日本のCookie規制の全体像
日本では、Cookie規制に関して主に2つの法律が関係します。
| 法律 | 概要 | 施行日 |
|---|---|---|
| 電気通信事業法(改正) | 外部送信規律:利用者情報の第三者送信を規制 | 2023年6月16日 |
| 個人情報保護法 | 個人関連情報の第三者提供規制 | 2022年4月1日 |
電気通信事業法改正:外部送信規律
対象となる事業者
電気通信事業法の外部送信規律は、電気通信役務を提供する事業者が対象です(法27条の12)。ウェブサイト・アプリ等でGoogle Analytics・広告タグ等を利用して利用者情報を第三者に送信している事業者は広く対象になります。
「外部送信」とは
利用者の端末に記録された情報(Cookie、ローカルストレージ等)を、通信の過程で第三者に送信することです。典型例はGoogle Analytics、Google広告タグ、Meta Pixel等のタグの設置です。
事業者の義務
外部送信規律の対象となる場合、以下のいずれかの対応が必要です。
- 通知または公表: 送信する情報の種類・送信先・利用目的をウェブサイト等で公表する
- 同意取得: 通知・公表の代わりに利用者の同意を取得する
- オプトアウト手段の提供: 利用者が外部送信を停止できる手段を提供する
実務上は通知・公表(プライバシーポリシーへの記載)が基本対応となります。
記載すべき情報(総務省ガイドライン準拠)
- 送信される情報の内容(Cookie ID、IPアドレス、閲覧履歴等)
- 送信先の名称と所在国
- 利用目的
- オプトアウトの方法
個人情報保護法:個人関連情報規制
個人関連情報とは
個人関連情報とは「生存する個人に関する情報であって、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないもの」(個人情報保護法26条の2)。Cookie ID、IPアドレス、閲覧履歴等が該当します。
第三者提供の制限
個人関連情報を第三者に提供する際、提供先が当該情報を個人データと紐付けて使用する場合は、本人の同意が必要です(個人情報保護法31条)。
具体的には、広告配信事業者へのCookie IDの提供(リターゲティング広告等)が規制の対象となり、媒体主(広告掲載サイト)は広告配信事業者が個人データと紐付けるか確認し、必要な場合は本人同意を取得する必要があります。
同意取得バナー(CMP)の実装ポイント
電気通信事業法対応
- 通知・公表のみの場合: バナーで「情報を第三者に送信しています」を表示し、プライバシーポリシーへリンク
- 同意取得の場合: 明示的な同意ボタン、拒否ボタンを設置。デフォルトOFFが推奨
GDPRとの兼ね合い
EU向けサービスの場合はGDPRの同意要件(自由・具体的・明示的・撤回可能)も満たす必要があります。CMP(Consent Management Platform:OneTrust・Cookiebotなど)の導入が実務的です。
プライバシーポリシーへの記載例
【外部送信について(電気通信事業法27条の12に基づく通知)】 当ウェブサイトでは、以下のツールを使用し、利用者の端末情報を第三者に送信しています。
| 送信先 | 送信情報 | 利用目的 | オプトアウト |
|---|---|---|---|
| Google LLC(米国) | Cookie ID、閲覧ページ、IP | アクセス解析 | https://tools.google.com/dlpage/gaoptout |
| Meta Platforms(米国) | Cookie ID、閲覧行動 | 広告効果測定 | https://www.facebook.com/adprefs |
まとめ
日本のCookie規制は電気通信事業法の外部送信規律と個人情報保護法の個人関連情報規制の双方への対応が必要です。最低限のプライバシーポリシー記載に加え、GDPRの適用がある場合はCMPによる同意管理の整備も必要になります。