改正個人情報保護法とCookieの取り扱い

April 28, 2022

執筆者:弁護士 沢田篤志

 

(目次)

1.個人情報保護法とCookieの関係

2.改正の背景(リクナビ問題)

3.条文

4.個人関連情報について新設されたルールの概要

5.国外の規制についての留意点

 

―――

 

1.個人情報保護法とCookieの関係

 Cookieは、ウェブサイトを閲覧したときにパソコン、スマートフォン等のブラウザに保存される情報です。

 この記事では、2022年4月1日に施行された改正個人情報保護法で新設された「個人関連情報」とCookieの取り扱いとの関係についてご説明します。

 

 まず、前提として、個人情報保護法の改正前・改正後のいずれにおいても、Cookieは、それ自体では「個人情報」には該当しません(ただし、他の情報と紐付いて特定の個人を識別できるときには、個人情報に該当します。)。

 しかし、改正個人情報保護法では、「個人関連情報」(=生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの)についての規制が新設されました。

 これにより、「Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴」は、個人関連情報の1つということになりました。

 改正個人情報保護法のもとでも、自社が運営するサイトでCookieを使用している場合にすべて規制の対象になるわけではありません。以下でご説明する一定の場合にあてはまる利用方法について、法規制を受けることになります。

 

 なお、自社が法律の規制を受けない場合であったとしても、自主的に自社のウェブサイトでのCookieの取り扱いの考え方についてプライバシーポリシーで公表・説明する等の対応を行うことは、望ましい取り組みであると思われます。

 近年、ウェブサービス等の利用履歴を追跡されることへの漠然とした不安感や、プライバシーやパーソナルデータの保護を重視する考え方は、社会一般に広がっています。

 企業が社会から信頼を受けるために、上記のような取り組みは有意義であるといえます。

 

2.改正の背景(リクナビ問題)

 2019年に、就職情報サイト「リクナビ」運営企業において、就職活動を行う学生の氏名ではなくCookieで突合して算定した「内定辞退率」の情報を利用企業に提供し、その情報の提供を受けた利用企業側において学生個人を特定していた事案が問題になりました。これが法改正のきっかけとなって、令和2年(2020年)改正では、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認の義務づけがされるようになりました。

 

3.条文

 改正個人情報保護法(2022年4月1日施行)は、個人関連情報について、次のような規定をおいています(抜粋)。

 

  第30条 (第三者提供を受ける際の確認等)

   1 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第27条第1項各号又は第5項各号のいずれかに該当する場合は、この限りでない。

    ① 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名

    ② 当該第三者による当該個人データの取得の経緯

   2 前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。

   3 個人情報取扱事業者は、第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。 

   4 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

 

  第31条(個人関連情報の第三者提供の制限等)

   1 個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。(略))を個人データとして取得することが想定されるときは、第27条第1項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。

    ① 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。

    ② (略)

   2 (略)

   3 前条第2項から第4項までの規定は、第1項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第3項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。

 

4.個人関連情報について新設されたルールの概要

 改正個人情報保護法のもとでは、個人関連情報取扱事業者(上記事案では、リクナビの運営企業)から個人関連情報(上記事案では、Cookieと紐付けられた情報)の提供を受ける第三者(上記事案では、利用企業)は、他の情報と突合して「個人データ」(※個人情報のうち、個人情報データベース等を構成する情報をいいます。)として取得する場合には、本人の同意を取得する必要があることになります。

 改正個人情報保護法第31条第1項は、個人関連情報取扱事業者が「第三者が個人関連情報を個人データとして取得することが想定されるとき」は、「当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること」の確認を要する、としています。

 ここでいう同意は、Cookieを取得することへの同意ではありません。第三者(上記リクナビ事案でいう利用企業)が「個人データとして取得することを認める旨の本人の同意」です。

 また、個人関連情報取扱事業者は、同意が得られていることの確認、記録作成、保存の義務を負うことになります(改正個人情報保護法第31条第2項、これによって準用される同法第30条第2項~第4項)。

 

5.国外の規制についての留意点

 本記事では、日本国内の個人情報保護法について説明をしています。

 EU(ヨーロッパ連合)のパーソナルデータの保護法制であるGDPR(一般データ保護規則)では、Cookieについての同意の取得について、より厳しい規制がされていますので、例えばEU圏内のユーザーにサービスを提供することがある場合等においては、別途の検討が必要になることにご留意ください。


contact