日本企業のウェブサイトに求められる「Cookie利用同意確認とCookieポリシーの設置」
ども、どもども。
先日、クライアント企業さんから、自社のウェブサイトにもCookie利用確認のボタンを設置したほうが良いだろうか?と相談を受けました。
ここ数年でよく見かけるようになったこのボタン、EU加盟国で施行されたGDPRや、改正個人情報保護法への対応として設置されているものですが、どのようなときに必要となるかなど、明確に説明できるほど理解できていませんでした。
そこであらためて、GDPRのこと、改正個人情報保護法のこと、ウェブサイトでこのボタン(Cookie利用同意確認ツール)が必要になるケースを勉強し直したので、このブログにも残しておこうと思います。
だいぶ長くなってしまいましたが、一通り理解できたのかなと思います。
間違いなどがあったら、優しく指摘してもらえると喜びます!
GDPR対応で日本企業のウェブサイトに求められること
2018年5月25日に、欧州で施行されたEU一般データ保護規則(General Data Protection Regulation)のことを「GDPR」と呼びます。
EU域内の各国に適用される「個人情報を保護するための法令」ですが、日本企業でも適用範囲内になる場合があり、これに違反すると、最大で「該当企業における全世界年間売上の4%」または「2,000万ユーロ」のいずれか高い方が制裁金として課される場合があります。
GDPRで個人情報として扱われるCookie(クッキー)とは
Cookieとは、ウェブサイトを閲覧した際に、ブラウザに一時的に保存されるユーザーの閲覧履歴などの情報で、訪問した日時や訪問回数などが含まれており、主に以下の用途に利用されます。
- ウェブサイトへのログイン情報を保存する(ログインID/パスワード入力を省略)
- オンラインショップで商品をカートに入れた情報を保存する(時間を空けて購入する場合に対応)
- メールフォームなどで入力した情報を保存する(名前や住所などの入力を省略)
また、GoogleAnalyticsなどのアクセス解析ツールはもちろん、GA4とGoogleTagManagerを組み合わせて利用している場合もCookieを使用しており、GDPRではこのCookieが個人情報として保護する対象となるため、ウェブサイトで取得・利用するには閲覧者(ユーザー)の同意が必要になります。
GDPRで定められている個人情報の取り扱い
GDPRが適用となるウェブサイトで、Cookieを含む個人情報を取得・利用する場合は、以下の対応が必要となります。
- 企業情報や利用目的を明確にした上で、ユーザーに同意を求めること
- 連絡先など身元情報
- 処理の目的
- 第三者提供の有無
- 個人情報の保管期間
- 取得した個人情報は、ユーザーの求めに応じて対処可能であること
- ユーザーが個人データの削除を要求した場合に削除できること
- 個人データが侵害された場合ユーザーが迅速に知ることができること
- 取得した個人情報を適切に管理すること
- 監視、暗号化、匿名化などのセキュリティ要件を明確化すること
- 必要な期間以上の個人情報保持の禁止
- 大量の個人情報を扱う場合のデータ保護責任者を任命すること
日本企業はGDPRの対象となるか
一見すると、EU域内のウェブサイトにだけ関係しそうですが、日本企業のウェブサイトでも以下の条件を満たしている場合、GDPRの適用対象となります。
- EU域内に子会社や支店、営業所などを有している
- 日本からEU域内に商品やサービスを提供している
- EU域内から個人データの処理について委託を受けている
また上記に加え、ウェブサイト上でEU域内にいるユーザーの行動データを取得している場合も対象となります。
- ウェブサイト上でCookieで得られる個人データを利用している場合
- EU域内に個人データを扱うデータベースやサーバーが設置されている場合
- ネット通販などでEU域内へ商品やサービスを販売している場合
なお「EU域内にいるユーザー」の定義は、EUを居住地にしているユーザーだけを対象にするわけではなく、短期出張などでEU域内に滞在している場合も「EU域内にいるユーザー」に含まれます。
つまり、EU域内に出張中の日本人も「EU域内にいるユーザー」に含まれるため、EU域内からのアクセスがあるウェブサイトは、日本企業のウェブサイトを含むすべてがその対象となります。
