特集
  • ニュース
  • 特集
  • 実務Q&A
  • 弁護士名鑑

Cookieは個人情報に該当するか - リクナビやフェイスブックの事例から問題点を弁護士が解説

IT・情報セキュリティ

目次

  1. 閲覧履歴を踏まえたページの表示や広告配信に用いられるCookie
  2. Cookieに個人情報保護法の規制は及ぶか

2019年8月、就職情報サイト「リクナビ」を運営する株式会社リクルートキャリア(以下、リクルートキャリア)がクライアント企業へ学生の「内定辞退率」を提供していたことが、個人データの扱いや同意の取得方法等の観点から問題視されました 1

また同年10月には、リクルートキャリアがクライアント企業に対し、個人を識別できる電子情報(Cookie、クッキー)の取得を目的とした学生に対するウェブアンケートの実施を指南していたことが発覚、学生に対するCookieの利用目的の説明がなかったことなどが報じられています 2

2020年には個人情報保護法の改正が予定されているところ、改正法ではCookieに関して規制を及ぼすとの報道もなされており、また個人情報保護委員会や公正取引委員会がCookieの扱いに関する今後の対応について言及するなか、本稿ではCookieと現行の個人情報保護法との関係や、過去問題となった事例について、STORIA法律事務所 東京オフィスの杉浦 健二弁護士に伺いました。また後編では、公正取引委員会の近時の動向や、個人情報保護法の改正を見据えた今後の見通しについて解説します。

閲覧履歴を踏まえたページの表示や広告配信に用いられるCookie

そもそもCookieとはどのような情報を指すのでしょうか。

Cookieはブラウザでウェブサイトを閲覧した際に作成される、データを一時的に保管しておく仕組みを指します 3。会員制ウェブサイトやSNSなどで、ID・パスワードなどのログイン情報をアクセスのたびに入力することなくスムーズに閲覧できるのは、Cookieが機能しているためです。

またネットショッピングで商品をカートに入れた後で、いったんウェブサイトを閉じたとしても、再度ウェブサイトに戻ってくれば商品がカートに入ったままの状態から再開できるのも、同じくCookieが機能しているためです。

ユーザーが訪問しているウェブサイトから直接発行されるCookieはファーストパーティCookieと呼ばれますが、その仕組みを簡潔に説明すると、以下のようになります。

  1. ユーザーがウェブサイトAを閲覧する
  2. ウェブサイトAは、ユーザーのブラウザに対してCookieの作成を指示し、Cookieごとに割り当てられるCookieIDを送る(ブラウザごとに異なるCookieIDが発行される)
  3. ウェブサイトAでは、CookieIDとともに当該ブラウザの情報(閲覧履歴など)を保存する
  4. ユーザーが当該ブラウザから再度ウェブサイトAを訪問すると、ブラウザはCookieIDをウェブサイトAのサーバに送信する。これによりウェブサイトAは同じブラウザから訪問されたことを認識し、過去の閲覧履歴等を踏まえたページを表示する

Cookieの仕組み(ファーストパーティCookie)

Cookieは、いわば「ブラウザごとに発行される整理番号付き足あと機能」のようなものです。ウェブサイト側は、Cookieによりどのブラウザからアクセスされたのかを把握したうえで、過去の閲覧履歴を踏まえた適切なページを表示します。ユーザーにとっては、より便利にウェブサイトを閲覧できるための仕組みであるといえます。

Cookieはどのような事業分野で活用が進んでいますか。

Cookieは、単にログインの手間を省くようなユーザーの利便性を高める目的のみでなく、インターネット広告配信を効率的に行うための技術(アドテクノロジー)にも活用されています。たとえばウェブサイト上に広告を掲出する広告事業者が、当該広告を閲覧したブラウザに対してCookieを発行し、当該事業者によるほかの広告枠の閲覧履歴等の情報を踏まえて、ブラウザを利用しているユーザーの好みや趣味嗜好に合わせた広告を配信することが可能となります。

このようにユーザーが訪問しているウェブサイト以外(広告事業者等)から発行されるCookieはサードパーティーCookieと呼ばれます。例としてサードパーティCookieを広告配信に活用する仕組みを簡潔に説明すると、以下の流れとなります。

