はじめに
インターネットブラウザを通じてWebサイトを閲覧する際に利用されるCookieについて、最近、サイト運営者が国内事業者であるか、外国事業者であるかを問わず、その利用の可否を閲覧者に問いかけるWebサイトが増えていることにお気づきの方もおられると思われる。
本稿では、そのような変化の背景にある法規制(外国については欧州を取り上げる)の概要について、2022年6月に改正法(令和4年6月17日法律第70号)が成立し、公布された電気通信事業法(昭和59年12月25日法律第86号)の改正と合わせて施行される総務省令(電気通信事業法施行規則(昭和60年4月1日郵政省令第25号))案の内容を紹介しつつ解説したうえで、日本の企業がとるべき対応について述べる。
Cookieとは
“Cookie”とは、Webサイトの閲覧者が閲覧したWebサイトの運営者が、当該閲覧者のインターネットブラウザを通じ、閲覧者のデバイス(PCやスマートフォン、タブレット等)に記録させる電子データまたはそのしくみをいう。
閲覧者のインターネットブラウザにおいてCookieの利用を許諾する設定がなされていれば、Webサイトの運営者は、当該Webサイトを閲覧した閲覧者のCookieを取得することができる。このしくみにより、閲覧者が一度ログイン認証を行ったことのあるWebサイトを訪れた際、Webサイトの運営者側で過去に閲覧者がログインしたことを確認できることから、再度の認証手続を省略してログインできるなど、Webサイトの運営者と閲覧者の双方にとって便利な面があり、CookieはWebサイトの閲覧において基礎的な技術として利用されてきた。
閲覧するWebサイトの運営者が発行するCookie(ファーストパーティーCookie)には、機能上、当該Webサイトの閲覧に欠かせないタイプのもの(ネセサリーCookie)もあれば、Cookie情報によるプロファイリング等を用いた広告・マーケティング活動のために利用されるものもある。また、Cookieには、閲覧したWebサイトに表示される広告バナー等を通じて記録される、当該Webサイトの運営者でない第三者が発行するCookie(サードパーティーCookie)といったものも存在する(図表1を参照)。
図表1 Cookie発行のイメージ
日本における法規制
個人情報保護法の観点
Cookieは、“Cookie ID”と呼ばれる識別子を記録させることによりブラウザごとに固有に識別されるものの、“氏名”や“連絡先”のような当該ブラウザを利用した個人を識別できる情報を含まない“Webサイトの閲覧履歴”等の情報で構成される。このため、日本の個人情報の保護に関する法律(平成15年5月30日法律第57号。以下「個人情報保護法」という)の下においては、単独では個人情報に該当せず、他の情報と照合することで個人を特定しうる場合に限り、個人情報に該当すると解釈されている。
しかしながら、いわゆるリクナビ事件注1のような問題が発生するなど、昨今のIT技術の発展やこれを利用したプライバシー侵害の可能性が高まっていることを踏まえ、「Cookieのようにそれ自体は個人情報でなくとも利用の仕方次第で個人情報と同じようなプライバシー侵害を引き起こしうる情報についても規制を強化すべき」との要請から、令和2年改正個人情報保護法(令和2年6月12日法律第44号による改正)において、「個人関連情報」という新たな概念が導入され(個人情報保護法2条7項)、「個人情報」および「個人データ」よりは緩やかであるものの、その取扱いに際して一定の規制が課されることとなった。具体的には、個人関連情報が授受される場面において、
・ 受領者が外部から受け取った個人関連情報を他の情報と照合することで 個人データとして利用するときは、開示者側において、当該個人(本人)からそのような取扱いがなされることにつき受領者が同意を得ていることを確認する義務
・ 受領者側は、かかる本人の同意を得ておく義務
が定められた(個人情報保護法31条1項)。
電気通信事業法の観点
(1) 新たな規制の導入の契機
このような個人情報保護法の改正に対し、電気通信事業法の観点からも、「通信の利用者が安心して利用できる通信サービス・ネットワークを確保し、通信の信頼性を保持する」という要請から、通信デバイスにおいてアプリの利用やWebサイトの閲覧を行うに際し、インターネットを通じて利用者に関する情報が利用者の意思によらずに提供されてしまうことがないよう、アプリの提供事業者やWebサイト運営者等のサービス提供者が、利用者が理解できるようにその確認の機会を与えることが必要であるとの機運が生じた。
