【個人情報保護】オンライン識別子(cookie) ~2020年改正法~


2017年5月に現行の個人情報保護法が施行され,その附則第12条で,施行後3年を目途に改正について検討するとされていました。
それに従った見直しで,2020年6月5日,改正個人情報保護法が成立しました。
改正法の施行日は,公布日から2年以内の日とされています。
改正の内容は多岐にわたりますが,今回は,就活サイトで問題となったクッキーの提供に関する改正部分について紹介します。

オンライン識別子(cookie)

前に閲覧したことのあるウェブサイトにアクセスしたら,以前の入力や設定がそのままになっていることがありますね。

アクセスしたサイトの方からPCやスマートフォンなんかにcookie(識別子)を送信してるんでしょ。
ブラウザは送信されたcookieを一定期間保存してるから,サイトの方でcookieを照合して端末を識別できるんだよね。

よくご存じですね。

ネットショッピングとかしてたら「cookieを有効にしてください」とか出ることがあるからちょっと調べたことがあるんだ。

でも,cookieで識別できるのは端末(ブラウザ)までで,ブラウザを使っている人を識別することはできないよね。

そのため,個人情報保護法の「個人情報」に該当せず,cookieに法の規制は及びませんでした。

「この法律において『個人情報』とは,生存する個人に関する情報であって,・・・特定の個人を識別することができるもの・・・をいう。」だからだね。

「内定辞退率」提供事件

ある就活サイトが,採用側の企業に「内定辞退率」を提供していたという事件がありました。

もちろん知ってるよ。
就活生の閲覧履歴なんかから「内定辞退率」を計算して,cookieと一緒に採用側に渡してたって事件でしょ。
cookieは個人を特定しないから,個人情報保護法の規制外ではあるんだよね。

そうですが,就活生はエントリーシートを登録するために採用側の企業サイトに必ずアクセスします。
だから採用側の企業では提供されたcookieを使って個人を特定できることになります。

データの提供先で個人データに該当することが想定されても,提供元で個人データに該当しなければ個人情報保護法の規制がかからないっていうのに問題がありそうね。

「個人関連情報」の導入

そのため,2020年改正法では,生存する個人に関する情報であるけれども個人を特定できず個人情報に該当しないものを,「個人関連情報」と命名しました。

たとえば,cookieとかIPアドレスなんかが個人関連情報になりそうだね。

この個人関連情報を含んだ情報をデータベース化している事業者が,個人関連情報を第三者に提供しようとする場合,提供先が個人データとして取得することが想定されるのであれば,あらかじめ情報主体から提供先が同意を得ていることを確認しなければ,個人関連情報を提供できない,ということになりました(改正法第26条の2)。

「内定辞退率」と一緒にcookieを提供するっていうことは,当然,それが誰の内定辞退率なのか,提供先で個人を識別することを前提にしているよね。
こういう場合は,採用側の企業で,あらかじめ就活生から「あなたの内定辞退率を取得します」ということについて同意を得ておく必要がある,ということになるんだね。

そうなりますね。
きびしい規制がされていると言われるEUのGDPR(一般データ保護規則)では,そもそもcookie自体が個人データとして取扱われています。

そうなると,だまってcookieを利用して閲覧履歴をデータベース化すると問題になるかもしれないね。

日本の個人情報保護法も,将来はそういう方向に進むかもしれません。

今回の改正法については施行日までにガイドラインなんかも整備されるそうだから,要チェックだね!

コメント