば、次回アクセスした際にログイン情報が記憶されていて、入力が不要だったという経験があると思います。CookieがそのWebサイトのログイン情報をブラウザに保存することによって、IDやパスワードを都度思い出す必要なくログインすることができます。

ログイン情報の保存以外のCookie使用例としては、リターゲティングという広告配信への活用が挙げられます。リターゲティングとは、ユーザーが同一ブラウザで閲覧経験のある商品の広告を表示する、アドテクノロジーの1つです。例えば、ECサイトで一度閲覧していた商品が他のWebサイトの広告に出てくることがあります。これは、Cookieの閲覧情報を企業が買収して、よりその商品に興味のある人に対して広告を配信しているからです。このように、Cookieは利用者にもWebサイトを運営する企業にも便利な情報となります。

Cookie規制とは?

Cookieの情報はブラウザ上に保存されたデータであり、Cookie自体は個人が特定できる情報ではありません。しかし、ブラウザに残されたCookieの情報と他の個人情報が組み合わせれば、個人を特定することができてしまいます。そのため、Cookie情報を個人情報として厳格に扱うことで、消費者のプライバシー権を守るCookie規制の動きが広がっています。

Cookie規制とは、Cookie情報の悪用や無断利用を禁止した規則や法律を指します。Cookie規制が広がっているアメリカやEAAのGDPAやCCPAなどでは、Cookie自体を個人情報として定義して、Cookie情報の無断使用や販売を規制しています。

海外のCookie規制と日本の個人情報保護法の違い

海外のCookie規制と日本の個人情報保護法の違いは、Cookieそのものを個人情報と定義していない点です。前述のように、GDPRやCCPAはCookie自体を個人情報と定義していますが、個人情報保護法の改正では、消費者が収集された電子情報の開示を求められるように、電子情報の利用条件を変更したにとどまります。そのため、いまだ欧米の個人データを保護する規則であるGDPRやCCPAと同程度の規制はなされていないのが現状です。

それでは、海外のCookie規制の例として、GDPRとCCPAの内容やそれぞれの違いを紹介します。

GDPR

GDPRとは、一般データ保護規則(General Data Protection Regulation)の略称です。2018年に、28のEU加盟国にノルウェー・アイスランド・リヒテンシュタインを加えたEEAの間で施行されました。公開されている情報や、他の情報と組み合わせることで個人を識別できる情報を個人情報としており、明示的な合意のない個人情報の使用を禁止しています。

GDPRとは、一般データ保護規則(General Data Protection Regulation)の略称です。2018年に、28のEU加盟国にノルウェー・アイスランド・リヒテンシュタインを加えたEEAの間で施行されました。公開されている情報や、他の情報と組み合わせることで個人を識別できる情報を個人情報としており、明示的な合意のない個人情報の使用を禁止しています。

GDPRでは、以下のような情報が個人データに含まれます。

  • 氏名
  • Eメールアドレス
  • 個人の画像・映像・音声
  • GPS・IPアドレス・Cookie識別子

これらの個人情報は、収集や利用目的についての有効な同意が明示的に行われる他、データは一定期間をすぎれば削除するなど、適切な処理が必要です。

CCPA

CCPAとは、カリフォルニア州消費者プライバシー法(California Consumer Privacy Act)の略称です。アメリカのカリフォルニア州で2020年7月に執行されます。

GDPRと同様に、CCPAは個人データの取り扱いについての規制です。GDPRとの相違点は2つあります。1つ目は、個人データの第三者への販売・転送方法をGDPRと比べてより広範囲で、詳細に開示する必要があることです。そして2つ目は、消費者から請求があった場合、開示対象となる個人データの範囲もGDPRより広い点です。

今後の動向

個人情報保護法の今後

日本の個人情報保護法では、海外のようにCookieなどの電子情報に対して厳格な規制はなされていません。ですが、今後Cookie自体が個人情報とされることも十分あり得ます。Cookieから得た情報とログイン情報などから得た個人情報を組み合わせたマーケティングを自社のWebサイトが行っていないか、その情報を第三者に販売していないかなどもチェックしてみてください。

ブラウザの閲覧データ提供サービスの今後

2020年には、Googleが今後2年以内に閲覧データの提供サービスを終了すると発表しました。GoogleのChromeでは、サードパーティCookieと呼ばれる、第三者企業への閲覧データ提供サービスを行っていました。しかし、よりプライバシーが重視されたインターネットを目指す「Privacy Sandbox」という取り組みが発足したことで、サードパーティCookieの停止が決定しました。

このように、今後は法律だけでなくブラウザ側でもCookieを商業目的で利用することは難しくなっていきます。

まとめ

今回は、GDPR・CCPAなどのCookie規制と個人情報保護法との違いを紹介しました。個人情報保護法やサードパティーCookieの今後の動向は、企業に大きな影響を与えます。個人情報の取り扱いの見直しなど、自社Webサイトの現状把握が重要です。

この記事の著者

itra
ITRA株式会社

官公庁や大手企業を中心とした大規模なWebサイトを総合的にプロデュースするWeb制作会社。デザインからシステム、サーバーまでWebサイトに関わるお客様の悩みを解決します。