制作お役立ち便利帳
タグ：Cookie

2022年4月施行の改正個人情報保護法は、個人データの不適正な利用に厳しくなるとともに、マーケティングへの活用の道も開かれるというバランスをとったものです。まず厳しくなる点では、①罰則　②義務の拡大　③請求権の拡大　などがあります。

罰金は「6か月以下の懲役又は30万円以下の罰金」から「1年以下の懲役又は100万円以下の罰金」に、報告義務違反に対しては「30万円以下の罰金」から「50万円以下の罰金」に強化されます。法人に対する罰金刑は措置命令違反と不正流用については「1億円以下」に引き上げられます。また諸規定は外国の事業者にも適用されます。

個人情報取扱事業者の義務は、個人データの不適正な利用の禁止義務が明文化され、漏えい等が発生した場合の報告義務及び本人に対する通知義務が新設されます。一方で民間団体の「認定個人情報保護団体」がある程度ルールを決められて事業者の自主的な個人情報保護への取り組みを推進しています。

個人データの利用停止や消去を請求できるのは、旧法では目的外利用された時と不正の手段で取得された時に限られ、また第三者提供の停止を請求できるのは、本人の同意なく第三者提供がなされたときに限られていましたが、改正法では上記に加え、不適正な利用がなされたときも利用停止等が請求できます。また、個人データの取扱いにより本人の権利又は正当な利益が害されるおそれがあるときにも、利用停止等又は第三者提供の停止の請求ができるようになります。

一方でデータ利活用の促進として、個人を特定できないように個人情報を加工した「個人関連情報」は、旧法では加工前の情報と同等に厳格な規制の対象となっていましたが、改正法では氏名等を削除して、他の情報と照合しない限り個人を特定できないように個人情報を加工した場合は（仮名加工情報）、仮名加工情報取扱事業者の内部分析目的の利用に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和しました。

これはCookieなどのような識別子情報とそれに紐づく閲覧履歴や購入履歴などの個人情報ではない情報のことで、改正法では個人関連情報を第三者提供する場合、提供元が提供先に対して本人の同意を得ていること等を確認する義務を新設しています。例えばホームページを開くと、『弊社のウェブサイトでは、サービスの向上、またユーザーにより適したサービスを提供するため、クッキーを使用しています。また、ユーザーに合ったコンテンツや広告を表示させることを目的としてクッキーを使用する場合があります。』として同意を求めるケースなどです。

そもそもCookie自体には個人情報を抜き出したり、特定したりするような機能や仕組みは無く、Webサイトへのアクセス履歴やログインIDなど、Webサイトの閲覧にかかわるデータのみとなっていますが、Cookieとその他の情報を照合することによって個人を識別することは可能です。Cookieに関するトラブルを防ぐために使用同意を求めるポップアップがありますが、その内容はEUで2018年5月にできた法律GDPRの項目が参考にされています。

現時点ではポップアップを表示することは義務付けられてはいませんが、今後施行される法改正を考慮して、マーケティングに関連したWebサイトではCookie使用の同意を得る仕組みの準備を行っておくとよいでしょう。一方で2020年10月に公開されたGoogle Analytics 4はプライバシー保護に重点を置いて開発され、Cookieを使用することなくアクセス解析が行えますので、マーケティングに関係の薄いWebサイトでは、ユーザーにCookieの使用を拒否されてもサイト運営に直接影響はないともいえます。

参考：個人情報保護委員会ウェブサイト　https://www.ppc.go.jp/