まず、クッキーの機能を活用してサイト管理者側で収集する情報が「個人情報」(法2条1項)に該当するか否かが問題となります。通常、クッキーを利用しても、サイトを訪問しただけでは、アクセスログやIPアドレスなどの情報がサイト管理者側に伝わるだけで、特に入力作業などを行わない限り、電子メールアドレスやそのほか個人を特定する情報は伝わらないといわれています。
しかし、アクセスログを解析することにより個人を特定する情報を見つけたり、IPアドレスやクッキーの整理番号によって個人を識別した上で、ほかの情報と照合することで個人を特定することは可能です。場合によっては特定が容易なことも多いと思われます。したがって、サイト管理者側では、クッキーの機能を利用して収集する情報も「個人情報」に該当するとの前提での取扱いを行うべきでしょう。
個人情報保護法は、「個人情報」を取得する場合には、その利用目的を特定した上で(法15条)、本人に「通知」もしくは「公表」しなければならないと定めています(法18条)。そして、クッキーによって個人情報を取得する場合は、「本人から直接書面(電子的方式、磁気的方式などの記録を含む)に記載された当該本人の個人情報を取得する場合」にあたりますので、利用目的は「公表」するだけでは足らず、あらかじめ本人に「明示」しなければなりません(法18条2項)。
ところで、クッキーはその機能上、ブラウザの設定如何によっては、サイトを訪問した瞬間に情報が伝達してしまい、"あらかじめ"利用目的を明示することは困難だと指摘されています。法もこのような場合を想定していなかったと思われますが、ユーザー側もブラウザの設定を自ら行って原因を作っているのですから、直ちに違法行為と断ずべきではないでしょう。サイト管理者側としては、違法行為と指摘されないよう、クッキーによって取得する情報の利用目的を、サイト内の目立つ場所に、わかりやすく明示するよう心掛けてください。
古本晴英プロフィール
Copyright © ITmedia, Inc. All Rights Reserved.