記事

2020年個人情報保護法改正の3つのポイント|Cookie利用への影響は?

2020年6月に改正個人情報保護法が成立しました。近年はAIやビッグデータの発展によりユーザー情報を大量に蓄積・利用できるようになった一方で、利用者が抱えるプライバシー保護への不安は大きくなったといえるでしょう。実際に個人情報の取り扱いに関する問題は後を絶たず、個人情報保護法の改正へと至っています。

本記事では、今回の個人情報保護法改正について事業者や広告主がとくに注目すべきポイントを解説します。Cookie利用への影響もありますので、その点にも注意しておきましょう。
 

個人情報保護法改正の背景

まずは個人情報保護法が改正された背景について確認しておきましょう。
 

日本の個人情報保護法は、そのときの社会状況や世界情勢などを踏まえて3年ごとに見直しを検討し、必要に応じて改正されることになっています。2019年12月13日に個人情報保護委員会より個⼈情報保護法 いわゆる3年ごと見直し 制度改正大綱が公表され、そのなかで次の5つの方向性が示されました。
 

① 個人の権利・利益を保護する

② 保護と利用のバランスをとる(個人の権利保護と経済成長の両面で行き渡るような制度を目指す)

③ 国際的な制度調和や連携に配慮する

④ 海外事業者が個人情報を扱うリスクに対応する

⑤ AI・ビッグデータ時代のなかでも適正な利用がされるよう環境を整備する

 

今回の改正は、上記のような視点を反映するために行われたものです。
 

個人情報保護法とCookieの関係
 

個人情報保護を考えるうえで、もう一つの重要なポイントが「Cookie」の存在です。
 

Cookieとは、Webサイトを訪問したユーザーのデータを一時的に記録しておくための仕組み、またはそのデータのことを指します。Webサイトに再訪したユーザーが以前と同じユーザーであるかどうかを識別するために使われており、CookieにはユーザーIDや閲覧履歴などの情報が一時的に保存されます。
 

このCookieの利用のみでは、そのユーザーが「だれ」であるかまでは特定できませんので、通常Cookieによって得られた情報は個人情報にはあたりません。しかしCookieを取得した時点では個人情報にはあたらないとしても、それを別のデータと紐づけることで個人が特定できてしまうリスクがあるのです。
 

たとえば、Cookieによって取得した「サイトの閲覧履歴」だけでは個人を特定できません。しかし、ユーザーの「氏名」や「住所」などの個人情報を持っている別の事業者にそのCookieデータを提供した場合、提供先でデータを照合させることで「誰がどんなサイトを閲覧しているのか」を把握できてしまう可能性があります。
 

このように、自分が知らない間にプライバシー情報が第三者に渡ってしまうことは到底見過ごすことのできない問題です。なお、日本においてはCookie単体では個人情報として取り扱われていませんが、EUの「GDPR(一般データ保護規則)」や米国カリフォルニア州の「CCPA(消費者プライバシー法)」ではCookie単体も個人情報と同じ扱いとされています。

 

個人情報保護法改正の3つのポイント

続いて、2020年6月に改正された個人情報保護法に関して、事業者や広告主がとくに注目すべき3つのポイントを紹介します。
 

利用者側の各種請求権の拡大
 

今回の改正では、個人(利用者)が自分の情報をコントロールする各種請求権を拡大する規定が追加されています。
 

これまでの個人情報保護法では、個人が事業者に提供した情報の削除などを請求できるのは、「事業者が個人情報を目的外に使用している」など明らかに法律に違反している場合に限られていました。しかし改正後の個人情報保護法では個人の請求権を拡大し、個人の権利や利益が害される恐れがある場合にもデータ削除を要請できるよう、企業側の対応義務付けを規定しています。
 

たとえば、提供していたサービスが終了した場合などは「個人情報の利用目的を終えた」と判断されるため、利用者からデータ削除の要請があれば企業は速やかなデータ破棄が必要です。
 

個人情報化するデータ提供の場合は、同意取得を義務付け
 

また事業者が収集したデータを第三者に提供するケースに関して新たな規定が追加されています。今後は収集した時点では個人情報に該当しないとしても、提供先が保有するデータと照合することで個人情報として成立する場合には、その提供について本人の同意を得ておかなければなりません。
 

Cookieを利用している事業者は、この点について自社サービスが問題ないかどうかを今一度確認する必要があるでしょう。
 

罰則規定の強化
 

さらに個人情報保護に関する罰則規定も強化されました。国際的な潮流も踏まえて、法令違反した法人に対しては最大1億円以下の罰金が科されるようになります。
 

これまで法人の罰金の上限額は数十万円程度であったことを考えると、非常に大きな変更点といえるでしょう。
 

個人情報保護法改正がCookie利用に与える影響

それでは、今回の個人情報保護法改正はCookie利用にどのような影響を与えるのでしょうか。
 

すでにご説明のとおり、Cookieそのものは「特定の個人が識別できない要素」と定義されており個人情報にはあたらないとされています。そのため、Cookieを利用したユーザー情報の保存や広告配信などがすぐにできなくなるわけではありません。
 

しかしCookieで得た情報を第三者に提供する場合は注意が必要です。提供先で個人情報化する可能性がある際には、提供先の企業に対して「本人からの同意を得ているかどうか」をしっかりと確認しなければならず、確認を怠れば法令違反にあたってしまう恐れがあります。
 

個人情報の厳格な管理が世界的に進んでいるなか、Cookieに関する規制は今後さらに強化されていく可能性が非常に高いでしょう。それを象徴する一つの事例として、GoogleはChromeにおけるサードパーティCookieのサポートを「2022年までに段階的に廃止する予定」と発表しています
 

まとめ

今回は個人情報保護法改正のポイントや、法改正がCookie利用に与える影響などについて解説しました。
 

個人情報保護法の改正にともない、社内マニュアルの一部変更や、Webサイトに掲載している文章の見直しなどが必要な場合もあるでしょう。この改正を機に、自社が個人情報を保護する体制が整えられているかどうか改めて見直していきましょう。

 

※ Spider Mediaに掲載されている見解、情報は、あくまでも執筆者のものです。Spider Labsはブログに含まれる情報の正確性について可能な限り正確な情報を掲載するよう努めていますが、必ずしも正確性を保証するものではありません。Spider Mediaの目的は読者への有益な情報の提供であり、執筆者以外のいかなる存在を反映するものではありません。見解は変更や修正されることがあります。