そこで、電気通信事業法の改正点の一つとして、電気通信事業を営む者注2に対し、利用者に関する情報を外部送信させる場合に確認の機会を付与する義務(以下「外部送信規制」という)が課されることとなった(改正電気通信事業法27条の12)。
(2) 外部送信規制の概要
新たな規制である外部送信規制の概要は次のとおりである。
(a) 規制対象に含まれる事業者の範囲
改正法においては、すべての電気通信事業を営む者が対象とされたわけではなく、「利用の状況からみて利用者に与える影響が少なくない者」に限定されるとされた。そして、この「利用の状況からみて利用者に与える影響が少なくない者」については、当初、電気通信事業ガバナンス検討報告書注3の記述や、その後のプラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループにおける議論注4を踏まえ、月間ページビューが1,000程度以上のWebサイトや、累計ダウンロード数(アップデートを除く)が10,000程度以上のアプリが対象となることが予想されていたものの、令和4年9月にパブリックコメントに付された総務省令案においては、次の四つの区分のいずれかのサービスで、ブラウザまたはアプリを通じて提供されるものとされた(改正電気通信事業法施行規則案22条の2の27および総務省による省令案の概要資料(以下「本件概要資料」という)注535頁)。
・ 利用者間のメッセージ媒介等
・ SNS・電子掲示板・動画共有サービス、オンラインショッピングモール等
・ オンライン検索サービス
・ 各種情報のオンライン提供
(例:ニュース配信、気象情報配信、動画配信、地図等)
(b) 新たに義務づけられる規律の内容
外部送信規制においては、「利用者に関する情報」を外部送信させる場合に「確知の機会を付与」するため、Cookieを含む利用者に関する情報の送信先等について、
① 当該利用者への通知または公表(「容易に知りうる状態に置」くこと)
② 当該利用者からの同意取得
③ オプトアウト措置
のいずれかを実施することとされている。
このうち、①については、「“通知または容易に知りうる状態”とはいかなる場合か」につき、
・ 日本語で記載する。
・ 専門用語を避ける。
・ 平易な表現を用いる。
・ 操作を行うことなく文字が適切な大きさで表示される。
・ 通知すべき事項やこれを表示するWebページのURL等の情報を即時に(ポップアップ等により)表示する。
こと等が求められることとなる(改正電気通信事業法施行規則案第22条の2の28および本件概要資料36頁)。また、通知または容易に知りうる状態に置くべき事項として、
・ 送信される利用者の情報の内容
・ 送信先となる電気通信設備を用いて当該情報を取り扱うものの氏名・名称
・ 利用目的
等が定められている(改正電気通信事業法施行規則案第22条の2の29および本件概要資料36頁)。
③の“オプトアウト措置”については、個人情報保護法における第三者提供の禁止の例外としてのオプトアウト手続のような行政当局への届出は不要とされているものの、
・ オプトアウト措置を講じていること
・ 利用者の求めを受け付ける方法
等を、利用者が容易に知りうる状態に置くことが必要である(改正電気通信事業法施行規則案第22条の2の31および本件概要資料37)。
さらに、上記①ないし③の措置を講じずともよい場合として、利用者が電気通信役務を利用する際に送信をすることが必要な情報が定められており(改正電気通信事業法施行規則案第22条の2の30)、
・ OS情報
・ 画面設定情報
・ 言語設定情報
・ 認証に必要な情報
などが挙げられている(本件概要資料37頁)。
EUにおける法規制の概要
Cookieは、一般に、GDPR注6においては、「オンライン識別子」(GDPR 4条1項)として「個人データ」に該当するとされる。したがって、域外適用を含め、GDPRが適用される場合には、Cookieの取得には、原則として明示の同意が要求される。日本における規制について述べたところと同様、GDPRは個人情報保護法制の観点からの規制であり、電気通信にかかる法制の観点からは別の規制が適用されることとなる。それが、e-privacy指令注7である(通称として「Cookie指令」と呼ばれることもある)。
