【Cookieとは？】GDPRや個人情報保護法との関係性を徹底解説！

インターネットの利用が常識となる一方で、企業は個人情報の取扱いに細心の注意を払う必要があります。そして、最近では「Cookie規制」や「GDPR」ないし「個人情報保護法」といった個人情報にまつわる用語を耳にする機会が増えてきました。そこで、今回はCookieの概要やGDPR、個人情報保護法の内容をわかりやすく徹底的に説明していきます。　

1.Cookieとは？

「Cookie」とは、サイト上に訪れたユーザーの情報を、一時的にブラウザに保存する仕組みのことです。簡単に説明すると、ユーザーの ”足跡” を記録することで、ユーザーの利便性向上やマーケティングの施策検討に役立てることができる機能となります。

しかし、Cookieで取得した”個人情報”は、情報の保有・利用・活用することをユーザー本人の許可を得る必要があります。以下では、Cookieの利用に必要となる「Cookieポリシー」や「Cookieポリシーに記載すべき事項」についてまとめてあります。

1-1.Cookieポリシーとは？

「Cookieポリシー」とは、Cookieを利用して、ユーザーに個人情報を活用することを知らせる文言や、それらを含むページ のことを指します。

Cookieでは、ログイン情報や、ECサイトでの買い物情報、閲覧ページなど、ユーザーの情報を保存することができます。しかし、個人情報を取得する以上、情報漏洩等のリスクを抑えるためにも、Cookieでの情報取得の方針を明記する必要があります。
　
例えば、EU（イタリア・オランダ・ドイツ・フランス等の欧州連合）のGDPRのように、Cookieを個人情報として分類する法令もあります。

1-2.Cookieポリシーに記載するべき事項

「Cookieポリシーに記載すべき事項」は、時代の変化や対象とする法令（GDPR・個人情報保護法など）の違いにより変わってきます。しかし、以下に記載した内容はどの業界・業種の企業であっても、最低限記載すべき事項となります。

・ユーザーに対するCookieの解説
・ユーザーの同意のもとCookieを運用することの明示
・Cookieの利用目的や保存期間の明示
・Cookieの削除や無効化する方法の明示

2.GDPRとは？

GDPRとは、EUで発足した新しい個人データ保護の枠組みのことです。この法律では、EU内の個人データを収集・処理をする事業者に対して義務が課されます。つまり、日本企業も例外ではなく、欧州域内へ製品を販売し、個人データを扱う可能性がある場合には対象となり得るのです。

2-1.GDPR施行の背景

GDPRは、1995年のEUデータ保護指令に代わり、2016年4月に制定され、2018年に施行された法律です。適用地域は、イタリア・オランダ・ドイツ・フランスなど、全てのEU加盟国とされています。

GDPR施行により、EU域内のすべての個人が法令の適用となり、個人は自分達のデータをより良く制御できるようになりました。さらに、事業者は公平な立場での競争という便益を受けることになり、どこの地域・国に拠点があるのかに関わらず、EU域内で活動している全ての企業への同一のルールとして定められています。

2-2.GDPRを違反した際の罰則

GDPRに違反した際の罰金制度には2段階あります。またGDPRに違反した際の罰金額はかなり高く、企業の経営に大きな痛手を生みます。これらの判断は、EUの同一水準に基づき、各国のデータ保護機関が、正当なチェックを行います。

【1段階目の上限】
最高で1000万ユーロ（約１２億円）又は事業の場合は全世界における年間売上の2％までの罰金。

【2段階目の上限】
最高で2,000万ユーロ(約２４億円)、又は全世界の年間売上の4％。

3.個人情報保護法とは？

個人情報保護法とは、日本で2005年に施行された企業の個人情報の取扱い方法を定めた法律です。個人情報として該当するものには、個人の氏名や生年月日、マイナンバーや運転免許証があります。

3-1.個人情報保護法が施行された背景

日本では、改正個人情報保護法が2022年4月に施行されて、Cookieなどの識別子は「個人関連情報」と定義されました。
つまり、Cookieは個人に関連する情報ではあるが、個人情報には該当しないと定義づけされているのです。ただ企業や事業者がユーザーの個人情報を紐づける際には、本人の同意が必要となります。

3-2.個人情報保護法を違反した際の罰則

個人情報保護法の改正案が2020年3月に閣議決定され、個人情報の取り扱い条件に違反した際の罰金額は「50万又は30万円以下」から「1億円以下」へと引き上げられています。

4.Cookie・GDPR・個人情報保護法との関係性

以下では、Cookieと「GDPR」、Cookieと「個人情報保護法」を2種類に分け、それぞれの関係性について解説していきます。

4-1.CookieとGDPRの関係性

GDPRではCookie内に蓄積された情報の全てを個人情報とみなす関係性があります。

つまり、利用者は名前やメールアドレスといった直接的な個人情報をクッキー上に保存しなくとも、「ID」のような数字の羅列を入力し、保存することは容易に考えられます。このとき、仮に「ID」が第三者に渡ってしまうと、その入力情報は、知らずのうちに、どこか他の場所で悪用される可能性があります。

だとすれば、この情報はただの数字の羅列ではなく、立派な個人情報と見て取れるのです。
そのため、GDPRではCookie内に蓄積された情報を個人情報とみなす関係性があります。

4-2.Cookieと個人情報保護法との関係性

個人情報保護法ではCookie内に蓄積された情報の全てを個人情報とみなす関係性はありません。

個人情報保護法の改正では、消費者が収集された電子情報の開示を求められるように、電子情報の利用条件を変更したにとどまります。つまり、日本の個人情報保護法では、EUのGDPRのように、Cookieそのものを個人情報と定義していないのです。

そのため、個人情報保護法ではCookie内に蓄積された情報の全てを個人情報とみなす関係性はありません。

5.GDPR違反の事例

フランス政府のデータ保護当局が、2022年1月に発表した内容では、Google・Meta（Facebook）が、ユーザーに個人情報の利用許可を拒否されにくいように、閲覧者にそれらの手続きを煩雑にしたとされています。よってGoogleには1億5000万ユーロ、Metaには6000万ユーロの罰金額が命じられています。

6.まとめ

今回はCookieの概要やGDPR・個人情報保護法の内容を徹底的に解説してきました。

主に「Cookie」とはサイト上に訪れたユーザーの情報を一時的にブラウザに保存する仕組み、「GDPR」とはEUで発足した新しい個人データ保護の枠組み、そして「個人情報保護法」とは日本での個人情報の取扱い方法を定めた枠組み、であることを理解できたと思います。

また、日本の「個人情報保護法」に対して、EUの「GDPR」はCookie規制に大きな関係性があることも解説してきました。このGDPR という法令は、 EU 域内の企業だけでなく、欧州市民向けに商品とサービスを提供している世界中の企業にも適用されます。つまり日本の企業でも事業内容によっては対応する必要があるのです。

株式会社UPF（ユーピーエフ）は、業界に関係なく、お客様の GDPR コンプライアンス対策を構築するサポートプログラムをご用意しております。
GDPRに対する対策法に、お悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。