日本オラクル特集記事

いよいよ明日施行!欧州GDPR:「Cookie」のBefore/Afterで考える5つのポイント

2018年5月25日、ついにEU域内における個人情報保護の強化を目的とする「EU一般データ保護規則(GDPR:General Data Protection Regulation)」が施行される。GDPRって聞くけれど、そもそも何なのか、EUというと日本の企業には関係ないのでは、と思っている方も多いのではないだろうか。実は、このGDPRにより、日本にいる私たちにもインターネット上における個人情報の扱いで変化や注意すべき点が出てくることがある。では具体的に、どのような変化が起きうるだろうか。ここでは特にCookieに着目し、GDPRの内容やEUにおける個人情報保護の最新トレンドなど、5つのポイントについて、弁護士の牧野剛氏(牧野総合法律事務所弁護士法人所属)に日本オラクルの三島知子がお話を伺った。


(撮影:牧野総合法律事務所)

1.Cookieは「個人情報」か

牧野剛氏:弁護士(牧野総合法律事務所所属)。専門は個人情報・知的財産に関する企業法務など。(撮影:日本オラクル)

三島 最近になり、WebサイトにアクセスするとCookieの利用についてポップアップで警告があらわれたり、同意が求められるケースが増えたと感じています。日本ではそれほど目立ちませんが、欧州のWebサイトでは顕著です。あるメーカーでは、日本語での表示ではポップアップは現れないのに、言語をフランス語に変えるとCookieの利用に対して同意が求められます。このような違いは、それぞれの国におけるCookieの法的な捉え方の違いによって生じていると思うのですが、実際に日本と欧州ではどのように違うのでしょうか。

牧野 まず日本においてですが、Cookieが個人情報であるかどうかは極めて微妙です。昨年5月に施行された平成27年改正個人情報保護法では「個人情報」を「個人に関する情報であること」、「生存する個人に関する情報であること」、「特定の個人を識別することができること」または「個人識別符号が含まれていること」を満たすものとしています。さらに個人情報保護法では、「ほかの情報と容易に照合すること」によって個人識別性がある情報も「個人情報」にあたると規定しています。これは、通常の業務における一般的な方法で照合することを指しています。

 こうした観点でCookieを見た場合、氏名や住所などの個人を特定する情報がWebサイト側へ伝わらないケースでは、Cookieは個人情報にあたらないと一般的には考えられます。ただし技術的にはほかの情報と照合することで個人を特定できる可能性はあり、それを容易に行うことができれば個人情報と考えるべきでしょう。

2.Cookieは「個人データ(Personal Data)」か

三島知子:日本オラクル 法務室所属 プライバシー カウンセル。情報プライバシー専門家資格であるCertified Information Privacy Professional(CIPP)の欧州版の資格を持つ。(撮影:日本オラクル)

三島 それではEUではどのようにCookieを捉えているのでしょうか。

牧野 EUでは個人情報を「個人データ(Personal Data)」として規定しています。具体的には、規定された、または特定可能な自然人(データ主体)に関するすべての情報としています。特定可能な自然人とは、名前や識別番号、位置情報、オンラインIDまたは当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的もしくは社会的特定に固有の1つ以上の要素を参照することにより、直接的または間接的に特定できるものをいうと規定されています。

 日本の個人情報保護法と異なる点として「オンライン識別子」が明示されていることが挙げられます。このオンライン識別子に、CookieやIPアドレスが含まれると言われています。もっとも、Cookieを規制するのは今回施行されるGDPRの特別法であるePrivacy規則ということになり、すでに法案も提出されています。



3.欧州のパブリッシャーが恐れるePrivacy規則

三島 ePrivacy規則案もここのところ動きがありますね。

牧野 EUのパブリッシャーが恐れているのは、GDPRよりもむしろ「Cookie法」とも呼ばれるePrivacy規則です。ePrivacy規則はGDPRよりもCookieを直接規制するという点から厳しい規制となっています。たとえば、法案における議論の1つに、WebブラウザでCookieの利用を認めないように設定されていれば、たとえCookieの利用にユーザーが同意してもCookieの利用は許されず、広告主は1つ1つのCookieに対してユーザーから同意を得る必要があるのかどうか、などです。このようにCookieを規制することで、インターネットの利用自体が委縮するのではないかという懸念がもたれています。他方で、「非プライバシー侵入型」と呼ばれる、ログイン情報やショッピングカードの履歴保存のために使うCookieは逐一同意を必要としないとしています。ただし今後法案は修正される可能性があり、その具体的な内容について慎重に見ていく必要があるでしょう。

