なぜCookie同意取得が注目されるのか?同意取得の現状と注意ポイントを解説

個人情報保護法法律 2021.04.02
なぜCookie同意取得が注目されるのか?同意取得の現状と注意ポイントを解説

昨今、よく耳にする「Cookie同意取得」という言葉。国内外のプライバシー保護に関する法律を遵守するために重要であり、曖昧な認識のまま放置すべきではないものです。

この記事では、Cookie同意取得の背景と現状、理解しておくべきポイントを紹介します。

改めてCookieとは何か?同意取得の重要性とは?をしっかり把握しておきましょう。

1.「Cookie同意取得」が注目される背景

まず、なぜこれほどまでにCookie同意取得に注目が集まっているのか、その背景から見ていきましょう。

1.1.海外ではすでにCookieも個人データと見なされる

直接の背景には、2018年5月に施行されたEUの個人情報保護ルール「GDPR(EU一般データ保護規則)」が挙げられます。全世界のプライバシー保護に関する法規制の基準となったこのGDPRでは、Cookieを保護対象となる個人データとして定めており、規制に向けた世界的な流れを生み出しました。

その後、2020年1月施行のCCPA(カリフォルニア州消費者プライバシー法)などGDPRに続いて誕生した法規制でもその取り扱いが触れられており、海外ではもはやCookieは重大な個人情報の一つとして認められつつあります。

さらに、同じく2020年1月にGoogleが3rd Party Cookie(広告配信等で活用される、サイト間を跨るトラッキングが可能なCookie)のサポートを2022年を目途に廃止すると公表したことで、ますます注目を浴びるようになりました。

1.2.日本でも改正個人情報保護法が成立

日本でも、GDPRの施行後から急速に個人情報保護へ向けた法改正の必要性が叫ばれるようになり、いよいよ2020年6月に改正個人情報保護法が成立・公布されました。海外の情勢を受け注目されていたCookieは個人関連情報という新たなデータ定義に含まれ、第三者提供に際して以下の制限が課せられています。

  • 個人関連情報取扱事業者が、提供先が個人関連情報を個人データとして取得することが想定されるときは、あらかじめ当該個人関連情報に係る本人の同意等が得られていることを確認しないで、当該個人関連情報を提供してはならないこととするもの。

個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)」より引用)

海外のように単体で個人データ扱いにはならなかったものの、これまでグレーゾーンであったCookieの取り扱いに明確なルールが定められた形です。

今後は多くのケースで、Cookie取得時の明示の同意(本人に対して利用目的など必要な情報提供をおこない、本人がそれをよく理解したうえで同意を得ること)が重要になると予想されています。

1.3.主要メディアで報道

国内外のこのような背景により、Cookieとその同意取得にはかつてないほどの注目が集まっています。また、日経やJCASTニュースなど主要メディアが相次いで報道をおこなったことで、企業のみならずユーザーからの関心も高まりました。対策をおこなわなければ、ユーザーから個人情報を大切にしない企業と誤解されてしまう可能性もあり、企業にはバナーの導入など速やかな対応が求められています。

>日本経済新聞「クッキー利用同意表示、日本企業の5%

>JCASTニュース「公取委「クッキー規制検討」報道を読む あなたにも他人事じゃない「大問題」の背景

2.国内外問わず、対策企業は増加傾向に

続いて、同意取得に関する対策状況を見ていきましょう。

2020年7~9月、Priv Tech は本社サイトを訪れた際にCookie同意取得バナーが表示されるかどうかを調査し、国内外の企業がどれだけ対策に取り組んでいるのかを明らかにしました。

調査の詳細は以下よりご確認いただけますが、国内外問わず対策企業は増加傾向にあることが判明しています。

「Cookie利用同意取得」日本企業はわずか5%、企業が急ぐべき対策と改正個人情報保護法

対策が進んでいる背景には、流通するデータ量の増大が挙げられます。2020年に総務省が公表した資料によれば、国内のデータ流通量(総ダウンロードトラフィック)は2019年11月の段階で12,650Gbps。5年前の2014年11月に3,560Gbpsであったこと考慮すると、爆発的な増加量です。データの重要性は日増しに高まるばかりであり、Cookie規制によるダメージを少しでも和らげるために、各企業が同意取得を進めていることが伺えます。

2.1. 海外での導入状況

今回の調査では、欧州企業は81.6%、米企業は26.7%が導入済みの結果となりました。(調査対象は、欧州企業はFTSEの上位350社、米企業はFortune500の500社)。GDPRの本場である欧州では、やはり多くの企業が対策を取っています。

2.2. 日本での導入状況

海外からは遅れているものの、日本でも導入は進んでいます。今回の調査では導入済みの企業は4.75%と低水準でしたが、詳細分析により売上高が高い、あるいは国外取引の多い企業はすでに対策済みの傾向にあると判明しています。導入企業は改正法の全面施行までにますます増えると予想され、時代に取り残されないためには率先した対策が不可欠です。

>日本経済新聞「クッキー利用同意表示、日本企業の5%

3.最大のポイントは「ユーザー感情への配慮」

企業として実際にCookie同意取得へ取り組むなか、もっとも大切なのは「ユーザー感情への配慮」です。

3.1.ユーザー間で高まる、データ活用への不安

多くのユーザーは自身の個人情報の取り扱いに不安を覚えています。2017年の総務省の調査結果によれば、パーソナルデータを提供することに不安をいただいていると回答した方は以下の割合でした。

  • 強く不安を感じている人は24.7%
  • やや不安を感じている人は59.4%

合計すると84.1%であり、8割以上もの方が不安に思っているのです。企業には、ユーザーの感情に配慮する形で個人情報の取り扱い方を説明し、同意を得ることが求められています。

3.2.同意取得は「情報を不正に利用しない」という表明に

また、同意の取得は単に法律で定められた行為であるだけでなく、情報を不正利用しないとユーザーに表明する意味合いを持ちます。ユーザーに安心してもらうための、いうなれば約束です。

4.改正法施行前に準備を始めたほうがいい理由

改正法の全面施行は2022年春頃に予定されており、まだ一年以上の猶予が残されています。しかし、対策は今すぐにでも始めるべきです。

今回の改正は、法務など一部の部門だけが知っておけばよい類の内容ではありません。企業として対策を進めるためには、社内全体での取り組みが必要です。「どのデータにどの取り扱いをしてよいのか、あるいはしてはならないのか」と一人ひとりが理解しておかなければ、重大な漏えい事故につながる可能性も否定できません。

また、対策にあたって部門間の連携が必要なケースも多く想定されるため、相応に時間をかけて、社内の個人情報保護意識の熟成や体制づくりを進めていかなければいけません。

同意取得バナーについても、表示する内容や位置、デザインなどの検討には時間がかかります。どのようなバナーであれば同意取得率がよいのか、実際の提示を繰り返してブラッシュアップしていくことが必要です。

さらに、改正前にCookie同意ユーザーを少しでも多く集めておけると、改正後に取得できるデータ数の担保にもつながります。

5.まとめ

国内外を問わずCookieに関する注目は高まり続けており、企業としては同意取得への取り組みが非常に重要です。取り組みの遅れはブランドイメージを傷つけるだけではなく、レピュテーションリスクに直結する可能性も高いため、後回しにはできない問題です。

ここで紹介した内容を参考にしながら、可能な限り迅速な対策を心がけましょう。