クッキーポリシー(Cookieポリシー)とは?必要性・訴訟リスク・記載事項について解説

Cookieデータ管理・活用 2023.11.08
クッキーポリシー(Cookieポリシー)とは?必要性・訴訟リスク・記載事項について解説
>>すぐ対策できる!プライバシーポリシー・クッキーポリシーテンプレートのダウンロードはこちら

クッキーポリシーは、ユーザーにクッキー(Cookie)の取得・利用目的を伝える役割を持っており、一部法令によって設置が必須化されつつあるほか、透明性を担保し、ユーザーとの信頼関係を構築する役割を担っています。

本記事では、クッキーポリシーの概要と必要性、また昨今のCookie規制による訴訟リスクについてご説明します。

1. クッキーポリシー(Cookieポリシー)とは?

1-1. そもそもクッキー(Cookie)とは

クッキー(Cookie)とは、Webサイトやサーバーにアクセスした際にWebブラウザに保存されるテキストファイルのことを指します。具体的には、そのWebサイトで入力したログインIDやサイト上の閲覧履歴、訪問回数などの情報が記録されています。

同じブラウザで以前訪れたサイトを再訪問すると、ログイン情報の入力を省くことができたり、買い物カゴに入れていた商品がそのまま残っていたりするのはクッキーによるものです。

クッキーによく似た仕組みとして「キャッシュ」がありますが、こちらは一度閲覧したホームページの画像やテキストなどを保存し、再訪問の際にページ読み込み速度を素早くするための仕組みです。

1-2. クッキーポリシー(Cookieポリシー)とは

クッキーポリシーとは、クッキー情報の利活用についてユーザーに知らせるための文言、または文言が設置されたページのことを指します。

主に、そのウェブサイトで利用されるクッキー情報の種類、利用目的、クッキー情報の送付・共有先、設定を変更する方法などが説明されています。

個人情報に関する取り扱いについて説明する「プライバシーポリシー」の中の一項目としてクッキーポリシーが含まれている場合(よくあるケースとして、「クッキーの取り扱いについて」という見出しの項目による説明)もあれば、プライバシーポリシーから独立した形式、すなわち「クッキーポリシー」として説明される場合もあります。

近年では、クッキーポリシーを独立させ、プライバシーポリシーとは別ページに設けている企業が増えてきています。

2. クッキーポリシーの必要性

2-1.GDPR(EU)/CPRA(米国カルフォルニア州)

近年、ヨーロッパをはじめ、世界各国でプライバシー保護の動きが強まっています。

クッキーは、ユーザーそれぞれのユニーク情報が保存される仕組みのため、法令や各種ガイドラインによって、適切に取り扱うことが求められています。

EUには、GDPR(一般データ保護規則)という法令がありますが、そこではすでにクッキーが個人データ扱いとなっています。また、アメリカのカリフォルニア州の法令であるCPRA(カルフォルニア州プライバシー権法)でも同じくクッキーは個人情報とされており、収集される前に消費者に通知しなければなりません。

*GDPR上の「個人データ」、CPRA上の「個人情報」は、日本の個人情報保護法上の「個人情報(法2条1項)」の定義とは異なります。

詳しくは以下の記事もご覧ください。
>>GDPRとは?概要や日本企業が対策すべき項目を解説
>>CCPA(カリフォルニア州 消費者プライバシー法)とは?GDPRとの違いも解説

GDPR対応でクッキーポリシーが必要とされるケース例としては、以下が挙げられます。

  • EUに子会社、支店、営業所を有している企業
  • 日本からEUに商品やサービスを提供している企業
  • EUから個人データの処理について委託を受けている企業

日本企業であっても、EU域内へサービス提供を行っている場合などはGDPR対応が求められる可能性がある点に注意が必要です。

上記に当てはまる企業がユーザーからクッキー取得・利用の同意を取っていない場合、日本に本店を置いている企業であってもペナルティの対象となります。

2-2.改正個人情報保護法

日本の個人情報保護法上の定義によると、単体でのクッキーは個人情報に該当しませんので、クッキーを第三者に提供する場合、原則として利用者本人の同意は必要ありません。

しかしクッキーは、令和2年改正により定義された「個人関連情報(改正法2条7項)」に該当すると考えられます。提供先の第三者において、個人関連情報が個人データとして取得される時は、提供先においてあらかじめ本人の同意を取得し、提供元において当該同意の取得を確認しなければなりません(改正法31条1項)。

