新型コロナウイルス騒動も明け、世界でプライバシー保護の動きが再び進みつつあります。先月国内では個人情報保護法の改正案が公布され、今月は米国のカリフォルニア州でカリフォルニア州消費者プライバシー法（CCPA）の取り締まりが開始されました。さらにはAppleがWWDC（Worldwide Developers Conference）でiOS14からアプリがIDFA（Identifier for Advertisers)　をデフォルトで送信しないようにする（送信するにはオプトインが必須化）ことを発表しました。Googleも先週リリースしたChromeのバージョン84でSameSite Cookie強制を再開しています。そんな中、今回は個人情報保護法改正の内容でウェブと関連するところ、特にcookieの扱いなどについて紹介します。

cookieのような識別子はそれ単体で個人を特定できないので引き続き個人情報としては扱われないままですが、新たに「個人関連情報」としてカテゴリ化されました。この個人関連情報というのは、自社では個人データではないが、第三者提供したときに提供先で個人データとなるもののことをいいます。IDFA/AAID（Google Advertising ID）などのアプリの広告識別子やIPアドレスも含まれます。

■第三者提供すなわちcookieの同期の制限

個人関連情報は第三者提供をする場合、その会社にデータを提供する同意を本人、すなわち個人情報によって識別される特定の個人から取得する必要があります。これはサードパーティcookieを使って複数サイト間で識別子を同期し、同一ブラウザの履歴を特定することを制限するものです。

cookieに記録された識別子、とりわけサードパーティcookieは複数サイト間での履歴や属性を紐づけることを可能にします。たとえば「AさんがウェブサイトBでトップページを見て、その後でサイトCで商品○○の詳細ページを見た。サイトCのデータによるとAさんの購入履歴は△△で性別は男性」などです。

つまりAさんのウェブ上でのあらゆる行動の履歴や属性が紐づいてしまうという問題があり、このプライバシー上の問題を懸念して、cookieなどのオンライン識別子を紐づけることが今回制限されました。これは法令による規制ですが、サードパーティcookie自体は技術面でもSafariのITPですでにブロックされており、Google Chromeでも1年半以内にはブロックされることがアナウンスされています。

■cookieの扱いについて見直しを

cookieは単純にウェブの行動ログを記録するだけであれば個人関連情報にすぎません。しかし他のデータと紐づけて使う場合には個人情報になります。この認識は重要です。

最初はとりあえずcookieを行動の記録だけに利用しておく。後で何らかの方法で他のデータと紐づけるかもしれない、ということもあるでしょう。こういったときに紐づけるデータ（会員情報など）にはほぼ個人情報が含まれるので、紐づけた瞬間に個人情報扱いになります。個人関連情報より厳しい制限が必要になるのです。そもそも何かと紐づけて使うことが前提なのであれば最初から個人情報としての扱いをしましょう。というよりあらゆるcookieは最初から個人情報にする前提で取得に同意を付けることをお勧めします。

現時点（改正前）でも紐づけたcookieは個人情報になり、取得には同意が必要です。またEUのGDPRや米国カリフォルニア州のCCPAではcookie単体でも個人情報と同じ扱いで、取得には同意が必要です（IDFA/AAID、IPアドレスも）。GDPRにおけるcookieの扱いは英語ですが以下のページが参考になります。

Cookies, the GDPR, and the ePrivacy Directive

> Receive users’ consent before you use any cookies except strictly necessary cookies.

とはっきり記述されています。”strictly necessary cookies”の定義も具体的に記されています。

なお現時点では個人情報保護法の改正は法律が公布された段階までにとどまっており、具体的な手続きなどの詳細は決まっていないところがあります。後で政令やガイドラインで決められることもあるので、引き続き注視が必要です。