 このePrivacy規則について欧州の弁護士とも話しましたが、さまざまな議論があって「極めて複雑な問題である」と述べていました。どのような形でePrivacy規則が採択されるのか注視する必要があります。

4.GDPRが日本のWebサイトにもたらす影響

(撮影:日本オラクル)

三島 GDPRが施行されたことで、日本の企業でもCookieの利用に同意を求めるWebサイトは増えていますが、そこにはどのような理由があると考えられるでしょうか。

牧野 1つの理由としては、GDPRは日本の企業にも影響があることが挙げられます。EUに拠点があればGDPRが適用されるため、ユーザーから同意を取得する必要が生じます。また、日本にしか拠点がない場合でも、EU向けのWebサイトでEU所在のユーザーが訪問し、サービスを提供することがあるなどの場合は、Cookie利用の同意を取得しなければなりません。

 もう1つ理由として考えられるのは、Cookieを国内法の「個人情報」と考えて同意を取得しているケースです。ただ厳密に言うと、個人情報保護法上同意を得る際には、利用目的を明示しなければなりません。たとえばポップアップウィンドウでCookieを利用するというメッセージを表示し、「はい」と「いいえ」のいずれかをクリックさせるといった内容では微妙な面があるのかなと感じます。

三島 EUに拠点がなくても、EU域内の人が国内の自社のCookieを利用するWebサイトにアクセスするのであれば、同意を取得する必要があるということですね。

牧野 そういうことになります。ちなみにGDPRの適用範囲に関し、我が国では、GDPR第3条に記載されている「who are in the Union」がEUに所在する人なのか、それともEUに在住している人なのかが議論になっています。ただフランス語版を見ると所在を意味する言葉しかなく、在住とはなっていません。EUに所在する人が適用対象である点は英国企業の担当者にも確認しました。従って、地理的範囲が問題になる場合は、情報取得時にEUに所在しているかどうかがポイントになります。

5.Cookieの利用同意―欧州とアメリカの考え方の違い

(撮影:日本オラクル)

三島 ユーザーの立場として考えると、プライバシーポリシーが明示されていない、よく知らないWebサイトであればCookieの利用を許可したくないと思います。それでWebサイトの閲覧ができないといった状況になれば、インターネットの利用に制約が生じることになりそうです。

牧野 GDPRについて言うと、同意しなかったときにWebサイトが閲覧できないのはユーザーに不利益を課すことになるのではないかという議論があります。同意しなければWebサイトを閲覧できないというのは、ユーザーに同意を強制するに等しく、GDPRの、同意は任意に(freely)与えられなければならないという要件に反する、という意見もあります。

 こうしたこともあり、ePrivacy規則案では、Cookieによるトラッキングに同意しない限りWebサイトへのアクセスをブロックすること、いわゆる「トラッキングウォール」を禁止しています。ただ日本やアメリカには、こうした明示的な規則は特にありません。

三島 お話を伺っていると、欧州ではCookieの利用に対する姿勢が厳しいように思います。その背景には、どういった考え方があるのでしょうか。

牧野 欧州でのプライバシー権は「個人の尊厳」と強く結びついています。個人情報による差別の歴史をふまえ、データ保護は人権に基づくものとして強固に保障されていることが背景にあると思われます。特にCookieや行動ターゲティング広告は自己情報コントロール権と関連していて、オプトインの思考とも調和します。現行のePrivacy指令においても、個人データについてのオンラインでの機密性は基本的権利であると明言されています。そうしたことから、欧州でのCookie利用は厳しく規制されていると言えるでしょう。

 一方、アメリカのプライバシーの考え方は欧州とは大きく異なり、個人情報を含めた情報の自由な流通を通じた個人の自由を重視しているように思います。実際、マーケティング目的での処方箋履歴の売買や利用を禁止する州法が、表現の自由を保障するアメリカ合衆国憲法の修正第1条に違反するという判断が下されたことがありました。欧州では考えられませんが、アメリカでは個人情報はデータ取引の道具として重要と考えられているのです。従って、米国でのプライバシーの意識は、私企業に対するものというよりも、政府に対抗するもの、言い換えれば不当な公権力の行使を抑止するものと考えられているようです。

三島 国によって個人情報に対する考え方は大きく違いますね。オラクルでのプライバシーの取り組みは、欧州をはじめとするもっとも厳しい法令に合わせたグローバルの水準で取り組みを進めています。また利用場面に応じたプライバシーポリシーを策定して公表しているほか、お客さまのセグメント情報を開示しお客さまご自身で修正できるようにしています。これは透明性、そして選択権を確保するための取り組みです。今後もこの方針を堅持し、プライバシー保護に取り組んでいきます。