という長ったらしい記事タイトルになってしまったわけだけれど、2022年4月1日から施行された改正個人情報保護法でCookieの扱いが厳しくなったぞという話で、それに付随してCookie使っているGoogle Analyticsも厳しくなったんじゃないの、具体的にはあのウザったらしい同意ポップアップいるんじゃないの、という話。
結論を書くと、恐らく不要。ただ世界各国の流れや技術的な潮流を考えると、時間の問題かもしれないが、そもそもCookie自体使わない方向に行くかもしれない。
改正個人情報保護法で変わったこととその影響
そもそもこの改正個人情報保護法で何が変わったのかだが、平たくいうとCookieの情報を使うサービスでユーザの同意が義務付けられるパターンが明確化された、という感じ。
で、多くの個人ブログが影響受けるであろうところは、Cookieの情報をGoogle社に送りまくるGoogle Analyticsの利用で、これのために人類の生産性を落とすだけのあのウザったらしいポップアップの同意を導入しないといけないのかという問題が生じる。
本記事はその疑問についてあれこれ調べたものである。というか内容的には「改正個人情報保護法>WebサイトにGoogleやFacebookのタグを埋め込んだだけでは個人関連情報の提供にはならないようです : プライバシーマーク・ISMSナビ」の記事のとおりで(この記事本当にありがとうありがとうという感じ)、もう少し自分なりに整理したものです。
個人情報保護法におけるCookieの扱い
まずそもそも個人情報保護法でCookieの扱いはどうなっているのか。
これの「個人情報の保護に関する法律についてのガイドライン」に関するQ&A とかいう長ったらしいPDF(HTML版が準備中だった)によると、以下である。
(個人関連情報)
Q8-1 Cookie 等の端末識別子は個人関連情報に該当しますか。家族等で情報端末を共用している場合はどうですか。A8-1 個別の事案ごとに判断することとなりますが、Cookie 等の端末識別子について、個人情報に該当しない場合には、通常、当該端末識別子に係る情報端末の利用者に関する 情報として、「個人に関する情報」に該当し、個人関連情報に該当することとなると考えられます。また、家族等の特定少数の人が情報端末を共用している場合であっても、通常、 情報端末の共用者各人との関係で、「個人に関する情報」に該当し、個人関連情報に該当 することとなると考えられます。
なお、Cookie 等の端末識別子は、他の情報と容易に照合することにより特定の個人を 識別することができる場合には、当該情報とあわせて全体として個人情報に該当することとなります。
要は個人を特定できる個人情報そのものズバリではないが、「個人関連情報」に該当する。個人関連情報ってなんぞというと、個人情報の保護に関する法律 | e-Gov法令検索の第2条7によると以下。
7 この法律において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
まぁ特定に至らずとも、個人の情報には違いないよねって感じ。
個人関連情報の第三者提供について
さて、Cookieは個人関連情報だとして、それを第三者提供することについて、個人情報保護法ではどうなっているのか。これは第31条1項とその1号によると以下。
(個人関連情報の第三者提供の制限等)
第三十一条 個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)を個人データとして取得することが想定されるときは、第二十七条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
重要部分を太字にしました。この「本人の同意が得られていること」が今回の改正の影響があったところで、これを素直に読むと「本人の同意必須やん、え、同意ってどうやんの、やっぱりあのブルシットポップアップなの」とか思うわけだが、これについて、ガイドラインによると以下のような記述がある。
(法第 31 条の適用の有無について)
Q8-10 A 社が自社のウェブサイトに B 社のタグを設置し、B 社が当該タグを通じて A 社ウェブサイトを閲覧したユーザーの閲覧履歴を取得している場合、A 社は B 社にユー ザーの閲覧履歴を提供したことになりますか。A8-10 個別の事案ごとに判断することとなりますが、A 社が B 社のタグにより収集される閲覧履歴を取り扱っていないのであれば、A 社が B 社に閲覧履歴を「提供」したことに はならず、B 社が直接にユーザーから閲覧履歴を取得したこととなると考えられます。こ のため、B 社がそのタグを通じて閲覧履歴を取得することについて、法第 31 条第1項は 適用されないと考えられます。
なお、個人情報取扱事業者である B 社は、閲覧履歴を個人情報として取得する場合に は、偽りその他不正の手段によりこれを取得してはならず(法第 20 条第1項)、また、個 人情報の利用目的を通知又は公表する必要があります(法第 21 条第1項)。
重要部分は太字にしました。
これはまさにGoogle Analyticsのユースケースがズバリなのだが、そもそも「第三者への提供にあたらない」という解釈である。もっとも、「閲覧履歴を取り扱っていないのであれば」という但し書きのところが微妙なのだが、これは閲覧履歴を使ってサイトの広告に反映するぞとかそういうことを言っているのだと思われる。パーソナライズ的なことしてないよね、って感じ。
あの長江より長いQ&Aからこの情報を見つけてきて記事にしてくれたブログ「改正個人情報保護法>WebサイトにGoogleやFacebookのタグを埋め込んだだけでは個人関連情報の提供にはならないようです : プライバシーマーク・ISMSナビ」には感謝しかない。保護法があってガイドラインがあってガイドラインのQ&Aがあるってもう嫌がらせだよ😭
まとめ
- 2022年4月1日の改正個人情報保護法により、Cookieは個人関連情報とされ、個人関連情報を第三者に提供するには「本人の同意」が必要とされた(第31条1項1号)
- Google AnalyticsはCookieを使うが、そもそも「提供」とみなされない(ガイドラインQ&A 8-10)
- よって、改正個人情報保護法ではGAの利用でポップアップのあれは不要
とはいえ、世界的にもCookieを排する流れであることは変わらないし、そのうちになんか対応しないといけないのかなぁとかは思っている。
正直そんな悪者にするようなもんじゃないと思うんだけどなぁ、Cookie。
コメント