  1. ユーザーがウェブサイトAを閲覧する。ウェブサイトAには、広告事業者が発行する広告枠が含まれているところ、広告枠に表示される内容については、広告事業者のサーバからユーザーのブラウザに送信される。その結果、ユーザのブラウザには、ウェブサイトAのサーバに保存された情報(ウェブサイトAの固有の情報)と、広告事業者のサーバに保存された情報(広告)がそれぞれ表示される。
  2. 広告事業者は、ユーザーのブラウザに対してCookieの作成を指示し、CookieIDを送る(サードパーティCookie)。これにより広告事業者は、当該ブラウザを識別できる状態になる。
  3. 広告事業者は、CookieIDとともに当該ブラウザの情報(閲覧履歴など)を保存する。
  4. 広告事業者はウェブサイトAのみならず、別のウェブサイトBやCにも広告枠を保有している。
    ユーザーが別のウェブサイトBやCを訪問すると、ブラウザはCookieIDを広告事業者のサーバに送信することにより、広告事業者はAを閲覧したブラウザからBやCが閲覧されたことを認識でき、これらの閲覧履歴等を踏まえた広告を表示する。

CookieのサードパーティーCookie

サードパーティーCookieは、ユーザーが訪問したウェブサイト以外(広告事業者等)により発行されるため、ユーザーとすれば自身がアクセスしたつもりのない広告事業者等からCookieIDを発行され、ブラウザを識別されることになります。

ファーストパーティCookieではユーザーが訪問しているウェブサイトの運営主体から、サードパーティーCookieではユーザーが訪問したつもりのない広告事業者等から、それぞれブラウザの閲覧履歴等を取得されることになりますので、プライバシー権等を侵害する危険が生じないかが問題となります

Cookieに個人情報保護法の規制は及ぶか

2019年12月現在、Cookieには個人情報保護法の規制は及ぶのでしょうか。

個人情報保護法における個人情報にCookieが含まれるかが問題となります。

個人情報保護法では、個人情報について、生存する個人に関する情報であって、以下のいずれかに該当するものを指すと定義しています(個人情報保護法2条1項)。

  1. 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの
  2. 個人識別符号が含まれるもの

これに対しCookie情報は、①ユーザーが使用するブラウザを識別できるものにすぎず、ユーザーという特定の個人を識別できる情報ではないこと、②個人識別符号にも該当しないことから、現在(2019年12月時点)の個人情報保護法においては、Cookie情報自体は個人情報には該当しないとされています

もっとも、①特定の個人を識別することができる情報には「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」と定められているため(個人情報保護法2条1項1号)、たとえばウェブサイト事業者が、Cookie情報をユーザー個人の氏名等と合わせて管理している場合は、Cookie情報を含む全体の情報が個人情報に該当することとなります

例として図1におけるウェブサイトAがユーザーの氏名等の個人情報を保有しており、これらの個人情報とブラウザごとのCookie情報を紐づけて管理している場合は、Cookie情報を含む全体が個人情報となります。この場合、ウェブサイトAの運営会社は、Cookie情報の利用目的をできる限り特定し(個人情報保護法15条1項)、取得にあたっては利用目的を本人に通知公表等を行ったうえで(個人情報保護法18条1項)、利用目的の達成に必要な範囲内でのみCookie情報を利用できることになります(個人情報保護法16条1項)。

これまでCookieの取得・利用に関して問題視された事例にはどのようなものがありますか。

先ほど触れたように、Cookie情報はユーザーが使用するブラウザを認識するもので、ユーザー個人そのものを特定できるわけではありません。そのため、より精度の高い広告配信等のターゲティングを行おうとする場合、Cookie情報を特定の個人を識別できる情報と紐づけることが考えられます。

就活サイト「リクナビ」を運営するリクルートキャリアが学生の内定辞退率をクライアント企業に販売していた問題 4 で、報道によれば、リクルートキャリアはクライアント企業に対して、学生からCookie情報を取得するためのウェブアンケートを実施するよう指南していたとのことです 5。この場合、ウェブアンケートにおけるCookie情報の取得に際して、その利用目的が適切に通知または公表がされていなければ、クライアント企業は個人情報保護法に違反するおそれがあるといえます(個人情報保護法15条1項、16条1項、18条1項)。

