昨今の急速なデジタル普及に伴い、個人情報保護法の見直しが3年毎に行われています。

その一環として、2020年、個人情報保護法の改正がなされました（2022年4月施行予定）。

今回のタイミングで改正された内容は複数あるものの、今回は、そのなかのひとつを、私たちの生活にも身近な「Cookie」の取扱いを例にあげながらみていきたいと思います。

 

「Cookie」とはそもそも何？

 

私たちは毎日たくさんの情報をウェブサイトから収集します。

スマートフォンが普及した現在では、尚更のことでしょう。

そんなときに多くの人が使用するのが、「ウェブブラウザ」です。

「ウェブブラウザ」とは、パソコンやスマートフォンでウェブサイトを立ち上げるときに使用するアプリのことです。

例えば、「Safari」 、「Microsoft Edge」、「Google Chrome」などがそれにあたります。

 

「Cookie」はこれらのウェブブラウザに勝手に保存されるファイルのことを指します。

通常私たちはこのファイルを直接見ることはできません。

この「Cookie」には、私たちがどのようにウェブブラウザを使用したかが保存されています。

例えば、某通販サイトでショッピングをしようと思い、興味のある商品をカートにいれた場合、最終的に購入に至らなくても、その一連の行動が「Cookie」というファイルに保存されます。

つまり、「Cookie」は、私たちユーザーの情報がぎっしりつまった情報の宝庫なのです。

 

「Cookie」は「個人情報」にあたる？

 

結論からいうと、「個人情報」にあたる場合もあるし、あたらない場合もあります。

例えば、ウェブサイトで会員登録をするために氏名や住所を入力した場合、氏名や住所が「Cookie」に保存されるので、特定の個人を識別することができ「個人情報」にあたるといえます。

※ここではざっくりと「個人情報」を定義していますが、詳しくはこちらを参照してください。

https://www.ppc.go.jp/files/pdf/201212_personal_law.pdf（個人情報保護委員会HPより引用）

 

では、「Cookie」に保存されたユーザーの検索履歴やクリック履歴などは「個人情報」にあたるのでしょうか？

こちらは、氏名や住所などのように個人を識別することができないので、これだけでは「個人情報」にあたるとはいえません。

 

しかし、このようにもともと「個人情報」にあたらない「Cookie」でも、いずれ「個人情報」になってしまう種類のものがあります。

これについてもう少し深く掘り下げてみましょう。

 

「Cookie」のグレーゾーン

 

例えば、とあるユーザー（Aさん）が某サイトで興味のある商品Bをカートにいれました。

「Cookie」からこれらの情報を収集した某広告会社Cが、第三者の企業Dにこの情報を提供しようと考えました。

ここだけをみると、Aさんの「個人情報」の提供ではないように思えます。

なぜなら、氏名や住所などAさんと識別する情報がないからです。

しかし、問題はここからです。

実はこの第三者の企業Dは、Aさんの氏名や住所等の顧客情報をもともと所持していました。

そして、広告会社Cから提供された情報と、自分がもっている顧客情報を簡単に組み合わせて、「AさんがBをカートにいれた」という情報を結果的に手に入れました。

もともと「個人情報」でなかったもの（誰かがBをカートにいれた）が、いまや「個人情報」（AさんがBをカートにいれた）となってしまったのです。

 

これが、いわゆる「Cookie」のグレーゾーンです。

そして、もともと「個人情報」に該当しなかったデータが、第三者の手にわたることで「個人情報」に該当してしまうこうしたケースについて、改正前の個人情報保護法に明確なルールはありませんでした。

 

2020年の個人情報保護法改正により「Cookie」の取扱いが変わる！

 

2020年、個人情報保護法の改正により、こうしたグレーゾーンに対しても、しっかりとしたルールが適用されることになりました。

具体的には、広告会社Cと第三者の企業Dの両方に以下のルールが課されることになります。

 

・広告会社C

「Cookie」のデータ提供について、本人Aからの同意が得られているかを事前に確認しなければならない。

 

・第三者の企業D

「Cookie」のデータをもらうことについて、本人Aからの同意を得なければならない（同意を得るのはC、Dどちらでもよいとされているが、実際はDのケースが多いと想定）。

 

・C,D両者

「Cookie」データのやりとりについて記録を残さなければならない。

 

以上のように、個人情報保護法の改正に伴い、「Cookie」の取扱いが大きく変わり、私たちユーザーの「個人情報」について、より強固な保護規定がつくられることとなりました。

と同時に、「個人情報」を取り扱う企業は、これまで以上に注意して「個人情報」を取り扱うことが要求されることとなります。