Cookie規制って結局、何が変わるの？ 2022年の改正個人情報保護法、注目すべきポイントを解説：徹底解説！Cookie規制と法改正

[山森康平，ITmedia]

新連載「徹底解説！Cookie規制と法改正」

　サードパーティーCookieへの規制や、個人情報保護法の改正など、Web広告やデジタルマーケティングを巡る状況は大きく変化しています。プライバシー保護規制の状況はいまどうなっているのか、そして今後どうなっていくのか──。

　広告やマーケティングにデータを活用するために気を付けるべきことを、トレジャーデータでパートナーアライアンスや事業開発を担当する山森氏が解説します（以下、山森氏）。

Cookie規制で結局、何が変わるのか？（画像はイメージです。提供：ゲッティイメージズ）

2022年現在、Web広告とデータ規制で何が起きているのか

　まずは、2022年現在のWeb広告に関する全体像を整理してみましょう。Web広告とデータ規制を巡っては、2つの大きな潮流があります。

（1）個人情報に関する法規制が、世界中で制定されている

　日本の個人情報保護法は令和2年（2020年）に改正され、22年4月1日から施行されます。欧州ではGDPR（EU一般データ保護規則）が16年に制定されていますし、米国ではCCPAと呼ばれるカリフォルニア州法が18年に制定されました。東南アジアや南米など世界各国でも、GDPRを踏襲する法律が次々に成立しています。

　これらの法律によって、Cookieなどのオンライン識別子の利用に同意取得などが必要になったり、自国の中に個人情報を置いておくことを定める「データローカライゼーション規制」が定められたりしています。

　データローカライゼーション規制とは、例えば「A国の国民のデータはA国内のデータセンターに保管しなければならない」と定めるものです。この規定にはたいていの場合、例外条項（特定の国であればデータを置いても構わない、どこの国にデータを保管しているかあらかじめ明示するなど）があるものの、基本的に「自国の国民のデータは自国の中に置くことが第一の選択肢である」という考え方が世界的に広がっています。

（2）AppleやGoogleなどのプラットフォーマーが、サードパーティーCookieの利用制限に乗り出している

　こうした法規制の潮流に並行して、ブラウザの仕様変更によるサードパーティーCookieの利用制限も行われています。AppleのブラウザSafariには、ITP（Intelligent Tracking Prevention）というサイトトラッキング防止機能が以前から実装されていますし、GoogleのChromeでも23年にはサードパーティーCookieが廃止される予定です。

　モバイル広告IDの利用制限も行われています。モバイル広告IDとは、スマートフォンやタブレット端末のアプリで利用される、広告用の端末識別IDのことです。IDFAやGAIDという言葉でご存じの方も多いでしょう。

　広告主はこのIDを使って、ターゲティング広告の配信や効果測定ができます。これまではオプトアウト方式（標準設定が「許可」になっている状態）でしたが、端末利用者による明確な許可が必要なオプトイン方式へと移行しています。

　iPhoneやiPadなどのiOS端末では21年4月にリリースされたiOS14.5から、IDFAによるトラッキングの制限が開始されました。Android端末でも、21年10月にリリースされたAndroid12のバージョンから、オプトアウトされたモバイル広告IDの取得ができなくなりました。これはAndroid OSのプライバシー保護機能によるものです。

プラットフォーマーを警戒しての規制だったはずだが……

　このように、法律面での規制とAppleやGoogleなどのプラットフォーマーによるブラウザやモバイルOSの仕様変更という2つの大きな流れがあります。

　もともとGDPRやCCPAが制定された背景には、Googleなどのプラットフォーマーに対する警戒感がありました。プラットフォーマーによって個人の動きを把握できてしまう状況が危惧されたのです。しかし皮肉なことに、プラットフォーマーたちは法律の厳しい規制をクリアして事業を継続できていますが、アドテクノロジー関連企業は規制への対応が難しく身動きが取れない状況になっています。

　現在ではもっと直接的に、プラットフォーマーを規制しようという動きが出てきました。日本においては電気通信事業者法の改正の動きがありますし、米国では「大規模なプラットフォーマーは企業を分割したほうがよい」といったやや極端な論調もあります。

改正個人情報保護法、注目すべきの2つのポイント

　令和2年改正の個人情報保護法において、広告やマーケティング活動の文脈で重要となるポイントを、2つ紹介します。

（1）個人の権利の拡大：企業は「私のデータを使わないで」への対応が増える

　1つ目のポイントは「個人の権利の拡大」です。

　私たちは誰でも、自分のデータを削除してほしいと考えたときには、データの利用停止や消去を請求できる権利があります。これまでの法律では「自分のデータを利用停止、または消去してほしい」という請求を行えるのは、データの目的外利用や不正取得のような法律違反があった場合に限られていました。今回の改正では要件が緩和され、「個人の権利又は正当な利益が害される恐れがある場合」にも削除請求ができるようになります。

　これを企業の立場から考えれば、消費者から「私のデータを使わないでほしい」と言われて対応しなくてはならないケースが増えるということになります。これまでは不法行為をしていなければ問題ありませんでしたが、それ以外の場合にも対応が必要になる可能性が出てきました。