なお2019年8月26日、個人情報保護委員会はリクルートキャリアに対して勧告および指導を行っていますが、勧告および指導の原因となった事実は、リクルートキャリアがクライアント企業から個人を特定できる学生の氏名などの情報の開示を受けていた2019年3月以降のサービス提供スキームに関してであり、2019年2月以前のスキームについては勧告および指導の対象とされませんでした 6

リクルートキャリアのプレスリリース 7 によれば、2019年2月以前のスキームは、リクルートキャリアでは個人が特定できないCookie情報や企業特有のIDを、クライアント企業がリクルートキャリアに対して提供し、リクルートキャリアにおいてリクルートキャリア側が保有するCookie情報と突合したうえで内定辞退率スコアを算出し、クライアント企業に納品していたとのことでした。

『リクナビDMPフォロー』のサービス提供スキーム(株式会社リクルートキャリア 「『リクナビDMPフォロー』に係る当社に対する勧告等について」(2019年8月26日、2019年12月5日最終閲覧))

『リクナビDMPフォロー』のサービス提供スキーム
(株式会社リクルートキャリア 「『リクナビDMPフォロー』に係る当社に対する勧告等について」(2019年8月26日、2019年12月5日最終閲覧))

しかしクライアント企業において、ウェブアンケートによりCookie情報と学生個人の情報を紐づけて管理していた場合、Cookie情報は個人を識別できる情報となるため、たとえ提供先であるリクルートキャリア内で個人が特定できなかったとしても、クライアント企業からリクルートキャリアへCookie情報を提供するにあたっては、個人データの第三者提供(個人情報保護法23条)の適法性が問題となります。

またリクルートキャリアからクライアント企業に対して内定辞退率スコアを提供する場合、2019年2月以前のスキームでは、たしかにリクルートキャリアにおいてはCookie情報や内定辞退率スコアから特定の個人を識別することはできないかもしれません。しかし提供先であるクライアント企業においては、リクルートキャリアから提供された内定辞退率スコアと特定の学生の情報を照合し、個人を識別することが予定されていました。

このように、提供元(リクルートキャリア)において個人を識別することができないCookie情報等であっても、提供先(クライアント企業)において特定の個人を識別できることを認識したうえで提供する場合は、個人データの第三者提供にあたるものとして整理するべきではないかとの問題は以前から指摘がされてきましたが 8、この問題について、これまで個人情報保護法や同法に関するガイドラインでは明確にされていませんでした。

この問題について、個人情報保護委員会は2019年11月29日で公表した「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱(骨子)9 」において、「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する」旨を明記しました。この「制度改正大綱(骨子)」については、後編「個人情報保護法改正、公取委の規制を見据えたCookie(クッキー)情報取扱いのポイント」であらためて触れます。

※2019年12月4日、個人情報保護委員会はリクルートキャリアに対し、『リクナビDMPフォロー』における2019年2月以前のスキームについても「内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた。」として、個人情報保護法42条1項に基づく勧告を行うに至りました(個人情報保護委員会「個人情報の保護に関する法律に基づく行政上の対応について」(2019年12月4日、2019年12月5日最終閲覧))。

この勧告内容は、「制度改正大綱(骨子)」において「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する」旨を明記したことと関連するものと考えられます。

次の事例としては、個人情報保護委員会が2018年に行政指導を行ったフェイスブックの「『いいね!』ボタン」問題が挙げられます 10

「『いいね!』ボタン」は、フェイスブック以外のウェブサイトやブログ上で設置できるソーシャルプラグインとして、多くの公的機関や企業ウェブサイト等で設置されているものです。「『いいね!』ボタン」はその形状からして、ボタンをクリックした際にユーザーの閲覧履歴等の情報がフェイスブックに送信されることを想像させますが、実際はボタンクリックの有無に関係なく「『いいね!』ボタン」が設置されたウェブサイトを閲覧した段階でフェイスブック側にブラウザの閲覧履歴等が送信されるものでした。これはいわばサードパーティーCookieと同様の仕組みです。

