WEBサイトを訪れる時に「Cookieの利用について」の断り文が表示されたことはありませんか？　最近よく見かけるようになった表示ですが、多くは世界的基準GDPR（General Data Protection Regulation：一般データ保護規則）を意識して設置されたものです。しかし、それでもなお不十分な対策である可能性があります。今回は、Cookie規制（以下、Cookie法）とは何か、対応しないとどのようなリスクがあるのか、対応方法も交えて紹介します。

まずは、Cookieとは何か、どのような問題があるのかを簡潔に説明します。

Cookieとは、Webブラウザからログインした時の情報や、ユーザーが訪問したホームページのデータの塊またはそうしたデータを保存する仕組みのことです。Cookieを使えばメールアドレスやユーザーID、パスワード、訪問先、訪問回数などのデータを収集することができます。ユーザーは、いちいちパスワードを入れなくてもサイトにログインできる利点があります。

企業としては、ユーザーのCookieに基づいて、その人の興味のありそうな広告を表示させることが可能です。例えば、マンションに関する広告を見たことがある人に、別のマンションの内覧会の広告を表示させる「リターゲティング広告」は、Cookie を利用してWEBマーケティングやサイト構築に使われている技術です。

Cookieは個人を特定できる可能性のある情報です。ところが、現時点ではCookie単体だけだと個人情報保護法で保護される個人情報ではありません（個人情報保護法21条）。しかし、ユーザーの個人名と合わせてCookie情報を収集している場合は、その形で集められた情報は個人情報となりえます。

日本でCookieに関する規制を管轄している行政庁は、個人情報保護委員会です。個人情報保護委員会は、Cookieの利用について規制する方向で動いています。なぜ規制する方向で動いているのでしょうか。きっかけは以下の事件でした。

2019年8月26日に、個人情報保護委員会はリクルートキャリアに対して指導及び勧告を行いました。リクルートキャリアが、Cookie情報を元にした内定辞退率をクライアントに販売していたためです。リクルートキャリアはCookie情報取得のためのアンケートを実施するようクライアントに要請しましたが、アンケートには利用目的が書かれていませんでした。つまり、何のための情報収集かわからない学生たちからCookie情報を収集し、内定辞退率を予測していたのです。

リクルートキャリアは、クライアントの企業に対して、氏名と予測データを提供していました。この件は倫理的に非常に問題のあるケースであったため、個人情報保護委員会が動いたということです。

ちなみに、個人情報保護委員会は2019年3月以降の個人情報の取り扱いが不適切だとして、是正勧告を出しました。しかし、それ以前については出していません。2019年２月以前は、学生の氏名を開示していなかったためと考えられます。このように、Cookieの扱い方を間違えてしまうと、問題のある行為をしたと捉えられる可能性があります。

欧州では、Cookieの収集について以前から規制が議論されてきました。その波は世界に広がりつつあります。

GDPR（General Data Protection Regulation：一般データ保護規則）は、媒体を問わない個人データの取り扱いに関する規則です。EUの法規制ですが、域外規定があるので、EUに向けたビジネスをしている日本企業も対象となることがあります。実質的に全世界を対象としているため、日本でも注目されている規則です。規則をクリアするためには、Cookieの利用の明確な同意を得るなど、GDPRが規定する概念に合わせることが必要です。

eプライバシー規制も、EUの法規制です。日本の業者であってもEU向けにビジネスをする場合は対象になります。ただし、メールやCookieを取り扱う民間業者対象であり、調整に時間がかかっていることが現状です。２年後に施行予定の規制なので日本における注目度は低いと言えます。

日本ではCookieについての法規制が一部を除いて意識されてきませんでした。ただし、前述の事件をきっかけとし、さらに欧州の規制を受けて日本もCookieについての規制が導入される可能性が出てきています。個人情報保護法だけではなく、独占禁止法に基づいて、個人情報保護法にさらに上乗せされた規制がかかる可能性があります。