GDPRが適用となるウェブサイトで必要となる対応
GDPR適用対象となるウェブサイトでは、以下の対応が必要で、これは日本企業であった場合も同じです。
- Cookieの取得・利用をユーザーから同意を得て行う(Cookie利用同意確認ツールの利用)
- Cookieを取得・利用する企業の情報や利用目的を明確にする(Cookieポリシーの設置)
- Cookieの削除方法などを案内する(Cookie利用同意確認ツールの利用/Cookieポリシーの設置)
改正個人情報保護法とCookieについて
2022年4月1日に施行された改正個人情報保護法では、Cookieおよびインターネットの閲覧履歴、IPアドレスなどが「個人関連情報」(それ単体では特定の個人を識別しないが、特定の個人に関する情報)に該当するとしています。
また、この個人関連情報は「個人情報に照合し個人情報となることが想定されるデータ」を指しているため、単体では個人情報として保護対象にはならなくとも、Cookieを含む個人関連情報を第三者に提供し、さらに第三者が個人関連情報を個人データとして取得することが想定される場合は、改正個人情報保護法のもと、その取得・利用にユーザーの同意が必要とされています。
なお、現状では日本国内向けウェブサイトにおいて、第三者提供に該当しない場合の罰則はないようです。
第三者提供の該当要件
例えば、GoogleAnalytics(GA4+GoogleTagManager)等で、ウェブサイトのアクセス解析を実施している場合、解析タグで取得される閲覧履歴等は、Google社が直接ユーザーから閲覧履歴を取得することになるため、第三者提供には該当しないとされています。
参考:「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
https://www.ppc.go.jp/files/pdf/2304_APPI_QA.pdf(Q8-10)
他方、ターゲティング広告を掲出している場合でかつ、以下に該当する場合は、第三者提供に該当します。
- 広告配信のために提供されるデータと、自社保有している個人のデータを紐付けている場合
- 自社ウェブサイトで取得したデータを提供した先で、提供先が保有する個人のデータを紐付ける場合
なお、個人情報を保有していないウェブサイト(会員登録などがないウェブサイト)で、Cookieなどの個人関連情報のみを用いてターゲティング広告を掲出する場合は、第三者提供に該当しません。
ターゲティング広告主として確認すべき内容
よって、自身(自社)がターゲティング広告主である場合には、改正個人情報保護法に対応すべく、以下の点について確認を行う必要があります。
- 提供している、またはされている個人関連情報やデータの内容、種類
- 提供先での個人関連情報の利用状況
- プライバシーポリシーに記載されているCookieの利用目的、同意取得方法
GDPR適用対象外の日本企業ウェブサイトで、Cookie利用同意確認は必要か
以上の通り、GDPR適用対象外であったとしても、改正個人情報保護法が定める「個人情報の第三者提供」を行うと認められる場合、Cookie利用同意確認が必要となります。
なお、以下のように同意確認が不要となるCookieもあります。
- ウェブサイトの表示言語設定などを保存するもの
- オンラインショップで買い物カゴに入れた商品を保存するもの
- ユーザーのログイン状態を保存するもの など
Cookie利用同意確認ツールについて
Cookieを取得・利用することについて、ユーザーに同意を求める際、それに同意が得られるまでCookieを取得することはできないため、アクセス解析ツールなどを導入している場合も、この同意が得られるまではそれが動作しないように制御する必要があります。
そこで利用されるのが、Cookie取得同意確認ツールです。
Cookie利用同意確認ツールとは
ウェブサイトへアクセスした際、画面下部などに表示されるCookie取得への同意確認を得るツールを指します。
閲覧するユーザーが、Cookieの取得・利用(受け入れ)に同意しない場合、それを利用した機能が動作しないように制御することができます。
Cookie利用同意確認ツールに必要な機能
同意確認ツールには、以下の機能が求められます。
- 明確な同意がない場合に、これを「みなし同意」としてCookieを取得しない
