インターネットブラウザのクッキー（Cookie）に法的な利用制限

リクルートの就活サイト、通称リクナビが個人情報を不正に販売していた事件、通称リクナビ問題が進展を見せました。
リクナビはCookieを私的に流用していたとされ、その件について政府の個人情報保護委員会が、ログイン情報および閲覧情報を利用するにあたって、規制を設けると検討し始めたのです。

（「クッキー」利用に法規制　リクナビ問題受け改正へ）
https://r.nikkei.com/article/DGXMZO52606310W9A121C1000000?s=4

令和元年の年内にはこの問題を受けて法改正を示す予定です。今回はその件について解説していきます。

ちなみに、当社UPFでは、プライバシーマーク（Pマーク）の取得コンサルを行っています。Pマークや個人情報保護に関するあらゆることにお答えできますので、ご検討くださいませ。

｜Cookieとは？

Cookieとは、いわゆる私達が日頃好んでおやつに食べるクッキーそのままです。
なぜそのような名前がつけられているかというと、インターネットにアクセスする際のブラウザに対して、サイトから小さくデータを返し、それがセッションの形でデータが保持されます。
これによって、インターネットにアクセスしているブラウザと、アクセス先のサイトが関係性を持つこととなり、何を閲覧したのか、どのような人物なのかというデータがサイト側から丸見えになってしまうのです。
この小さなデータをCookieといいます。

Cookieはブラウザ側に残りますので、自分の手で削除もできます。
しかし多くの人は削除しませんし、それほど削除に意味はないものと思われます。
なぜなら、Cookieは小さな個人情報の塊であり、たとえばそのユーザの前回のアクセスを保持することでサイトがよりカスタマイズされたりなど、非常に見やすくなったりデータが元から入力された状態だったりと、非常に便利に使えるからです。

基本的に、パソコンに対してひとりのユーザが使うのであれば、Cookieが保持されたままであっても問題ありません。
利用者側に落ち度はないのです。
問題は、このCookieをサイト側でいいように使ってしまうことが原因です。

｜リクナビ問題とは？

そんな中、リクナビ問題とは、リクナビの利用者つまり就活生の内定辞退という重要なデータを、リクナビ側が勝手に収集し、企業に販売していたことから起こった問題です。
リクナビ問題は、就職活動者の内定辞退率データから算出していたのです。
内定辞退率は、その就職活動希望者を弾くためのデータであることは明らかです。
誰も幸せにしないことは明確なデータであって、就活していながら内定を辞退するという企業側にとってのみ有益なデータ販売を行っていたのです。

しかも、販売です。
リクナビだけが持つ内定の辞退という情報。
それを辞退率に計算して、販売していたのですから大問題です。
ユーザに圧倒的に不利益となるこの辞退率データ販売。
社会問題となってからは、リクナビは謝罪と販売サービス終了に追い込まれています。

また、今後のリクナビ利用者がどうなるかはまた令和２年の情報を待つほかありませんが、マイナビなどに流れるのではと考えられています。
もちろんPマークも取り消されています。

｜Cookieの不正利用とは？

冒頭にみたように、Cookieとはサイトとブラウザ間で渡される小さなデータです。
よって、そのデータは絶対に第三者利用されないようにしなければなりません。
サイトを信頼するからこそ渡すデータであるからです。

当然ながら、これはリクナビという個人情報を登録するサイトにおいて、Cookieもまた個人情報であることは確かです。
しかしながら、そのCookieを個人情報と紐付け、内定辞退率を算出した上で企業に販売するというのは、大きな問題だと考えられます。

｜なぜリクナビ問題ではCookieが使用されたか

リクナビではAIを利用したデータ分析の一環として、この内定辞退率販売を行っていたものと考えられます。
そこで、データを加工していれば個人情報には該当しないとの判断をリクナビが勝手にしてしまったと考えられるのです。

現状、３者が関連しています。
(1)Cookieを取得する企業と、(２)データを加工する企業と、(３)ユーザの３者です。
このうち、１から２にCookieの情報が渡ると、２の側で個人情報へと再現できてしまうのです。
現行法ではこの問題があると識者は指摘しています。