今まではどのような規制がかかるのか不明瞭でしたが、フランス、ドイツ、イギリスの個人情報保護を担当する当局はガイドラインを発表しました。イギリスのICOのサイトには、具体的なチェックリストもあってわかりやすく解説されています。

Cookieの規制に対応しないと、どうなるのでしょうか。1番のリスクは巨額の制裁金です。

Cookieの規制に対応しない場合、訴えられて多額の制裁金を背負うことになるかもしれません。

近年の例として、2019年に英国のデータ保護監督機関であるICOがブリティッシュ・エアウェイズに科した制裁金１億8339ポンド（日本円では約257億円）の事例があります。ブリティッシュ・エアウェイズはサイバー攻撃に遭い、自社のサイトやアプリから約50万人の顧客のデータを不正に収集されてしまいました。ICOは、セキュリティー対策の不十分さを指摘し、制裁金を課すことを決定しました。

同社は制裁金の他に、被害にあった顧客から集団訴訟を提起されており、個人補償もあわせると負担金額は莫大な額に上るとみられています。

企業にとって、巨額の制裁金はかなりのダメージになります。欧州をはじめ、海外からのサイト訪問を完全にシャットアウトすることは難しいでしょう。従って、域外適用をされればどの企業であっても訴えられるリスクはあると言えます。訴訟に巻き込まれれば社会的な信用を失い、ビジネスもしにくくなるでしょう。

Cookie法に適応するには、どうしたらよいのでしょうか。

Cookie法に詳しい専門機関のコンサルティングやアドバイスを受けることをおすすめします。特にリターゲティング広告を行っている会社は、事業内容にかなりの影響を受けると思われますので、早めに調査すべきです。域外適用を受ける可能性がどれくらいあるのかをまずは調べてください。例えば、欧州向けにWEBサイトを通じて通販をしている企業などは対象になると考えられます。

WEBサイトを運用する際には、Cookieポリシーの提供をすることと、明確な同意が得られるまではCookieを収集しないことが大事です。ただし、ゼロCookieロード（同意を得ていない人からCookieを収集しないこと）については、現時点において技術面で対応するのに一工夫必要です。

冒頭で述べたCookie情報の規制は、現時点では同意しなければその先が閲覧できない表示もたまに見かけます。このような表示はCookieウォールと呼ばれており、同意をとったことにはなりません。

日本においても、Cookieの利用が規制される可能性が高いと考えられます。前述の個人情報保護委員会と公正取引委員会からの規制という形で、具体的な指針が提示され、違反した企業には指導が入る可能性が考えられます。ただし、日本の法律や制度の整備を待ってからの対応では、遅いと言えます。なぜなら、日本の法律に違反しなくても、海外から閲覧する人がいる限り、GDPRに違反してしまう可能性があるからです。

特にCookieについての考え方が、欧米と日本では異なる点があるように見受けられます。日本ではCookie単体では個人情報とは言えませんが、Cookieは個人情報であるというのが欧米の立場です。

利用者の情報を集めるのに便利なCookieではありますが、安易に収集することはおすすめできません。特に、Cookieを利用した広告を使ってマーケティングをしている場合、何のためにCookieを収集・利用するのかを利用者に説明できないと、ビジネスモデルから考え直す必要が出てきます。将来、困らないためにも、今の時点からサイトの運用方法を考えておく必要があります。

アクセス解析ツールを使っている場合（ほとんどのサイトでは使われていると思いますが）Cookieの収集の断り書きを記したポップアップを作るなど、GDPRへの対応を前もってしておくのが望ましいでしょう。

Cookieの収集と利用について、特に欧州を中心として世界的に規制が高まりつつあります。日本ではまだ検討段階ではありますが、GDPRの域外適用の可能性も踏まえ、GDPRレベルでの規制への対応が必要です。リクルートキャリアの事件はきっかけにすぎず、問題の再発を防止するという観点だけでは不十分と言えます。グローバル化する現代では、今後の規制を予測し、世界の中でも厳しい基準（GDPR）に合わせていくことがリスク対策になります。