- Cookieの取得に同意しなかった場合もウェブサイトを閲覧可能とする(ゼロCookieロード)
- Cookie取得に同意したユーザーが任意のタイミングでそれを拒否できる(オプトアウト)
- ウェブサイトで取得したCookieを、その利用方法ごとに拒否できる(オプトアウト)
たまに見かける「同意しないとウェブサイトへ進めない」ものや、「ボタンがあるだけでCookieを制御していない」ものは、同意確認ツールとしては意味のないものとなります。
Cookie利用同意確認ツールの種類
ユーザーローカル社が無料で提供しているCookie同意管理バナーは、GoogleTagManagerとあわせて利用することで、これに同意しない場合のウェブサイト閲覧も可能としつつ、適切なCookieの管理が可能となります。
GoogleTagManagerの動作を制御するものとなるため、Cookieを利用するサービスごとにこれをコントロールすることはできませんが、GA4のみの利用など、比較的少ないCookieを管理する場合に適しています。
また、さまざまなベンダーが有料で提供しているCMP(Consent Management Platform)を利用すると、その利用目的ごとにCookie取得・利用をコントロールするなど、細かな設定が可能になります。
GDPRだけなくグローバルな対応が必要となる場合や、比較的多くのCookie(計測タグなど)をコントロールする場合に適しています。
GDPRや改正個人情報保護法における個人情報の第三者提供が認められる場合、これらのツールを利用する必要があります。
改正電気通信事業法とCookieポリシーの設置
2023年6月に施行される改正電気通信事業法では、Cookieを含む閲覧履歴などの利用者情報を、第三者に提供している場合(個人情報との紐付けを問わない)や、ターゲティング広告などを運用している場合に、以下のいずれかの対応が必要となります。
- ウェブサイト上での通知・公表(Cookieポリシーの設置)
- 利用者本人の同意を得たうえでのCookie利用(Cookie利用同意確認ツール)
- 一度同意した場合も、後から拒否・削除できる仕組みの導入(オプトアウト)
Cookieなどの個人関連情報と個人データの紐づけを問わないため、例えば、GoogleAnalyticsなどのアクセス解析ツールを利用している場合も対象となり、最低限の対応としてCookieポリシーの設置・プライバシーポリシーの見直しが望ましいと考えられます。
Cookieポリシーの掲載例
このような状況から、日本企業のさまざまなウェブサイトでも、Cookieポリシーを明文化するようになってきました。
まとめ
GDPRと改正個人情報保護法、Cookie利用同意確認を可能とするツールについて、私が調べた内容をまとめてみました。
「あまり関係ないのかな?」と感じている方も多いと思いますが、漠然としたイメージだけでなく、自社に関係しているか、あるいはどのような対応を取るべきかを、あらためて確認しておく必要があるように思います。
GDPRでは、Cookie利用同意確認ツールの導入に加え、「企業情報や利用目的、個人データの削除方法」も明記したプライバシーポリシー(Cookieポリシー)の見直しが必要となり、また、GDPRや改正個人情報保護法の第三者提供に該当せず、Cookie利用同意確認ツールの導入が不要なウェブサイトでも、改正電気通信事業法への対応、あるいは企業コンプライアンス・社会的責任として、プライバシーポリシー(Cookieポリシー)上で、Cookieの利用目的や個人関連情報の利用目的などを明示化しておくのが望ましいと考えています。
なお、プライバシーポリシー(Cookieポリシー)の具体的な内容については、法律の専門的な知識を必要とする場合もあるため、専門家へのご相談を含め検討ください。
以上、私が勉強した内容になります。
参考になれば幸いです!
免責事項
GDPRおよび改正個人情報保護法、CMPなどについて、できる限り正確な情報を提供するように努めておりますが、掲載内容の正確性・完全性・信頼性・最新性を保証するものではございません。
誤りが確認できた点については、随時修正を行いますが、この記事に掲載された内容によって生じた損害等の責任は負いかねますのでご了承願います。
最上部の写真素材は、UnsplashのVyshnavi Bisaniが撮影した写真です。