なお、e-privacy指令は2002年に制定されたものであり、2009年改正および2018年5月のGDPRの全面施行を経て、なお現在も有効なものである。もっとも、EUにおける「指令(Directive)」とは、EU域内において、法人や自然人に対する直接の法規範性を有さず、EU加盟国のそれぞれにおいて当該指令に沿った立法を行う義務を課すものである。すなわち、あるEU加盟国内において法人や自然人に直接的に適用される法規範は、e-privacy指令そのものではなく、当該加盟国において制定されている国内法ということになる。したがって、域外適用を含め注8、当該国内法の適用を受ける場合には、それによる規制を遵守する必要がある。
具体的なe-privacy指令の内容については、通信デバイスへCookieを保存させ、またはこれにアクセスするためには、GDPRの同意要件に準拠した明示の同意が必要であるとされる(なお、いわゆる“ネセサリーCookie”と呼ばれる、機能上その利用が必須であるCookieについては、同意を得ずして上記取扱いが可能とされる)。同意の取得の方法については、EU加盟各国および英国において、個人情報保護委員会に相当する当局が定めるガイドラインが参照されているが、具体的には、
・ Webサイトにおいて利用されているCookieを、その機能や利用目的によって分類される種類ごとに列挙し、それぞれについて利用に同意するか否かを選択することができるようにすること
・ Cookieの利用にかかる同意を行わずこれを拒絶する場合に、同意する場合と同程度の容易さで拒絶が可能であること
などが求められている(近時、かかる義務に違反したとして巨額の課徴金が賦課された事例も報じられている)注9。
なお、e-privacy指令については、GDPRがその前身たる「データ保護指令」注10からEU域内の法人および自然人に対する直接の法規範性を有する「Regulation(規則)」へと改正されたように、近い将来、e-privacy規則に改正される予定である注11。2021年2月に策定された同規則の草案(ただし、その後の立法過程を経て、その内容が変更されることが予定されている)においては、GDPRと同様、制裁金の上限が大幅に引き上げられることとなるため(違反類型によるが、最大で全世界売上の4%または一定金額(2,000万ユーロ)の高い方)、規制内容と合わせ、今後の動向に注意が必要である。
日本の企業のとるべき対応
以上を踏まえ、日本国内の企業において必要な対応は、以下のようなものが考えられる。
各社の置かれた状況や今後の事業におけるCookieの利用のあり方を踏まえたタイムリーな準備を怠らないよう、注意が必要であるといえよう。
① 国内の法規制対応としては、(既に対応済みであることが想定されるが)個人関連情報に該当する情報を取り扱っていないかどうかを確認する。
【取扱いがある場合】個人情報保護法に基づく取得規制が遵守できているかどうかを再確認する。
② 「電気通信事業を営む者」(電気通信事業法2条4号参照)注12である企業においては、自社が外部送信規制の適用を受けるか否か、提供するサービスの内容に照らして検討を行う。
③ 上記②で外部送信規制の適用を受けるのであれば、Cookieが利用されるしくみを再度確認し、
・ 通知または公表
・ 同意取得
・ オプトアウト措置
のいずれかを適切に講じるべく準備する。
④ 欧州の法規制対応としては、自社がGDPRの域外適用を受けるか否かについて、現地法律事務所を起用するなどして確認する。
【域外適用を受ける場合】適用対象となるCookieへのアクセスにつき、明示の同意またはこれに代わる措置が講じられるよう、準備を行う。
⑤ 上記④に加え、e-privacy指令に基づくEU加盟国法の適用を受けるか否か注13について、現地法律事務所を起用するなどして検討を行う。
【適用を受ける場合】同意の不要なCookieの利用を超える範囲のCookieの利用がなされていないかどうかを検証し、必要に応じて当該法令および当局の定めるガイドライン等に沿った同意取得の措置の準備を行う。
