プライバシーの侵害とは？Cookieはプライバシー侵害に該当する？

広告配信の最適化やユーザー行動の計測に活用されるCookieは、欧州を中心に規制の対象となりつつあります。なぜならCookieは個人にまつわるデータであり、使い方によっては人物の識別につながる可能性があるためです。

ここでは、近ごろ問題視されつつあるCookieの存在がプライバシーの侵害にあたるのかどうかについて解説します。

1. プライバシーの定義とは？

個人の秘密を他者に侵害されない権利、個人が自身の情報をコントロールできる権利など、個人が自己情報を守る権利を総じて「プライバシー」と呼びます。

プライバシーにより保護されるべき情報は個人情報に限定されず、当人が第三者に公開されることを望まないあらゆる情報が保護対象に該当します。個人の識別が可能な情報＝「個人情報」に近い文脈で用いられる言葉ですが、プライバシーにより守られるべき情報は個人情報よりもさらに広範なものです。

2. プライバシー侵害の一例

プライバシーの侵害に該当すると判断される可能性があるケースとして挙げられるのは、以下のような条件に当てはまる場合です。

• 私生活上の事実、あるいは事実だと受け取られる恐れがある
• 一般の感受性をもとに、当人が公開を望まない事実である
• これまでに一般に公開されていない事実である

上記に当てはまり、かつプライバシーを公開する理由（高い公益性など）が認められない場合には、プライバシーの侵害が成立します。

「一般の感受性をもとに、当人が公開を望まない事実である」情報には、過去の犯罪経歴や病歴、収入・家計、手紙の内容をはじめとする、当人が他人に知られたくないあらゆる情報が含まれます。たとえば、当人が望んでいないにも関わらずネット掲示版に住所を書き込んだり、SNSに年収を公開したりする行為は、プライバシー侵害に該当する可能性が非常に高いものです。

3. Cookieの取得はプライバシー侵害に該当する？

結論からいえば、日本国内においてCookieの取得そのものをプライバシー侵害と判断することはありませんが、ユーザーが意図しない流れで第三者にCookie情報を公開・提供するなどの行為はプライバシーの侵害にあたると考えられます。

これにあたる事例として、ユーザーの同意を得ないままCookie情報を他の個人データと紐付けて利用するケースが挙げられます。Cookieを取得する行為はプライバシーを侵害しないとしても、取得したCookieの利用方法によっては法的な問題が発生することを念頭に置いておかなければなりません。

一方、欧州は日本よりもプライバシー保護の意識が高く、プライバシーの観点からCookieの存在を否定する意見が見られます。2018年にEUで施行されたGDPR（EU一般データ保護規則）では、Cookieをはじめとするオンライン識別子を保護すべき個人データとしており、個人に無許可で収集することを禁じています。仮に無許可で収集すれば違法行為に問われ、高額な制裁金を科せられることとなっています。

最近、Webサイトに訪問した際によく見られるようになってきた「Cookieの使用」の許可を求めるメッセージは、個人データであるCookieの収集に同意を求めるプライバシー保護のための手段なのです。

4. Apple社やGoogle社などはCookieを規制する流れに

世界的なプライバシー意識の高まりは、すでに身近なところに影響しています。

日本国内でも広く利用されているApple社のiPhoneやMacは、Cookieの働きを規制するITPを実装したSafariを標準ブラウザとしています。これまでたび重なるアップデートを経てCookieの制限を強めてきたITPについては、「ITPとは？Web広告に与える影響と対策方法」で詳しく解説しています。

また、検索エンジンやメールサービスなどで馴染み深いGoogle社も、公式記事の「ウェブのプライバシー強化: サードパーティ Cookie 廃止への道」で述べているように、Cookie廃止に歩みを進め始めました。

Google社はプライバシーの強化に努めるため、Cookieの代替案となるプライバシーサンドボックスと呼ばれる取り組みを行っています。2020年から2年間で、Web業界の健全性を保ちつつ広告主のニーズに応えるプライバシーサンドボックスの仕組みを作り、段階的に3rd Party Cookieのサポートを廃止していくようです。プライバシーサンドボックスはいまだ未知の部分が多い取り組みではあるものの、これまでCookieが担っていたコンバージョン測定やパーソナライゼーションといった働きにも対応する技術になるのではないかと考えられます。

このように、ITの最先端を行く企業を筆頭にCookieは規制・廃止の方向へ向かっています。そうして個人にまつわるデータの取り扱いを透明化することで、個人消費者がより安心して企業にデータを共有できる世界を多くの地域・企業が目指しているのです。

5. まとめ

昨今のプライバシーにまつわる動きは、Cookieの取得・利用を制限する方向に大きく傾いてきました。前述の通り、EUでは法令によりCookie取得にユーザーの同意を得ることが必須となっています。

日本の現行法ではCookieの取得そのものに違法性は認められないものの、Cookieに他の情報を紐付けてユーザーの望まない方法で提供する行為には法的な問題があり、かつ将来的にはEUにならってCookieの取得に強い制限がかかる可能性も否めません。

個人の情報を扱う事業者には、プライバシーに関する法令や世の中の流れをキャッチアップし、倫理的にも法的にも問題のない運用を行うことがますます求められることになります。