こうした背景から、クッキー情報の利用についてユーザーから同意を取得するために、クッキーポリシーを設置する企業が見受けられるようになってきました。

「本人の同意」についての詳細は以下をご覧ください。
参考:通則ガイドライン3-7-2(個人情報保護委員会)

3. クッキー規制(Cookie規制)の強化による訴訟リスク

前述したGDPRのほか、2023年1月にアメリカのカリフォルニア州で施行されるCPRA(カルフォルニア州プライバシー権法)の存在は、クッキー規制の強化による訴訟リスクを語るうえで避けては通れません。

プライバシー保護の不備が法令に抵触するものと認められたとき、それぞれどのような損失が想定されるのかを説明します。

3-1. GDPRに抵触した場合のペナルティ

EUで施行されたGDPRは、以下のようにクッキーやIPアドレスなどのオンライン識別子、位置データや身体に関するあらゆる要素を個人データと定義しており、厳格な管理を求める規定を設けています。これに抵触した場合、同様の法令のなかでは最大規模ともいえる巨額な制裁金が科せられることとなっています。

以下は、GDPRに違反した場合における制裁金の基準、GDPR違反の類型を日本語でまとめたものです。

image2.png

image3.png

出典:日本貿易振興機構(ジェトロ)「「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)

少なくとも1,000万ユーロ(約12億円)が制裁金として科せられることとなっており、過去の事例では100~200億円規模の支払いを命じられたケースもあります。

GDPRに違反したことで巨額の制裁金が科せられた事例については、以下の記事をご参照ください。

>>【2022年 日本初事例も】GDPRに違反するリスクとは?ICOが企業に制裁金を科した事例

 

3-2. CPRA(CCPA)に抵触した場合のペナルティ

CPRAは、アメリカのカリフォルニア州で営利目的の活動を行っている企業のうち、以下のケースへ該当する場合に適用される法令となっており、下記に該当するなら日本企業であっても法令の対象となります。

  • 年間の総収入が2,500万ドル以上
  • 年間5万以上のカリフォルニア州民の個人情報を処理(購入・取得・販売等)している
  • カリフォルニア州民の情報を販売して年間収入の50%以上を得ている

参考:日本貿易振興機構(ジェトロ)「施行が迫る「カリフォルニア州消費者プライバシー法」(米国)

CPRAも保護対象とするデータを広く定義しており、クッキーやIPアドレスなどのオンライン識別子はもちろん、ウェブサイトの閲覧履歴や検索履歴といった情報も対象になる可能性が高いです。間接的な方法で個人を識別できる情報についても法令の対象に含まれるため、一覧で示すことができないほど対象は多いものと判断できます。

>>訴訟リスクやペナルティも!「Cookie規制」を正しく理解するにはこちら

4. クッキーポリシーに記載すべき事項

クッキーポリシーは、少なくとも改正個人情報保護法に対応させつつ、GDPRやCPRAをはじめとする法令の対象となるか否かによって、記載事項が変動する可能性があります。いずれの制度も細かい部分の定義がやや異なっており、さらに時代の変化に応じて規定内容が更新されることも予想されるからです。

このような前提のもと、以下の事項はあらゆる企業が最低限記載することが望ましいです。

  • クッキーが何であるかの説明
  • クッキーの利用目的・保存期間の説明
  • 3rd Party Cookieの発行元である広告配信事業者のリストと、オプトアウト用のWebページへのリンク
  • ブラウザを用いてクッキーをブロックする方法の説明

特にGDPRは、ユーザーに対して上記を単に公表するだけでなく、「ユーザーにとって分かりやすく親切な形」で公開することを求めています。

クッキーポリシーの雛形はこちらからダウンロードいただけます。ぜひご活用ください。
>>プライバシー・クッキーポリシーテンプレートのダウンロード

5. まとめ

クッキーを保護すべき個人データに位置付ける風潮が世界的に強まっている中、自社ホームページにクッキーポリシーを設ける企業は今後もますます増えることでしょう。

詳細にわたるポイントをいかに整理して記載するか、その内容の精査には手間や時間も必要となりますが、クッキーポリシーの存在は、企業とユーザーの信頼関係を築くうえでも大きな存在となるはずです。

法令の対象になるか否かにかかわらず、積極的に設置することをおすすめします。

公開日:2020年6月29日