⑥ 上記①ないし⑤の現行法(電気通信事業法については公布されている改正法を含む)への対応に加え、国内法に関しては、2023年6月の改正電気通信事業法の施行まで、総務省令等の下位規範の制定状況を注視し、現在の総務省令案から変更があった場合に備えるほか、欧州の法規制に関しては、e-privacy指令の規則化の動きの把握に努める。
→この連載を「まとめて読む」
※本記事は2023年6月15日に一部内容を訂正いたしました。- 個人情報保護委員会「個人情報の保護に関する法令に基づく行政上の対応について」(令和元年12月4日)参照。[↩]
- 登録または届出が必要な電気通信事業者および電気通信事業法164条1項3号に基づきこれらを不要とする者を合わせた者をいう。なお、令和4年の電気通信事業法の改正により、この区分についても、大規模な検索サービス事業者およびSNS事業者を電気通信事業者に加える旨の変更がなされた。これに伴い、電気通信事業者の一部に対し、外部送信規制以外に「利用者情報の適正な取扱い」にかかる規制が新たに導入されることとなるが、本稿ではこれについては取り扱わない。[↩]
- 電気通信事業ガバナンス検討会「電気通信事業ガバナンス検討会報告書」(令和4年2月)54頁・脚注79。[↩]
- プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ事務局「利用者に関する情報の外部送信の際の措置について」(令和4年6月17日・第15回プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ配布資料2)5頁。[↩]
- 総務省総合通信基盤局電気通信事業部「電気通信事業法施行規則等の一部改正について」(令和4年9月26日)。[↩]
- 正式名称は、「General Data Protection Regulation」である。[↩]
- 正式名称は、「Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector」である。[↩]
- e-privacy指令には、GDPR 3条のような地理的適用範囲に関する条項がなく、域外適用がなされるか否かや、その要件については明文の根拠が法令にないため、「適用はなされない」との見解もあるようであるが、域外適用を肯定する見解もあり、注意を有する。[↩]
- Cookieの利用を拒絶する手順と同意する手順とを比較して、前者の場合に必要なクリック数が後者の場合に比べて1回多いという理由で、フランスの個人情報保護法制を所管する情報処理・自由全国委員会(CNIL)が、グーグル社及びメタ社に対し、それぞれ1億5,000万ユーロ、6,000万ユーロ(1ユーロ130円換算で合計約275億円)の制裁金を課したとの報道がなされている(日本経済新聞Webサイト「仏、Googleとメタに制裁275億円 「クッキー」巡り」(2022年1月6日))。[↩]
- 正式名称は、「Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data」である。[↩]
- e-privacy規則が制定されるのは、早くとも2023年度中と報じられており、その施行までには2年間の猶予期間が定められる予定である。[↩]
- 電気通信事業法に定められた同法の適用を受ける事業者の区分については、総務省作成に係る「電気通信事業参入マニュアル(追補版)」(平成17年8月18日策定、令和5年1月30日改定)が参考になる。[↩]
- e-privacy規則においては、GDPRと同様に明確な域外適用にかかる条項が設けられる予定であるが、現行のe-privacy指令には明確な域外適用にかかる条項がなく、各国国内法と併せて広く解釈すれば域外適用の余地が想定されうる。[↩]
岡本 直己
弁護士法人御堂筋法律事務所 パートナー弁護士
2000年東京大学法学部卒業。2005年弁護士登録、弁護士法人御堂筋法律事務所入所。2012年ワシントン大学ロースクール(LL.M. アジア法)卒業、ケルビン・チア・パートナーシップ法律事務所(シンガポール共和国)。2013年弁護士法人御堂筋法律事務所復帰。2014年から2015年まで事業会社へ出向。2017年弁護士法人御堂筋法律事務所パートナー(現任)。東京弁護士会所属。外国法コンプライアンス、国際取引、国際紛争等の渉外法務分野に加え、M&A、データ・プライバシー、IT分野を得意とする。
御堂筋法律事務所プロフィールページはこちらから