先に言及したとおり、ブラウザの閲覧履歴自体は個人情報には該当しません。しかしここで問題なのは、実名登録が原則のフェイスブックは登録会員情報を保有しており、ブラウザの閲覧履歴(Cookie情報)と自社が有する登録会員情報とを照合できてしまうため、「『いいね!』ボタン」から取得されるCookie情報は、フェイスブックにおいては特定の個人を識別できる情報となってしまい得る点です。フェイスブックは「データに関するポリシー」において、外部サイトに設置された「『いいね!』ボタン」から閲覧履歴を取得する点について記載をしていますが 11フェイスブックが個人を特定できる状態でウェブサイト閲覧者から閲覧履歴を取得していた点について、十分な説明がなされていたかどうかという問題が指摘できます 12

後編「個人情報保護法改正、公取委の規制を見据えたCookie(クッキー)情報取扱いのポイント」では、公正取引委員会の動向や、個人情報保護法の改正を含めた今後の見通しについて解説します。

  1. 日本経済新聞「就活生の「辞退予測」情報、説明なく提供 リクナビ」(2019年8月1日、2019年11月27日最終閲覧) ↩︎

  2. NHK NEWS WEB「リクナビ 企業に学生へのアンケートを指南 識別情報を入手」(2019年10月29日、2019年12月4日最終閲覧) ↩︎

  3. 広瀬信輔「アドテクノロジーの教科書 デジタルマーケティング実践指南」(翔泳社、2016年)260頁参照。 ↩︎

  4. 杉浦 健二「リクナビによる『内定辞退率』データ提供の問題点はどこにあったか 法的観点から弁護士が解説」(BUSINESS LAWYERS、2019年8月15日) ↩︎

  5. NHK NEWS WEB「リクナビ 企業に学生へのアンケートを指南 識別情報を入手」(2019年10月29日、2019年12月4日最終閲覧) ↩︎

  6. 個人情報保護委員会は2019年3月以降のスキームについてのみ勧告および指導の対象としたのに対し、厚生労働省は2019年2月以前のスキームについても行政指導の対象としたと報道されている。日本経済新聞「厚労省、個人情報活用に厳格判断 リクナビに行政指導」(2019年9月6日、2019年12月4日最終閲覧)。 ↩︎

  7. 株式会社リクルートキャリア 「『リクナビDMPフォロー』に係る当社に対する勧告等について」(2019年8月26日、2019年12月5日最終閲覧) ↩︎

  8. 園部 逸夫・藤原 靜雄 編、個人情報保護法制研究会 著「個人情報保護法の解説 第二次改訂版」62頁において「事業者又は内部組織の間で組織的・経常的に相互に情報交換が行われている場合は、『容易に照合することができ』る場合に当たると考えられる」との記載がある。ほか、高木 浩光「個人データ保護とは何だったのか」(「世界」2019年11月号54頁以下)、脚注12の論稿など。 ↩︎

  9. 個人情報保護委員会「『個人情報保護法 いわゆる3年ごと見直し 制度改正大綱(骨子)』の公表について」(2019年11月29日) ↩︎

  10. 個人情報保護委員会「個人情報の保護に関する法律に基づく指導について」(平成30年10月22日)。ボタンを押さなくともユーザーID、アクセスしているサイト等の情報が自動で送信されていた点について、ユーザーへの分かりやすい説明の徹底、本人の同意の取得、本人からの削除要求への適切な対応等を行うよう行政指導がなされた。 ↩︎

  11. フェイスブック「データに関するポリシー」(令和元年11月26日最終閲覧)、 本件に関するフェイスブックのヘルプページ(令和元年11月26日最終閲覧) ↩︎

  12. 本件に関する論稿として、若江雅子・森亮二・吉井英樹「オンライン広告におけるトラッキングの現状とその法的考察」(総務省学術雑誌「情報通信政策研究』第2巻第2号、平成31年2月15日)。 ↩︎

杉浦 健二弁護士

STORIA法律事務所 東京オフィス

  • IT・情報セキュリティ
  • 知的財産権・エンタメ
  • 訴訟・争訟
  • ベンチャー
ウェブサービス、アプリ等のオンラインビジネスをめぐる法的問題、個人情報保護法制を踏まえた個人データの利活用、AI・データに関する法律問題を主に取り扱う。ブログも執筆(https://storialaw.jp/author/sugiura)。企業勤務を経て2007年弁護士登録(第一東京弁護士会)。STORIA法律事務所パートナー。

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する
杉浦 健二弁護士