Cookieポリシーとは?必要性・訴訟リスク・記載事項について解説

Cookieデータ管理・活用 2020.06.29
Cookieポリシーとは?必要性・訴訟リスク・記載事項について解説

Cookieポリシーとは、ユーザーにCookieの取得・利用目的を伝える役割を持っており、一部法令によって設置が必須化されつつあるほか、ユーザーとのあいだに信頼関係を構築する役割を持っています。

ここでは、Cookieポリシーの概要と必要性、また昨今のCookie規制による訴訟リスクについてご説明します。

1. Cookieポリシーとは?

Cookieポリシーは、Cookieを利用してユーザーの情報を取得し利活用することをユーザーに知らせる役割を持った文言、またその文言を含むページを指します。

2. Cookieポリシーの必要性

Cookieは、ユーザーのログイン情報や通販サイトにおけるカート内の情報、どのようなページを閲覧したのかなデーなどのを保存し、インターネット上のユーザー体験を向上させる仕組みです。しかし、個人にまつわる情報を多く含んでいる特性上、取り扱いには細心の注意を払わなければいけません。

すでに海外では、EUで施行されたGDPR(EU一般データ保護規則)のようにCookieを個人情報としてカテゴライズする法令もあり、以下の条件に該当する日本企業はCookieポリシーを設けてユーザーに同意を取ることが求められています。

・EUに子会社・支店・営業所を有している

・日本からEUに商品・サービスを提供している

・EU域内から個人情報の処理を受託している

参考:EY Japan「EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項

上記に当てはまる企業がユーザーからCookie取得・利用の同意を取っていない場合、日本に本店を置いている企業であってもペナルティの対象となります。

こうした背景から、法令の対象となる事業を営んでいる企業はもちろん、対象外であっても個人情報保護に関心の強い企業は、自社のホームページにCookieポリシーを設置しているのです。

3. Cookie規制の強化による訴訟リスク

前述したGDPRのほか、アメリカのカリフォルニア州で施行されたCCPA(カリフォルニア州消費者プライバシー法)の存在は、Cookie規制の強化による訴訟リスクを語るうえで避けては通れません。

これらのプライバシー保護を強める法令の存在により、情報を収集される一方であった個人側の立場が強くなり、プライバシー保護に対する企業側の不備を見つけて訴訟することが従来よりも容易になりました。

では、プライバシー保護の不備が法令に抵触するものと認められたとき、それぞれどのような損失が想定されるのかを説明します。

GDPRに抵触した場合のペナルティ

EUで施行されたGDPRは、以下のようにCookieやIPアドレスなどのオンライン識別子、位置データや身体に関するあらゆる要素を個人データと定義しており、厳格な管理を求める規定を設けています。これに抵触した場合、同様の法令のなかでは最大規模ともいえる巨額な制裁金が科せられることとなっています。

以下は、GDPRに違反した場合における制裁金の基準、GDPR違反の類型を日本語でまとめたものです。

image2.png

image3.png

出所:日本貿易振興機構(ジェトロ)「「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)

少なくとも1,000万ユーロ(約12億円)が制裁金として科せられることとなっており、過去の事例では100~200億円規模の支払いを命じられたケースもあります。

GDPRに違反したことで巨額の制裁金が科せられた事例については、以下の記事をご参照ください。

>>GDPRに違反するリスクとは?ICOが企業に制裁金を科した事例

なお、上記画像に「Cookie」の文言は登場しませんが、GDPRがオンライン識別子(CookieやIPアドレスなど)を個人データと定義することは下記の文章から確認できます。

image1.png

出所:個人情報保護委員会「個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/EC を廃止する欧州議会及び理事会の2016年4月27日の規則

CCPAに抵触した場合のペナルティ

CCPAは、アメリカのカリフォルニア州で営利目的の活動を行っている企業のうち、以下のケースへ該当する場合に適用される法令となっており、下記に該当するなら日本企業であっても法令の対象となります。

・年間の総収入が2,500万ドル以上

・年間5万以上のカリフォルニア州民の個人情報を処理(購入・取得・販売等)している

・カリフォルニア州民の情報を販売して年間収入の50%以上を得ている

参考:日本貿易振興機構(ジェトロ)「施行が迫る「カリフォルニア州消費者プライバシー法」(米国)

CCPAも保護対象とするデータを広く定義しており、CookieやIPアドレスなどのオンライン識別子はもちろん、ウェブサイトの閲覧履歴や検索履歴といった情報も対象になる可能性が高いです。間接的な方法で個人を識別できる情報についても法令の対象に含まれるため、一覧で示すことができないほど対象は多いものと判断できます。

CCPAは、個人が企業に対して情報開示・削除を請求したときに効力を発揮し、要求から45日以内に対応を実行せずCCPAに違反する行動を取り続けた場合には、1件の請求につき最大2,500ドル(約27万円)の制裁金が科せられます。

また、故意であれば最大7,500ドル(約81万円)の制裁金が科せられることとなっており、GDPRほどではないものの請求が複数件にのぼる場合は多額のペナルティを科せられるようです。

4. Cookieポリシーに記載すべき事項

Cookieポリシーに記載すべき事項は、GDPRやCCPAをはじめとする法令の対象となるか否かによって変動する可能性があります。なぜなら、いずれの制度も細かい部分の定義がやや異なっており、さらに時代の変化に応じて規定内容が更新されることも予想されるからです。

このような前提のもと、以下の事項はあらゆる企業が最低限記載すべきだと考えられます。

・ユーザーに対するCookieの解説

・Cookieをユーザーの同意のもと運用する旨

・具体的なCookieの利用目的・保存期間

・Cookieを削除・無効化する方法の解説

特に多くの法令発案の参考にされるGDPRは、ユーザーに上記を開示するだけでなく「ユーザーにとって分かりやすく親切な形」で公開することが求められています。

過去にGoogleは、個人情報の利用目的を明確に示していないためGDPRに抵触すると判断され、フランスのデータ保護機関から5,000万ユーロ(約62億円)の制裁金を科せられました。

このことから、現時点では法令の対象となっていない企業であっても、今後の世界基準の変化を見通して上述したポイントを明示することが求められます。

5. まとめ

Cookieを保護すべき個人データに位置付ける風潮が世界的に強まっている中、自社ホームページにCookieポリシーを設ける企業は今後もますます増えることでしょう。詳細にわたるもポイントをいかに整理して記載するか、その内容の精査には手間や時間も必要となりますが、Cookieポリシーの存在は、企業とユーザーの信頼関係を築くうえでも大きな存在となるはずです。法令の対象になるか否かにかかわらず、積極的に設置することをおすすめします。