IT法務・AI・Fintechの法律に詳しい弁護士|中野秀俊のホームページです。 IT法務や仮想通貨(ICO)、AIなどのITビジネスを専門に扱う法律事務所です。
グローウィル国際法律事務所
10:00~18:00(月~金)

インターネット広告でのCookie(クッキー)の使用は、個人情報保護法に抵触するか【解説】

IT企業のための法律

インターネット広告で、Cookie(クッキー)を使用している場合

広告配信会社が、ターゲティング広告に利用するために、Cookieを用いてユーザーのオーディエンスデータ(ポータルサイトの訪問履歴や検索履歴、アドネットワークにおける広告閲覧履歴、位置情報等)を収集している場合に、どのような法律が関係してくるのでしょうか?

個人情報保護法の個人情報に当たるのか?

広告配信会社は、ユーザーのオーディエンスデータを収集するためにCookieを用いている場合ですが、Cookieには、その会社自身が使用しているCookie(クッキー)である1stPartyCookieと他社のアドネットワークを通じて、Cookie(クッキー)を使用する3rdPartyCookieがあります。

広告配信会社がポータルサイトやアドネットワークから収集するオーディエンスデータが個人情報保護法上の陶人情報に該当する場合、広告配信会社は、個人情報保護法を守る必要があります。

広告配信会社は、当該オーディエンスデータを「偽りその他不正の手段」により取得してはならず、また利用目的の特定および通知・公表等の個人情報保護法上の義務を遵守する必要があります。

広告配信会社としては「偽りその他不正の手段」による取得ではないかとの疑義を生じさせないように、ポータルサイトや、アドネットワークに参加するウェブサイトにおいて、個人情報の取得に関する公表が適切になされるように配慮すべきです。

個人情報保護法上では、氏名、生年月日その他の特定の個人を識別することができる記述等を含む情報はそれ単体で個人情報に該当すると定めています。

そのため、オーディエンスデータによりブラウザやデバイスを識別できるにとどまる場合は、特定の個人を識別することができないため、当該オーディエンスデータはそれ単体では個人情報に該当しないと考えられています

CoolkieIDからはブラウザを識別できるのみでありユーザー個人を識別できるものではないため、CookieIDは単体では原則として個人情報に該当しないと考えられます。

ただし、個人情報保護法はさらに、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」も個人情報に含まれると規定しているため、広告配信会社が、ユーザーの氏名、住所等とオーディエンスデータを紐付けて管理しているような場合は、当該オーディエンスデータは個人情報に該当することになります

広告配信会社が、GoogleやYahoo!Japanといったポータルサイトと同様にユーザーによるログイン機能を提供しており、ユーザーの氏名等のアカウント情報と上記オーディエンスデータを紐付けて管理しているような場合には、当該オーディエンスデータは個人情報に該当することとなります。

最初は、個人情報に該当しなくても、後から個人情報に該当する場合も

また、当初は個人情報に該当しなかったオーディエンスデータであっても、大量に蓄積されることによって個人情報に該当することになる場合もあります。

正確な位置情報が継続的に収集・蓄積される場合は、これにより自宅や職場の場所等を知ることができ、特定の個人の識別につながるので、個人情報に該当することがありえます。

海外におけるCookie(クッキー)情報の取り扱い

Cookie(クッキー)情報について、3rdPartyCookieは、ユーザーが訪問しているウェブサイトとは別のドメインから発行されるため、ユーザーにとっては、予期しない第三者によってオーディエンスデータが取得されることとなる場合が多いです。

また、3rdPartyCookieの発行者はアドネットワーク事業者等である場合が多く、複数のウェブサイトにおいて3rdPartyCookieを発行することで、ウェブサイトの垣根を越えてユーザーをトラッキングすることが行われています。

このように、Cookie(特に3rdPartyCookie)は、個人のオンラインの行動履歴を包括的・連続的に把握することが可能なものであり、個人の属性・趣味嗜好・活動動向等を分析することができるものであるため、たとえ本人の氏名等を直接知ることができないとしてもプライバシーに与える影響は無視できません。

このような問題意識をふまえ、EUにおける個人情報保護ルールであるGDPRでは、個人の氏名等を知ることができない場合であってもCookieIDをPersonalDataに該当するものとして扱っており、また、EUのePrivacy指令は、ターゲティング広告を目的としたCookieによるデータ取得等についてユーザーの同意を得ることを要求しています。