1. はじめに

近時、Cookieの利用を受け入れるか否か（あるいはCookieの利用を承諾すること）について利用者の確認を求めるウェブサイトが多く見られる。また、プライバシーポリシーに加えてCookieポリシーを策定・公表しているウェブサイトも散見される。

本稿では、来年（2022年）4月に施行が迫った令和2年改正個人情報保護法（以下「令和2年改正法」という。）との関係で、Cookieについていかなる対応が必要となるかを解説する。

なお、GDPRや本年8月に成立した中国の個人情報保護法の適用がある場合は、本稿の対象外である。

2. Cookie情報は個人情報か個人関連情報か

令和2年改正法では、新たに「個人関連情報」という概念が登場した。

「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう（令和2年改正法26条の2第1項かっこ書き）。

Cookieを利用して取得される端末識別情報やブラウザの識別情報、あるいはウェブサイトの閲覧履歴やECサイトでの購買履歴やサービス利用履歴といった情報（以下「Cookie情報」という。）は、生存する個人に関する情報ではあるものの、それのみでは特定の個人を識別することができないことが多い。そのため、Cookie情報は、一般に個人関連情報に該当することが多いと考えられる。

もっとも、Cookie情報単体では特定の個人を識別することができない場合であっても、「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」（個人情報保護法2条1項1号。つまり、容易照合性がある）のであれば個人情報に該当するため、注意が必要である。

なお、個人情報保護委員会は、「他の情報と容易に照合することができ」ないといえる場合の例として、「事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合において、双方の取扱部門やこれらを統括すべき立場の者等が、規程上・運用上、双方のデータベースを取り扱うことが厳格に禁止されていて、特別の費用や手間をかけることなく、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができない状態である場合」という例を挙げており、「双方の取扱部門の間で、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができる状態である場合」には容易照合性が認められるとしているから（「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A（令和3年9月10日更新）」^[1]（以下、「ガイドラインQ&A」という。）のQ&A1-18）、Cookie情報が個人情報に該当しないといえるかについては慎重な検討が求められる。

Cookie情報が個人情報に該当する場合は、他の個人情報と同様に、プライバシーポリシーに従った取扱いが求められることとなるが、このような場合に、既に策定・公表しているプライバシーポリシーとは別にCookieポリシーを策定する必要性は必ずしも高くないと考えられる。

3. Cookie情報を利用する場合の留意点

Cookieを利用して取得されるウェブサイトの閲覧履歴や購買履歴、利用履歴等の情報は、分析目的で利用されることが多いと考えられる。

個人情報の利用目的の特定のあり方に関しては、令和3年8月に一部改正された「個人情報の保護に関する法律についてのガイドライン（通則編）」^[2]（以下、「ガイドライン」という。）において、「本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できないような場合は、この趣旨に沿ってできる限り利用目的を特定したことにはならない」とされており、本人から得た情報から、本人に関する行動・関心等の情報を分析する場合は、「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」といったように、利用する情報の項目と利用態様を具体的に記述することが求められている（ガイドラインの3-1-1）。

そのため、Cookie情報が個人情報に該当する場合は、令和2年改正法に対応したプライバシーポリシーの改訂を行う際に注意が必要である。また、Cookie情報が個人情報に該当しない場合であっても、プライバシーポリシーやプライバシーステートメントといった、個人情報保護を推進する上での考え方や方針を策定・公表するなどして、対外的に分かりやすく説明することは重要であるとされているから（ガイドラインの3-9）、Cookieを利用していることをプライバシーポリシーに明記することも検討に値しよう。

4. Cookie情報を外部に提供する場合の留意点

Cookie情報が個人関連情報に該当する場合、提供先の第三者が提供を受けた個人関連情報を「個人データとして取得することが想定される」場合（典型的には、提供先の第三者が提供を受けた個人関連情報を自らが保有している個人データと突合して個人データとして利用しようとする場合等）には、原則としてあらかじめ本人の同意を取得する必要がある（令和2年改正法26条の2第1項）^[3]。

この場合、本人の同意は、原則として提供先が取得し、提供元は提供先による同意取得を確認することが想定されているものの（令和2年改正法26条の2第1項1号）、本人の同意取得を提供元が提供先に代わって行うことでも良いとされており（ガイドラインの3-7-3-2）、実際に同意取得の代行を求められる場合もあり得ると思われる。

提供元が同意取得を代行する場合、提供する個人関連情報を特定した上で、提供先となる第三者を個別に明示する必要があるとされているから（ガイドラインの3-7-3-2）^[4]、これらの事項を提供元ウェブサイトにおいて表示したうえで本人から同意を取得しておくことも考えられる。

以上に対して、Cookie情報が個人情報（個人データ）に該当する場合は、基本的にはこれまでの取扱いを変更する必要はないと考えられる。

なお、個人データの取扱いを委託することに伴って個人データを提供する場合において、提供された個人データが提供先にとっては個人データに該当せず、個人関連情報に当たる場合、委託先が委託元に対して委託作業の成果（例えば、データ分析結果）を返す際にも令和2年改正法26条の2第1項が適用されるのかが問題となり得るとも思われるが、この点については、「委託先が委託された業務の範囲内で委託元に当該データを返す」場合には、令和2年改正法26条の2第1項の適用はない（「委託先が、委託先で独自に取得した個人関連情報を当該データに付加し、その付加後の当該データを委託元に返す」場合には適用がある）とされている（ガイドラインQ&AのQ&A8-9）。

なお、個人データの取扱いの委託を受けた委託先が、独自に取得した個人データや個人関連情報を付加したり本人ごとに突合して委託元に返す場合、委託元においても委託先に対する個人データの提供に係る同意取得が必要とされることに注意が必要である（ガイドラインQ&Aの7-41）。

5. まとめ

以上のとおり、日本の個人情報保護法との関係では、令和2年改正法の施行後も、Cookieに関する表示やCookieポリシーの策定を行うことは必須とはいえない。もっとも、令和2年改正法対応のためのプライバシーポリシーの改訂等の作業は別途必要であるとともに、個人関連情報であるCookie情報を外部に提供する予定がある場合は、ウェブサイト利用者の同意を取得するための仕組みをあらかじめ構築しておくことも検討に値しよう。

以 上

ニューズレターのメール配信はこちら

[1] https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

[2] https://www.ppc.go.jp/files/pdf/210802_guidelines01.pdf

[3] 個人関連情報の場合、個人データとは異なり、取扱いの全部又は一部を委託することに伴って提供する場合であっても、提供先の第三者が提供を受けた個人関連情報を「個人データとして取得することが想定される」場合には本人の同意取得が必要とされる点に注意が必要である。

[4] 提供先の第三者が個人関連情報を個人データとして取得した後の利用目的については、 提供先の第三者において適切に行うことが求められている。