【Cookieとは?】GDPRや個人情報保護法との関係性を徹底解説!
インターネットの利用が常識となる一方で、企業は個人情報の取扱いに細心の注意を払う必要があります。そして、最近では「Cookie規制」や「GDPR」ないし「個人情報保護法」といった個人情報にまつわる用語を耳にする機会が増えてきました。そこで、今回はCookieの概要やGDPR、個人情報保護法の内容をわかりやすく徹底的に説明していきます。
目次
1.Cookieとは?
「Cookie」とは、サイト上に訪れたユーザーの情報を、一時的にブラウザに保存する仕組みのことです。簡単に説明すると、ユーザーの ”足跡” を記録することで、ユーザーの利便性向上やマーケティングの施策検討に役立てることができる機能となります。
しかし、Cookieで取得した”個人情報”は、情報の保有・利用・活用することをユーザー本人の許可を得る必要があります。以下では、Cookieの利用に必要となる「Cookieポリシー」や「Cookieポリシーに記載すべき事項」についてまとめてあります。
1-1.Cookieポリシーとは?
「Cookieポリシー」とは、Cookieを利用して、ユーザーに個人情報を活用することを知らせる文言や、それらを含むページ のことを指します。
Cookieでは、ログイン情報や、ECサイトでの買い物情報、閲覧ページなど、ユーザーの情報を保存することができます。しかし、個人情報を取得する以上、情報漏洩等のリスクを抑えるためにも、Cookieでの情報取得の方針を明記する必要があります。
例えば、EU(イタリア・オランダ・ドイツ・フランス等の欧州連合)のGDPRのように、Cookieを個人情報として分類する法令もあります。
1-2.Cookieポリシーに記載するべき事項
「Cookieポリシーに記載すべき事項」は、時代の変化や対象とする法令(GDPR・個人情報保護法など)の違いにより変わってきます。しかし、以下に記載した内容はどの業界・業種の企業であっても、最低限記載すべき事項となります。
・ユーザーに対するCookieの解説
・ユーザーの同意のもとCookieを運用することの明示
・Cookieの利用目的や保存期間の明示
・Cookieの削除や無効化する方法の明示
2.GDPRとは?
GDPRとは、EUで発足した新しい個人データ保護の枠組みのことです。この法律では、EU内の個人データを収集・処理をする事業者に対して義務が課されます。つまり、日本企業も例外ではなく、欧州域内へ製品を販売し、個人データを扱う可能性がある場合には対象となり得るのです。
2-1.GDPR施行の背景
GDPRは、1995年のEUデータ保護指令に代わり、2016年4月に制定され、2018年に施行された法律です。適用地域は、イタリア・オランダ・ドイツ・フランスなど、全てのEU加盟国とされています。
GDPR施行により、EU域内のすべての個人が法令の適用となり、個人は自分達のデータをより良く制御できるようになりました。さらに、事業者は公平な立場での競争という便益を受けることになり、どこの地域・国に拠点があるのかに関わらず、EU域内で活動している全ての企業への同一のルールとして定められています。
2-2.GDPRを違反した際の罰則
GDPRに違反した際の罰金制度には2段階あります。またGDPRに違反した際の罰金額はかなり高く、企業の経営に大きな痛手を生みます。これらの判断は、EUの同一水準に基づき、各国のデータ保護機関が、正当なチェックを行います。
【1段階目の上限】
最高で1000万ユーロ(約12億円)又は事業の場合は全世界における年間売上の2%までの罰金。
【2段階目の上限】
最高で2,000万ユーロ(約24億円)、又は全世界の年間売上の4%。
3.個人情報保護法とは?
個人情報保護法とは、日本で2005年に施行された企業の個人情報の取扱い方法を定めた法律です。個人情報として該当するものには、個人の氏名や生年月日、マイナンバーや運転免許証があります。
3-1.個人情報保護法が施行された背景
日本では、改正個人情報保護法が2022年4月に施行されて、Cookieなどの識別子は「個人関連情報」と定義されました。
つまり、Cookieは個人に関連する情報ではあるが、個人情報には該当しないと定義づけされているのです。ただ企業や事業者がユーザーの個人情報を紐づける際には、本人の同意が必要となります。
3-2.個人情報保護法を違反した際の罰則
個人情報保護法の改正案が2020年3月に閣議決定され、個人情報の取り扱い条件に違反した際の罰金額は「50万又は30万円以下」から「1億円以下」へと引き上げられています。
4.Cookie・GDPR・個人情報保護法との関係性
以下では、Cookieと「GDPR」、Cookieと「個人情報保護法」を2種類に分け、それぞれの関係性について解説していきます。
4-1.CookieとGDPRの関係性
GDPRではCookie内に蓄積された情報の全てを個人情報とみなす関係性があります。
つまり、利用者は名前やメールアドレスといった直接的な個人情報をクッキー上に保存しなくとも、「ID」のような数字の羅列を入力し、保存することは容易に考えられます。このとき、仮に「ID」が第三者に渡ってしまうと、その入力情報は、知らずのうちに、どこか他の場所で悪用される可能性があります。
だとすれば、この情報はただの数字の羅列ではなく、立派な個人情報と見て取れるのです。
そのため、GDPRではCookie内に蓄積された情報を個人情報とみなす関係性があります。
4-2.Cookieと個人情報保護法との関係性
個人情報保護法ではCookie内に蓄積された情報の全てを個人情報とみなす関係性はありません。
個人情報保護法の改正では、消費者が収集された電子情報の開示を求められるように、電子情報の利用条件を変更したにとどまります。つまり、日本の個人情報保護法では、EUのGDPRのように、Cookieそのものを個人情報と定義していないのです。
そのため、個人情報保護法ではCookie内に蓄積された情報の全てを個人情報とみなす関係性はありません。
5.GDPR違反の事例
フランス政府のデータ保護当局が、2022年1月に発表した内容では、Google・Meta(Facebook)が、ユーザーに個人情報の利用許可を拒否されにくいように、閲覧者にそれらの手続きを煩雑にしたとされています。よってGoogleには1億5000万ユーロ、Metaには6000万ユーロの罰金額が命じられています。
6.まとめ
今回はCookieの概要やGDPR・個人情報保護法の内容を徹底的に解説してきました。
主に「Cookie」とはサイト上に訪れたユーザーの情報を一時的にブラウザに保存する仕組み、「GDPR」とはEUで発足した新しい個人データ保護の枠組み、そして「個人情報保護法」とは日本での個人情報の取扱い方法を定めた枠組み、であることを理解できたと思います。
また、日本の「個人情報保護法」に対して、EUの「GDPR」はCookie規制に大きな関係性があることも解説してきました。このGDPR という法令は、 EU 域内の企業だけでなく、欧州市民向けに商品とサービスを提供している世界中の企業にも適用されます。つまり日本の企業でも事業内容によっては対応する必要があるのです。
株式会社UPF(ユーピーエフ)は、業界に関係なく、お客様の GDPR コンプライアンス対策を構築するサポートプログラムをご用意しております。
GDPRに対する対策法に、お悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]