Cookie利用同意取得、日本企業はわずか5%。企業が急ぐべき対策と改正個人情報保護法
Priv Techは、日米欧主要企業の本社サイトでCookie利用に対する同意取得バナーが表示されるかを調査し、各国における個人情報保護への取り組み状況を明らかにしました(2020年7月~9月調査)。
その調査結果を元に、2020年12月14日の日本経済新聞電子版、および同15日の日本経済新聞朝刊紙面にて「『クッキー情報』利用同意表示、日本企業は5%弱」という記事が掲載されました。
「ネットの閲覧履歴がわかる「クッキー」情報の利用を巡り、消費者からの同意を取り付ける画面を自社サイト上で表示している日本の大企業は5%弱にとどまることが分かった。英国を中心とする欧州企業は8割強、米企業は3割弱で、日本企業の個人情報保護への取り組みの遅れが浮き彫りになった。」
引用:日本経済新聞:クッキー利用同意表示、日本企業の5%
(強調は本稿筆者によるもの)
本記事では、詳細な調査データとともに、Cookie同意取得に関する国内企業の現状と、改正法の全面施行までに企業が取るべき対策を解説します。
1. 大きく遅れる、日本の個人情報保護への取り組み
2018年に施行されたGDPR(EU一般データ保護規則)を皮切りに、企業による個人情報保護への取り組みが世界中で求められるようになりました。日本でも、いよいよ2022年6月までを期限に、改正個人情報保護法の全面施行が予定されており、各企業が対策を検討しています。
しかし現時点で日本の対策は欧米諸国と比較して遅れをとっています。特に顕著なのがCookieへの対応です。
GDPRでは、Cookieがそれ単体で個人情報と見なされるため、すでに欧米諸国の企業はGDPRを念頭にCookieの活用へ細心の注意を払っています。一方、日本では、今回の改正法で個人関連情報に関する規定が新たに設けられ、Cookieを介したデータの収集・活用の一部について同意取得が義務付けられましたが、まだまだ企業レベルでの対応は進んでいません。
個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」と定義されています(2020年改正個人情報保護法第26条の2第1項)。実務の現場では、IPアドレスやCookie情報、例えば閲覧履歴などの情報がこれに該当します。この個人関連情報は、単独では個人情報に該当しないため、原則的に取得・提供に制限はありませんが、提供先で個人情報と組み合わされる場合は、合わせて個人情報として扱われることになるため、取得・提供前に本人の同意を得ることが義務化されます。
しかし、Cookie等を扱うすべての場合に同意が必要になるのではないという点で、そもそもの法整備から、欧米諸国には大きく遅れをとっているといえます。
ただし、個人情報保護法も、諸外国を追うように改正のたびに規制が強化されているので、今後も厳格化の流れは続くでしょうし、追って公開されるガイドライン・Q&A等で、改正法条文よりも具体化された厳しい規制内容が提示されることもありえます。
プライバシー保護の厳格化は世界的なトレンドであり、ユーザーの意識も高まっています。企業もそれに応えて対策を整えていく必要があるといえるでしょう。
1.1. 欧州企業は80%強、米企業は30%弱
今回調査対象とした企業は、ヨーロッパではイギリスの代表的な株価指数である「FTSE」の上位350社、アメリカでは国内総売上高の多い順に500社をピックアップする「Fortune500」に選ばれた企業です。
調査の結果、欧州企業は81.6%、米企業は26.7%がCookie利用に対する同意取得バナー(以下「同意取得バナー」)をサイト上に設置していました。ここから、GDPRの監視のもとにあるヨーロッパの企業が率先して対策を進めていることが伺えます。
1.2. 日本国内の上場企業はわずか4.75%
一方、国内の上場企業2,001社に対して同様の調査をおこなった結果、バナーを表示しているのはわずか4.75%(95社)に留まりました。
(33業種の業種別売上高上位100社を調査。100社に満たない場合は当該業種内の全社を対象としました。)
改正法の成立などで個人情報保護への関心は高まっているものの、いまだ多くの企業が具体的な対策に着手できていないのが実情です。
2. 日本の同意取得バナー表示、2020年9月の状況
欧州企業に比べて大きく遅れをとっている、日本の個人情報保護対策。2020年9月時点の国内企業の同意取得バナー表示状況について、より詳しく見ていきましょう。
2.1. 業種別・上位100位のバナー表示率
国内企業の業種別・上位100位のバナー表示率は以下のとおりです。
【業種別・上位100位のバナー表示率】
| 業種 | バナーなし | バナーあり | 総数 | 表示率 |
| 石油・石炭製品 | 9 | 2 | 11 | 18.18% |
| 非鉄金属 | 28 | 6 | 34 | 17.65% |
| 機械 | 89 | 11 | 100 | 11.00% |
| 電気機器 | 89 | 11 | 100 | 11.00% |
| 医薬品 | 61 | 7 | 68 | 10.29% |
| 化学 | 91 | 10 | 101 | 9.90% |
| 鉄鋼 | 42 | 4 | 46 | 8.70% |
| 電気・ガス業 | 22 | 2 | 24 | 8.33% |
| 保険業 | 13 | 1 | 14 | 7.14% |
| 情報・通信業 | 93 | 7 | 100 | 7.00% |
| その他金融業 | 33 | 2 | 35 | 5.71% |
| 繊維製品 | 52 | 3 | 55 | 5.45% |
