個人情報保護法改正、公取委の規制を見据えたCookie（クッキー）情報取扱いのポイント 国内企業は、法規制とパーソナルデータ保護を念頭に置いた活用を

就職情報サイト「リクナビ」を運営する株式会社リクルートキャリア（以下、リクルートキャリア）による「内定辞退率」問題を端緒として、Cookie情報の取り扱い等について近時注目が集まっています。

個人情報保護委員会や公正取引委員会もCookieの扱いに関する今後の対応について言及するなか、公正取引委員会の近時の動向や、個人情報保護法の改正を見据えた今後の見通しについて、STORIA法律事務所 東京オフィスの杉浦 健二弁護士に伺いました。

公取委は独占禁止法にもとづくCookie収集・利用の規制を検討、経団連は反発

このたび、Cookieの収集・利用について公正取引委員会が独占禁止法にもとづく規制を検討することが報じられました。公正取引委員会の動向について教えてください。

2019年8月29日、公正取引委員会は「デジタル・プラットフォーマーと個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方（案）（以下、考え方（案））」を公表しました。

「考え方（案）」では、デジタル・プラットフォーマーが不公正な手段により「個人情報等」を取得または利用した場合は、優越的地位の濫用にあたり独占禁止法上の問題が生じるとしていますが、具体的にいかなる情報が「個人情報等」に含まれるのかは現時点で明らかとされていません。10月30日、公正取引委員会の杉本 和行委員長は、朝日新聞の取材に対して「ウェブの閲覧履歴などのクッキー情報について、不当な行為があれば独占禁止法上の優越的地位の乱用の対象にする方向で検討している」として、「個人情報等」にはCookie情報が含まれる方針であること、企業が収集目的を利用者に知らせずにCookie情報を収集すれば、優越的地位の濫用にあたる可能性があると言及しています ¹。

公正取引委員会によるCookieの収集・利用規制の動きに対し、企業等の事業者はどのように反応しているでしょうか。

前編で解説のとおり、現在の個人情報保護法ではCookie情報そのものは個人情報には含まれないとされているところ、仮にCookie情報そのものに独占禁止法による規制が及ぶとすれば、事実上、個人情報保護法の上乗せ規制を独占禁止法で行うこととなり得ます。

経団連は公正取引委員会の「考え方（案）」に対して、「個人情報等」の定義が不明確であり、適用対象の不明確性による萎縮効果が生じること ²、クッキー等の識別子／端末情報単体で特定の個人を識別することはできず、識別子／端末情報を他の情報との照合によって特定の個人を識別できるようになった段階で個人情報保護法の規律が及ぶことから、追加の規律は不要であるとの提言を行っています ³。

特にアドテクノロジー事業者は、Cookie情報そのものは個人情報に該当しないことを前提にビジネスモデルを設計しており、今後「考え方（案）」に基づく規制が実現すれば、対応に追われコストも増加するため、結果的に消費者に利便性の高いサービスを提供することが阻害されたり、増加コストを消費者に転化したりせざるを得ないとの主張がなされることが考えられます。

海外ではCookieの収集・利用についてどのように規制されているのでしょうか。

代表的なものとして、欧州におけるeプライバシー指令（e-Privacy Directive）と一般データ保護規則（GDPR）が挙げられます。eプライバシー指令は、2002年に欧州委員会に採択された電子通信サービス分野におけるプライバシーに関するルールを定めた規則で、ターゲティング広告等に用いられるCookie等の利用に際して本人の同意取得を求める等の規制が定められています。現在、eプライバシー指令に代わるeプライバシー規則（ePrivacy Regulation）の制定に向けた手続きが進められています ⁴。

GDPRでは、保護の対象とする個人データとしてオンライン識別子が列挙されています（4条1項）。ここに言うオンライン識別子にはCookieのほか、IPアドレスやRFIDタグなどが含まれます。

国内企業はCookie情報をはじめとしたパーソナルデータ保護の姿勢を

今後、国内でのCookieに関する議論はどのように進展すると考えられますか。またそのなかで企業に求められる対応についても教えてください。

個人情報保護法は、社会・経済情勢の変化を踏まえて3年ごとの見直しが予定されており、2020年に改正が予定されています。 2019年11月25日に開催された個人情報保護委員会では、Cookie情報を例として、提供元では非個人データであっても提供先で特定の個人が識別される情報について規制の是非が検討されました ⁵。そのうえで、2019年11月29日、同委員会から公表された「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱（骨子）」においては「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する」旨が明記されるに至りました ⁶。

Cookie情報に対して規制を及ぼそうとする場合、①Cookie情報が提供元において個人データに該当しない場合であっても、提供先において個人データとなる場合は個人データの第三者提供にあたると整理して規制する方向と、②欧州一般データ保護規則（GDPR）等と同様に、Cookie情報そのものを個人情報に該当すると整理して規制する方向とが考えられます。「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱（骨子）」では①の方向の規制についてのみ言及されていますが、②の方向の規制については触れられておらず、Cookie情報そのものを個人情報（個人識別符号）に含める方向の規制がなされるかどうかは現時点では不透明です。ただいずれにしても個人情報保護法の改正法案ではCookie情報について何らかの規制が及ぼされる可能性が高い状況といえます ⁷。

Cookie情報に関して新たな法規制が設けられることは、事業者、とりわけアドテクノロジー業界に与える影響は少なくないものと考えられますが、上記の個人情報保護法改正の方針に加え、公正取引委員会の前記「考え方（案）」、欧州や米国を中心とした海外における法規制、リクナビ事件を契機としたパーソナルデータに対する関心が日本国内でもかつてないほど高まっていることに鑑みれば、一定程度の規制がなされることもやむを得ないものと考えられます。

国内企業としては、各業界団体が定めるルール ⁸ に従うほか、今後の個人情報保護法の改正を含むCookie情報に関する規制が設けられるのを待たずして、Cookie情報をはじめとしたパーソナルデータ保護に関する自社独自の取り組みを打ち出すことで、ユーザーの信頼を獲得していくことが考えられます。

独自の取り組みの具体例としては、以下などが考えられます。

個人情報保護法等の法規制を遵守したうえで、さらに上記のようなCookie情報保護への取り組みを業態やCookie情報の利用目的にあわせて行っていくことが、今後はさらに強く求められていくものと考えます。