よって、２で個人情報に加工されるとわかっていながら、１がデータ提供を行うことは問題だということになったのです。
これこそ、リクナビ問題の本質であり、みえないところで私達のデータが勝手に譲渡・販売されることを防がなければならないのです。

｜考えられる変化

では、法整備が進んで現行法から新しい規制に移行したらどうなるのでしょうか。
これは推測の域をでませんが、ターゲティング広告などに影響が及ぶものと見られます。
現状、サイトを閲覧したり広告をクリックしたりすると、その際にCookieが渡され、そのあとの閲覧にも見た広告がもう一度表示されたり、追いかけてきたりという経験があると思います。
それはこのCookieが関連しています。
このターゲティング広告にも、大きな影響が与えられるものとみられます。

そして、本人の同意なくデータが渡されることも防げるはずです。
個人情報と同水準のデータ取り扱いが求められ、Cookieであってもずさんな取り扱いは認められないということです。

｜企業側にできること

企業にいまできることとしては、個人情報を第三者に引き渡さないということです。
また、個人情報をサーバ上に保管したり、クラウドに安易に保管しておいたりするのも避けるべきでしょう。
何が起こってデータが外に流出するかわからないからです。

万全の対策をねっていても、退職者が悪意をもってアクセスしてきたり、社内からUSBメモリで持ち出されたりすることは十分考えられますし、実際にそうしたトラブルも起こっています。
何かあってからでは遅く、Pマークの取り消しや何よりその先の信頼の大きな失墜が待っているので、データの取り扱いには十分注意してください。

企業側にできることとしては、今一度、Pマーク認証にふさわしいデータの取り扱いをしているか、また、個人情報が何らかの形で外部に漏洩するような取り扱いになっていないか、いまいちど見つめる必要があります。

それに加えて、外部機関などに依頼して、漏洩が起こりやすい体制になっていないか、第三者による検証をしてもらうのもひとつの手です。
そうしないと、自社の体制にもしかしたらボトルネックがあるかもしれません。
外部機関に相談してみてもらうというのは、非常にいいことです。
当社UPFも、Pマーク取得のコンサルティングを行っていますので、ビジネスのフローやデータの取り扱いに問題がある場合はすぐに指摘できます。
安心して頼ってください。

個人情報は、いまや会社の根幹に関わるデータです。
インターネットが発達し、さまざまな人がネットにアクセスする時代になったからこそ、法律の側も変化して、利用者を守るように動いています。
よって、その動きについていくためには、企業の側も法律の変化に敏感となり、同時に自社が法律に沿った働きをしているか常に点検することが大切です。

｜まとめ

リクナビ問題も、当初は「内定辞退率およびCookieは個人情報という認識がなかった」という知識の甘さ、古さをもっていたことから引き起こされています。
よって、リクナビは社内にかかえている法務部の動きも悪く、法的な面での検証が進んでいなかったことが容易に推測されます。

そのため、データの取り扱いが悪く、結果として日経新聞やテレビの大ニュースになるほど大きな問題を引き起こしてしまいました。
これから、リクナビを使っている学生は「このような事件があったのにリクナビ問題に関心を払っていない」「個人情報などなんとも思っていない」という企業判断をされ、情報弱者として大変な就活が予想されます。

結果として、リクナビはユーザをとても窮地に陥らせたのです。
これではリクナビ離れも進み、会社の根幹サービスであった新卒キャリアのビジネスもなくなるかもしれません。
それぐらい、社会に大きなインパクトを与えた事件だったのです。

こういう事件からの学びを得るために、当社UPFではさまざまな個人情報事例を打ち出しています。
Pマークという非常に信頼性の高い認証を受けるにあたって、コンサルも実施していますので、ぜひお問い合わせください。

リクナビ問題からの学びは非常に大きいのです。
二の鉄を踏まないためにも、Cookieの情報と法律の変化には十分に注意していく必要があります。
そうすることによって、はじめてPマークが取得でき、社会に価値を還元していくことができるようになります。
Pマークはそれほど重大で、取り消されたリクナビの失態は大きかったのです。

■こちらの記事もおすすめです

>>>【cookieや位置情報を取得する場合【Ｐマーク取得の基礎知識】】