個人情報保護法の来年の改正に向けて、制度改正大綱づくりが最終局面を迎えている。ポイントの1つがいわゆるクッキー規制だ。リクナビを巡る不正が社会問題化するなか、なぜデジタルマーケティング分野が“狙い撃ち”にされたのか。本人同意はどこまで必要なのか。現時点での課題を追った。

 「リクナビ問題より前、今年春ごろにいくつかあったんですよ、似たような問題が。クッキー情報を第三者提供するにあたって、『(御社の)ウェブ会員組織とひも付ければより付加価値の高いデータとして活用できます』といったことをうたい文句に売る事業者がいて、またそれを買う大手企業もいるとの情報が入っていた」

 政府の個人情報保護委員会の幹部はこう明かす。

個人情報保護法は来年、3年ぶりに改正される(写真/Shutterstock)
個人情報保護法は来年、3年ぶりに改正される(写真/Shutterstock)
[画像のクリックで拡大表示]

取材拒否する会社が出るほど業界は揺れている

 クッキーは、ウェブサイトの閲覧情報をブラウザに一時的に保存する機能である。クッキー自体は個人名や住所などを含まず、現行法では保護されるべき「個人情報」には該当しない。第三者へ提供する際も、基本的に個人情報としては扱われない。だが今後は、クッキーの第三者に当たっては本人同意が必要になることがあるとのメディア報道が11月末に相次いだ。外部のクッキー情報を使って広告配信をするパブリックDMP(データ・マネジメント・プラットフォーム)事業者で取材拒否をする会社が出るほど、クッキー問題に業界は揺れている。

 法改正に向けた途上ではあるが、現時点での情報を整理したい。

 個人情報保護法は3年ごとに見直すルールになっており、2020年が改正年にあたる。それに向けた「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱(骨子)」が11月29日に公表された。12月15日ごろをメドに大綱としてまとまり、パブリックコメントを経て法案が取りまとめられ、来年2020年2月ごろに通常国会へ上程される見通しだ。

本人同意が必要なのは2つのケース

 その大綱(骨子)にこうある。

 「個人に関する情報の活用手法が多様化する中にあって、(中略)、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する」

個人情報保護委員会がまとめた制度改正大綱(骨子)の抜粋
個人情報保護委員会がまとめた制度改正大綱(骨子)の抜粋
[画像のクリックで拡大表示]

 クッキーIDを集めると、確かに、ある人が日ごろどんなサイトをよく見て、何をどれくらいの頻度で買うのかといった情報に基づく人物像が浮かび上がる。そこからどうやれば個人とひも付けることができるのだろう──。

 保護委がまとめたのが下図だ。

11月25日開催の個人情報保護委員会で配布された資料「個人情報保護を巡る国内外の動向」から抜粋
11月25日開催の個人情報保護委員会で配布された資料「個人情報保護を巡る国内外の動向」から抜粋
[画像のクリックで拡大表示]

 例えばパブリックDMPなどクッキー提供元であるA社の手元にある段階でそれは単なるクッキーでしかない。そのクッキーに関する情報が、消費財メーカーなどのクッキー提供先のB社へ渡った後、そのB社が例えばウェブ会員組織を持っていれば、クッキーIDと名前は容易にひも付けることができる。結果、当該個人のB社以外のサイトでの振る舞いが分かってしまうというわけだ。

 もっとも今回の改正大綱で、クッキーを第三者提供するすべての場合において本人同意を必要とするわけではない。これからパブリックコメントなどを求める段階なので、確定的なことは示しづらいが、恐らく本人同意が必要なケースは大きく2つだ。

 1つがクッキーの提供側が提供先へ「御社の会員名簿と突合すれば効果倍増ですよ」といったうたい文句で販売する場合。もう1つが逆に提供先が提供元へ「ウチの各会員個人のインサイトをもっと知るために、御社のクッキーを使いたい」と要求する場合だ。これらのときには、例えば会員本人に対し使い方を明示した上で同意を得ることが必要になる。

 本人同意をとるのが面倒、あるいはその本人が承諾しそうにないと考えるなら、クッキーは使うべきではないだろう。リクナビ問題で、自分の内定辞退率の判定材料に使われることを承知で、クッキー情報の第三者提供に応じる就活生はいない。

パブリックDMP最大手の社長はどう答えるのか

 クッキー規制の影響を最も受ける1社、パブリックDMP専業の国内最大手であるインティメート・マージャーの簗島亮次社長は、今回の個人情報保護法改正の動向をどうみているのか。聞いてみた。

 「ウチにも相談が来ますよ。『御社(インティメート・マージャー)のデータを活用して、弊社の顧客インサイトをより理解した上でメルマガを送りたいのですが』といった内容で。クッキーとメールアドレスをひも付ける段階で、当社では『お受けできません』とお返しします」

 「ただ一部、顧客企業で自社の会員名簿とひも付ける形でクッキーを活用される会社もあります。この場合、その顧客企業が実際に本人同意を得ているかどうかまで確認させてもらう契約になっています」

 「そうでないと、牛のレバ刺し問題と同じことになるんですよ。飲食店では『生で食べないでください』と来店客に提示すればそれでお店は責任を果たしたことになると聞きます。これと同じく、『クッキーを御社の個人情報とひも付けないでください』と言えば場合によってはそれで済むのかもしれないが、当社の場合はさらに一歩踏み込んで、ひも付ける場合は顧客企業が本人同意を取ることまでを契約に含めているわけです」

 もっとも来年の改正案では、クッキーの利用企業が「当社ではひも付け行為はしません」という同意文などは必要ない。少なくとも現時点では。