| ゴム製品 | 18 | 1 | 19 | 5.26% |
| ガラス・土石製品 | 56 | 3 | 59 | 5.08% |
| 金属製品 | 89 | 4 | 93 | 4.30% |
| 卸売業 | 96 | 4 | 100 | 4.00% |
| 精密機器 | 50 | 2 | 52 | 3.85% |
| 輸送用機器 | 92 | 3 | 95 | 3.16% |
| サービス業 | 97 | 3 | 100 | 3.00% |
| 小売業 | 98 | 3 | 101 | 2.97% |
| 食品業 | 98 | 2 | 100 | 2.00% |
| 不動産業 | 99 | 2 | 101 | 1.98% |
| 建設業 | 99 | 1 | 100 | 1.00% |
| その他製品 | 100 | 1 | 101 | 0.99% |
| パルプ・紙 | 26 | 0 | 26 | 0.00% |
| 海運業 | 13 | 0 | 13 | 0.00% |
| 銀行業 | 87 | 0 | 87 | 0.00% |
| 空運業 | 5 | 0 | 5 | 0.00% |
| 鉱業 | 6 | 0 | 6 | 0.00% |
| 証券業 | 39 | 0 | 39 | 0.00% |
| 倉庫・運輸関連業 | 39 | 0 | 39 | 0.00% |
| 農林水産 | 11 | 0 | 11 | 0.00% |
| 陸運業 | 66 | 0 | 66 | 0.00% |
| 総計 | 1906 | 95 | 2001 | 4.75% |
表示率が高い業種として挙げられるのが、「石油・石炭製品」「非鉄金属」「機械」「電気機器」「医薬品」です。
いずれもバナーの表示率が10%を超えており、平均の4.75%を上回っています。次いで、「化学」も9.90%と数値が高く、これらの業種は個人情報保護への取り組みが進んでいると推測されます。
一方で、「銀行業」「証券業」などの金融業界や「海運業」「空運業」「陸運業」などの運送業界は、今回の調査対象となった企業すべてでバナーが表示されていませんでした。金融業界は法律による規制が厳しく、コンプライアンス遵守も強く求められるイメージがありますが、それゆえに慎重に対応を進めているのかもしれません。
2.2. 国外取引が多い企業はすでに対策が進む
各企業について個別に分析を進めた結果、国外取引が多い企業ほどバナー表示に対応している傾向が見られました。
国内では法律に抵触しなくとも、国外の法律には抵触する可能性があるため、早期に対応を進めているのではないかということが伺えます。また、個人情報保護法よりも規制が厳格なGDPRなどに配慮しなければならないため、企業内でプライバシー保護の意識が強く醸成されているのではないか、ということも推察できます。
2.3. 売上高上位企業ほど対策傾向にある
各業種売上高上位40位までの大手企業に絞ると、バナー表示率が6.04%まで上昇します。一般的にも広く名の知られた企業が中心となるため、「プライバシーに配慮している」という企業イメージを重視し、早めの対策を心がけているのではないかと考えられます。
また、GDPRでは企業の売上高が懲罰金の算定に関わることも背景にあると思われます。懲罰金は「前年度の年間売上高(全世界)の4%」あるいは「2,000万ユーロ(約24億円:1ユーロ120円換算)」の高い方を上限として定められており、売上が多い企業ほど高額となる仕組みです。違反時の影響が甚大なものになることから、売上高が上位の企業ほど真剣に個人情報保護対策を進めていると推測できます。
3. 迫る改正法施行、まずは何をするべき?
改正個人情報保護法の全面施行を控え、国内企業には個人情報保護の対策を急ピッチで進めることが求められています。この対策には法務部や情報システム部などの部門間連携が必要になり、時間もかかりますが、その中でも比較的すぐ対応できるのがCookieの取得・利用への同意取得です。
コストを抑えつつ対策を進めたい場合、同意管理プラットフォーム(CMP:Consent Management Platform)に代表される「パーソナルデータを適切に取得・管理するためのシステム」の導入がひとつの解決策となります。
Priv Techが提供するCMP「Trust 360」なら月額5万円(税抜)から同意取得・管理システムを導入可能です。
>>改正個人情報保護法への対応、まずはここから!同意管理プラットフォーム「Trust 360」
4. まとめ
改正法の全面施行を控え、企業に求められる個人情報保護の水準はこれまでよりも高まっています。しかし、国内の上場企業におけるCookie利用への同意取得に関する取り組みは、欧米諸国と比較して大きく遅れをとっているのが現状です。
改正個人情報保護法の施行に向けて今後国内でも対応が進んでいく中、対応が遅い企業は「プライバシー保護意識の低い企業とはできれば取引をしたくない」と、国内外の企業から敬遠されたり消費者が離れたりしていくことも考えられます。
そうしたリスクを避けるためにも、プライバシー保護にいち早く対応することが、これからの企業運営における課題として求められているのです。
パーソナルデータの取扱いにお悩みの方に
- 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
- 誰にどこまで同意を取ったか管理するのが大変…
- ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
- 同意は管理できても他社システムを上手く連携して使えないと…
で、すべて解決!