コラムバックナンバー

新型コロナウイルス騒動も明け、世界でプライバシー保護の動きが再び進みつつあります。先月国内では個人情報保護法の改正案が公布され、今月は米国のカリフォルニア州でカリフォルニア州消費者プライバシー法(CCPA)の取り締まりが開始されました。さらにはAppleがWWDC(Worldwide Developers Conference)でiOS14からアプリがIDFA(Identifier for Advertisers) をデフォルトで送信しないようにする(送信するにはオプトインが必須化)ことを発表しました。Googleも先週リリースしたChromeのバージョン84でSameSite Cookie強制を再開しています。そんな中、今回は個人情報保護法改正の内容でウェブと関連するところ、特にcookieの扱いなどについて紹介します。

cookieのような識別子はそれ単体で個人を特定できないので引き続き個人情報としては扱われないままですが、新たに「個人関連情報」としてカテゴリ化されました。この個人関連情報というのは、自社では個人データではないが、第三者提供したときに提供先で個人データとなるもののことをいいます。IDFA/AAID(Google Advertising ID)などのアプリの広告識別子やIPアドレスも含まれます。

■第三者提供すなわちcookieの同期の制限

個人関連情報は第三者提供をする場合、その会社にデータを提供する同意を本人、すなわち個人情報によって識別される特定の個人から取得する必要があります。これはサードパーティcookieを使って複数サイト間で識別子を同期し、同一ブラウザの履歴を特定することを制限するものです。

cookieに記録された識別子、とりわけサードパーティcookieは複数サイト間での履歴や属性を紐づけることを可能にします。たとえば「AさんがウェブサイトBでトップページを見て、その後でサイトCで商品○○の詳細ページを見た。サイトCのデータによるとAさんの購入履歴は△△で性別は男性」などです。

つまりAさんのウェブ上でのあらゆる行動の履歴や属性が紐づいてしまうという問題があり、このプライバシー上の問題を懸念して、cookieなどのオンライン識別子を紐づけることが今回制限されました。これは法令による規制ですが、サードパーティcookie自体は技術面でもSafariのITPですでにブロックされており、Google Chromeでも1年半以内にはブロックされることがアナウンスされています。

■cookieの扱いについて見直しを

cookieは単純にウェブの行動ログを記録するだけであれば個人関連情報にすぎません。しかし他のデータと紐づけて使う場合には個人情報になります。この認識は重要です。

最初はとりあえずcookieを行動の記録だけに利用しておく。後で何らかの方法で他のデータと紐づけるかもしれない、ということもあるでしょう。こういったときに紐づけるデータ(会員情報など)にはほぼ個人情報が含まれるので、紐づけた瞬間に個人情報扱いになります。個人関連情報より厳しい制限が必要になるのです。そもそも何かと紐づけて使うことが前提なのであれば最初から個人情報としての扱いをしましょう。というよりあらゆるcookieは最初から個人情報にする前提で取得に同意を付けることをお勧めします。

現時点(改正前)でも紐づけたcookieは個人情報になり、取得には同意が必要です。またEUのGDPRや米国カリフォルニア州のCCPAではcookie単体でも個人情報と同じ扱いで、取得には同意が必要です(IDFA/AAID、IPアドレスも)。GDPRにおけるcookieの扱いは英語ですが以下のページが参考になります。

Cookies, the GDPR, and the ePrivacy Directive

> Receive users’ consent before you use any cookies except strictly necessary cookies.

とはっきり記述されています。”strictly necessary cookies”の定義も具体的に記されています。

なお現時点では個人情報保護法の改正は法律が公布された段階までにとどまっており、具体的な手続きなどの詳細は決まっていないところがあります。後で政令やガイドラインで決められることもあるので、引き続き注視が必要です。

コラム担当スタッフ

柳井 隆道

Option合同会社
代表社員
マーケティングテクノロジスト
marketechlabo

東京大学を卒業後、webマーケティングやサービス企画、システム開発などに従事。
デジタルマーケティングの世界に落ち着き、事業会社、広告代理店を経て2014年に独立。
現在は大小さまざまの事業会社、広告代理店などに対して、テクノロジー観点からデジタルマーケティングの支援を行っている。データ計測の設計、実装から分析、マーケティングオートメーションや広告運用などの施策との連携まで扱う。
さまざまな規模の経験から、企業の身の丈にあったデジタルマーケティングの企画に強い。フリーランスで活動していたが、2017年から法人化。

一つ前のページに戻る

a2i セミナー風景イメージ

あなたも参加しませんか?

「アナリティクス アソシエーション」は、アナリティクスに取り組む皆さまの活躍をサポートします。会員登録いただいた方には、セミナー・イベント情報や業界の関連ニュースをいち早くお届けしています。

セミナー・イベント予定

予定一覧へ

コラムバックナンバー

  • 【コラム】KPIを継続するための5つのポイント

    アナリティクスアソシエーション 大内 範行
    発信元:メールマガジン2022年9月28日号より

    9月14日、村上佳代氏による「マーケッターの必須スキル「KPI」の基礎理解と攻略」というセミナーがあり、非常に好評でした。GA4のことばかり …

  • 【コラム】時系列データ解析のための「コロナ禍のデータ」

    株式会社Rejoui 菅 由紀子
    発信元:メールマガジン2022年9月21日号より

    2019年12月に世界で初めて新型コロナウイルスの感染者が報告されてから2年8ヶ月が経過しました。先日、WHOのテドロス事務局長がこのパンデ …

  • 【コラム】接点を。もっと接点を

    株式会社真摯 いちしま 泰樹
    発信元:メールマガジン2022年9月14日号より

    あるBtoCのWebサイトの状況を分析していたとき、全体的にモバイルのトラフィックのコンバージョンの状況が非常に良いことに気が付きました。ど …

バックナンバー一覧へ