Cookie規制でプライバシーの問題はどうなる？ - IIJが個人情報保護法改正大綱を解説

インターネットイニシアティブ（IIJ）は12月5日、メディア向けに個人情報保護法改正大綱（骨子）に関する勉強会を開催した。主にウェブサイトのCookie利用に関する規制強化が主眼となる改正案だが、具体的にウェブサイト側、そして利用者側はどのような影響を受けるのだろうか。

個人情報保護委員会（PPC）は11月29日、「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱（骨子）」を公表した。

今年9月に就職情報サイトが、承諾を得ないまま、就活中の学生の内定辞退率の予測データを企業に販売していたとして、個人情報保護委員会から是正を求める勧告を受ける問題があった。こうした問題を踏まえ、個人情報保護法の改正案については、Cookieなどを利用して個人情報を扱う際の新たな規律が加えられると注目されていた。

結果として、今回の改正案では、欧州のGDPR（欧州一般データ保護規則）や米国のCaCPA（カリフォルニア消費者プライバシー法）のような、ウェブサイトにおけるCookieを利用した情報のトラッキングに対する規制が強化されている。実際に個人情報保護法がどのように改正されたかに踏み込む前に、「そもそもCookieとは何なのか」から、簡単に説明しよう。

Cookie（HTTP Cookie）とは、ウェブブラウザがウェブサーバーにアクセス（リクエスト）し、サーバー側がクライアントにレスポンスを返すときに添付する、そのユーザー（ウェブブラウザ）を識別するための番号、およびその番号に紐づけられた情報のことだ。

ウェブブラウザーはCookieを受け取ると、次回にウェブサーバーにアクセスする際に、リクエストと同時にCookieを送信する。ウェブサーバーはCookieの識別番号を見て、そのユーザーに見合った内容にカスタマイズされた情報を送信する。こうして動的なウェブコンテンツが実現されるわけだ。

Cookieの用途としてわかりやすいのは、ショッピングサイトのカートの状態や、ログイン状態の保持だ。Cookieがなければ、Amazonで買い物をするのに毎回ログインし直すことになるし、あとで買おうと思ってカートに入れた品物が、ウィンドウを閉じたら消えてしまう、ということになる。Cookie自体はウェブを便利なものにするために必須の技術といえる。

また、たとえばアクセスしたウェブサーバーAのウェブページに、広告エージェントBのサーバーから表示されている広告がある場合、CookieはAとBの両方から送られることになる。このときサーバーBから送られるCookieのことを「サードパーティー（第三者）Cookie」と呼ぶ。実は、今回問題になっているのは、このサードパーティーCookieの扱いだ。

●Cookieとプライバシーの問題とは？

Cookieそれ自体には、ユーザーを特定できる情報は含まれていない。しかし、前述した広告のCookieであれば、どんな内容のページに表示されていたか、何を買ったかなども、直接関係ない広告会社に漏れてしまうわけだ。さらに、Cookieを利用して収集（トラッキング）した情報により、ユーザーの性別や嗜好、年齢層、収入、居住地域といった属性をかなり正確にプロファイリングできてしまう。

Cookieの利用が、単に好みのジャンルに広告が最適化されていく「ターゲティング広告」程度であればいいが、トラッキングする内容によっては、家族や本人の病気、学校や職場での悩みなど、かなりセンシティブな情報も広告エージェントに漏れてしまう。たとえばウェブ広告がある症状についてのものばかりになっている人のウェブブラウザを見た人は、「ああ、この人はこんな病気なのか」と知られてしまうことになる。プライバシーの重大な侵害につながりかねないわけだ。

そこでEUでは、こうした情報も個人情報であると判断し、法規制が導入された。これが今年3月からEUで施行されたGDPRや、2020年1月に米国で施行されるCaCPAなどだ。日本でも海外の利用者がいるサービスを提供するウェブサービスは、こぞってこうした法規制に対応していたのは記憶に新しいだろう。

●日本の個人情報保護法ではどうなる？

それでは、日本ではどうなるのか。個人情報保護法改正案では、前述した就職情報サイトの件を念頭に入れた改正内容として、「提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する」ということになった。

オプトアウトとは、最初に設定がオンになっていて、ユーザーが任意で設定をオフにできることを指す。これに対して最初機能がオフになっており、ユーザーの意思でオンにできるのが「オプトイン」方式だ。ちなみにCookie規制については、欧州はオプトイン方式、米国などその他の国ではオプトアウト方式が取られている。

この改正により、ターゲティング広告は引き続き規制対象にならない。これは広告から得られる行動情報だけでは、ユーザーの属性を捉えることはできても、それが個人を特定できるものではなく、あくまでそのブラウザを識別できるものに止まる、という判断だ。

一方、会員情報を保持するFacebook、Twitter、Google、Instagramといったサービスが作成するサードパーティCookieを利用した閲覧履歴等の第三者提供は、規制対象となり、

・Cookieの利用目的や、どんな情報を集めているかをユーザーに開示すること

・ユーザーのオプトアウト権を保証すること

・個人情報保護委員会への届け出

が義務付けられることになる。

冒頭で述べた就職情報サイトの場合、就職情報サイトが収集した行動履歴を元に作成した行動（辞退）予測を他社に販売していたのだが、明確に規制の対象となるわけだ。

●問題点は？企業はどう対応するべき？

GDPR対応と同じように、日本でも個人情報保護法改正に向けて、Cookie情報の開示など、サービス提供者はウェブサイトの改修が必要になる。それぞれ開示する情報の種類や方法が異なるため、すでに海外向けに対応しているところも、あらためて修正する必要があるとのことで、改正法施行に向けて忙しくなるところが多くなりそうだ。

今回の規制強化では、TwitterやFacebookといったSNSや、Google、Yahoo! Japan、楽天、Amazonなども大きな影響を受けるだろう。これらはウェブサービスを提供すると同時に広告エージェントでもある。　特に多方面に展開しているサービスの場合、広告事業とそれ以外の事業を完全に分離して情報提供も行わない、とでもしない限り、かなり大きな影響を受けると思われる。

一方で、オプトアウト方式を採用することで、リテラシーの低いユーザーは結局Cookieの設定を切り替えることもなく、情報を利用されるままになると予想される。弱者救済の意味も含めて、オプトイン方式を採用したほうがよかったように思える。

鎌田副部長は「個人的な見解」とした上で、個人情報として扱われる情報の定義が曖昧であることに危機感を示した。たとえば現状、法律上は実名などでなければ個人情報として扱われないが、ネットが普及している現在、ハンドルネームも立派に個人を識別できる人格情報として扱われてもいい、というわけだ。

また、分析技術の向上により、ターゲティング広告を目的としたサードパーティCookieでも、病歴、犯罪歴、思想信条といった、個人情報保護法で「要配慮個人情報」として扱われる情報が、提供先で個人を特定する推論に利用される可能性も高まっている。こうした情報への何らかの保護についても検討が必要ではないかと指摘した。

行動履歴や位置情報など、ユーザーを特定する技術によって、一見無料で提供されているように見えるサービスも実はしっかりプライバシーという対価を支払っているのが現状だが、サービスを提供する側も、受ける側も、お互いにプライバシーの価値について、これまで無頓着でいすぎたのかもしれない。個人情報保護法改正の内容が適切か否かも含めて、改正を機会に、インターネット上でのプライバシーに関する議論が深まることを期待したい。