Cookie対応は「ポップアップを導入したから安心」ではない 改正法に備え、企業はどこまで対応すべきか:22年4月に迫る個人情報保護法改正(1/2 ページ)
これまでCookieの扱いについては明確な指針が示されてこなかったが、22年4月より施行される改正個人情報保護法で、国内法としては初めて明確な規制が加わることになる。
2022年4月より施行される改正個人情報保護法で、Cookieに対し明確な規制が加わることになる。これまでCookieの扱いについては明確な指針が示されてこなかったため、国内法で初めての制限となる。
これを受けて、現在多くの企業が自社サイトへのCookieポップアップの実装などの対策を進めているが、自社のビジネスの実情と照らし合わせた場合にどこまでの対応を行うべきかを判断できず、なかなか具体的な対策に踏み出せていないケースも少なくない。
弁護士・ニューヨーク州弁護士 石川智也氏(西村あさひ法律事務所 フランクフルト&デュッセルドルフ事務所共同代表)によると、まずおさえるべきポイントは改正個人情報保護法において新たに加わることになった「個人関連情報」の理解だという。
21年10月7日に開催された、西村あさひ法律事務所とアンダーワークスによるオンラインセミナー「改正個人情報保護法の下での企業の新たなCookieとの付き合い方」の様子をお届けする。
改正個人情報保護法におけるCookie対応のポイントとは?
「個人関連情報の範囲が広すぎて曖昧だという声をよく聞きますが、実際には決して曖昧ではありません。一言で言えば、生存する1人の個人に関する情報であれば、基本的には全て個人関連情報に該当します。それらのうち、特定の個人を識別できるものが個人情報、識別できないものが個人関連情報に分類されます」(石川氏)
ただし、ある組織にとっては特定の個人を識別できない個人関連情報であったとしても、別の組織ではそれを別の個人データとひも付けることによって特定個人を識別できる可能性がある。その場合、同じ情報であったとしても前者の組織では個人関連情報として扱われ、後者の組織では個人情報として扱われることになる。
Cookieに関しても同様で、MAツールなどを使ってCRMの顧客情報などとひも付けて使われる場合は個人情報となり、これまでの個人情報保護法の規制を受けることになる。しかしターゲティング広告において匿名情報として扱われる場合は、特定個人を識別できないため個人関連情報として扱われるため、規制対象とはならないケースが多い。
このように、個人関連情報が全て規制の対象となるというわけではなく、規制される範囲は実はかなり狭いという。具体的には「個人関連情報取扱業者」が「個人関連情報(個人関連情報データベースなどを構成するものに限る)」を第三者に提供する場面で、第三者がそれを「個人データとして取得することが想定されるとき」という条件がそろったケースにおいてのみ、規制の対象となる。
この場合、改正個人情報保護法では、提供先の第三者が第三者提供規制(同意取得)と国外移転規制(外国への転移に係る情報提供、体制整備要件の実現)を順守しているかどうかを確認する必要がある。なお同意の代行は可能だが、提供元が同意取得を代行する場合は提供元の名称と、対象となる個人関連情報を個別明示する必要があると定められている。
なお海外では、欧州のGDPRを筆頭にCookie規制を独自に進めている国・地域もある。特にGDPRに関しては、たとえ日本企業であってもインターネット経由で欧州を対象にサービスを提供している場合や、欧州からのサイトアクセス履歴を分析しているような場合には域外適用の対象となるため、Cookieポップアップをはじめとする対応は欠かせないという。
「欧州では現在、NOYB(None of Your Business)というプライバシー保護団体がGDPRに違反しているサイトを当局に通報する動きが活発化しています。その指摘事項を見ると、現在Cookie同意管理ツールを導入している企業でも抵触する可能性が十分にあります。そのため『一度対応したから大丈夫』『Cookieポップアップを導入したから安心』と安心するのではなく、常に最新の動向をチェックしながら自社の取り組みを柔軟に組み替えていく仕組みが必要になるでしょう」(石川氏)
関連記事
- コロナ後のマーケティング市場には、どんな変化があるのか 2021年カオスマップが公開
デジタルマーケティングの支援を行うアンダーワークスは7月13日、国内の主要マーケティングテクノロジーを分類してまとめた「マーケティングテクノロジーカオスマップ JAPAN 2021」を公開した。代表が語る「2021年のマーケティングテクノロジーの特徴の、4つの“V”」とは? - 「優秀だが、差別的な人」が面接に来たら? アマゾン・ジャパン人事が本人に伝える“一言”
多様性を重視するアマゾン・ジャパンの面接に「極めてだが優秀だが、差別的な人」が来た場合、どのような対応を取るのか。人事部の責任者である上田セシリアさんに聞いた。 - 「売り上げが落ちてもいいから、残業をゼロにせよ。やり方は任せる」 社長の“突然の宣言”に、現場はどうしたのか
「来年度の目標は、残業時間ゼロ」──社長の突然の宣言は、まさに寝耳に水の出来事だった。準備期間は1カ月。取り組み方は、各部門に任せられた。現場はどう対応したのか? - “パートは低賃金で当然”の日本で、なぜ「全従業員を正社員化」できた? イケア・ジャパン人事に聞く
いわゆる「同一労働同一賃金法」より約6年も前に、イケア・ジャパンはパートタイマーを含め全従業員を正社員雇用に切り替えた。なぜそのようなことができたのか。イケア・ジャパン人事にインタビュー。 - 障害者雇用で「障害者ができそうな仕事を探す」企業は、既にやり方を間違えている
障害者を雇用するにあたり、多くの企業は社内で「障害者にやってもらえる仕事はあるか」と聞いて業務を探しているが、これは最適な方法ではなく、もっとうまくいくやり方があるとリクルートスタッフィングの飯尾朋子さんは言う。
Copyright © ITmedia, Inc. All Rights Reserved.