（2）第三者提供規制：リクナビ問題で、個人情報の提供がより厳しく

　もう1つのポイントは「第三者提供規制」です。

　取得時には個人情報に該当しないデータであっても、第三者に提供することで個人情報とひも付いて個人情報となることが想定される場合は、本人の同意が得られていることなどの確認が必要になりました。

　この背景には、19年に明らかになったリクルート社の「リクナビ」の内定辞退率問題があります。当時、個人情報保護委員会はリクルートに対し「内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた」と指摘しています（※1）。

（※1）個人情報の保護に関する法律に基づく行政上の対応について（令和元年12月4日）／個人情報保護委員会

　今回の改正法において、Cookieなどの単体では個人情報に該当しない識別子は「個人関連情報」と定義されました。これは「個人情報」ではないため、データ取得にあたって本人の同意は必要ないということになります。しかし、この個人関連情報を他社に提供することで提供先での個人識別が可能になる場合には、本人の同意が必要になるのです。

出典：改正法に関連するガイドライン等の整備に向けた論点について／第171回個人情報保護委員会（令和3年4月7日）

　法改正前は、上図のA社（提供元）において個人情報にあたる場合には同意取得が必要で、そうでない場合には同意取得が不要ではないか、という見解もありました。しかし、法改正によって明確に同意の取得が必要になりました。

日本はプライバシー規制の後進国？　世界と比べて規制は弱い

　このように日本の個人情報保護法も少しずつ厳しくなってきていますが、世界と比べてみると、まだまだ日本はプライバシー保護規制の程度は弱いと位置付けられるでしょう。

GDPRでは、Cookieは「個人情報」のため同意が必須

　GDPRでは、Cookieは単体で「個人情報」と定義されています。ですから欧州においては、Cookieを取得すること自体にも同意の取得が必要です。CCPAにおいてもCookieは個人情報であると定義され、収集にあたっての事前通知やオプトイン・オプトアウトに関する定めが設けられています。

Googleアナリティクスの利用が「米国に個人情報を移転しているため違法」となるケースも

　また、最近欧州のいくつかの国では「Googleアナリティクスを利用することは米国に個人情報を移転しているため違法」という旨の判決が出ています。これは先述した「データローカライゼーション規制」に関連しています。GDPRではプライバシー保護レベルが不十分な国に対する個人データの送信を禁止しているのです。

欧州・米国の罰金は高額

　法人目線で大きく異なるのは罰金に関する定めです。GDPRでは「2000万ユーロ」もしくは「前年度の年間売上高の4％」のどちらか高い方を上限としており、CCPAでは違反1件（一人につき）ごとに最大2500ドル（故意の場合は7500ドル）、加えて集団訴訟を受けるリスクがあります。21年7月にはAmazonに対し7億4,600万ユーロもの罰金が科せられています。日本の場合、法人に対する罰金は最大1億円です。

　こういった事実からも、「日本のプライバシー保護規制は世界と比べて緩やかだ」と言って差し支えないと思います。

ITスタートアップはどんな影響を受けているのか

　こうしたプライバシー保護に関する動きは、ITスタートアップ企業にも大きな変化をもたらしています。

　サードパーティーCookieを利用して急成長してきたITスタートアップといえばアドテクノロジー業界です。サードパーティーCookie規制やプライバシー保護の流れは、アドテクノロジー業界を大きく変えました。

　いくつかの企業は大手IT企業に買収されたりした後、静かにサービス停止したり、独立系の企業ではサービスの転換を図っています。オープンインターネットの世界（ここではGAFAなどのWalled Garden以外のインターネット空間という意味だと考えてください）でできることは縮小し、そこを住処にしていたサービスは衰退していっています。

　その代わり、企業が自ら顧客に同意を取った上でデータを集め、営業やマーケティングに活用するという「王道」のデータ活用の流れが強くなっています。自社で集めたファーストパーティデータは、本人の同意をしっかりと取得して管理を徹底すれば、非常に強力な武器となり得ます。

　データ収集や管理を得意とするCDP（カスタマー・データ・プラットフォーム）や、顧客へのレコメンドやプッシュ通知などを最適化するMA（マーケティング・オートメーション）ツールなど、ファーストパーティデータを活用するためのSaaSが非常に伸びている状況です。

　ここまで、Web広告や顧客管理を巡る大きな環境変化の概観を見てきました。次回以降は、こうした状況下で具体的にどのような企業活動を行っていけばよいのかを考えていきます。

著者紹介：山森康平

トレジャーデータ 株式会社　事業開発・パートナーシップ担当執行役員

ドリームインキュベータにて主にエンターテイメント業界及びPEファンド向けのコンサルティング業務と自社の投資先向けのハンズオン支援に従事。2013年より投資先のアイペット損保へ出向、後に転籍をして社長室長に。2018年にマザーズ上場。アイペットではデジタルマーケティングを活用した販売チャネルシフト、RPA導入プロジェクト、代理店向け業務システム開発、金融庁との折衝窓口、投資業務等を担当した。2019年にトレジャーデータへ参画。