《 インターネット上の個人情報保護 》　◆インターネットと個人情報保護

←　前へ

§ Cookie情報等

　Cookie（クッキー）とは、ウェブサイトにアクセスした際に手元の端末のブラウザに書き込まれる小さなテキストデータである。これによって、サイト側でブラウザを特定することができ、必要なサービスを提供することができる。これがなければ、新たなページにアクセスするごとに初めての訪問だと認識されるため、例えば、通販サイトで商品紹介ページから商品を買い物かごに入れ、注文するというプロセスが実現できない。その意味では、Cookieはインターネット利用に不可欠な仕組みである。

　他方、例えば、様々なページに設置されている当該ページをシェアするためのSNSのボタンにはCookie発行機能が埋め込まれている場合があり、SNSのボタンが設置されているページにアクセスするたびに、それを埋め込んだSNS事業者がユーザーの当該サイトへの訪問を知ることができる。ボタンは多数のページに埋め込まれているから、SNS事業者はあるユーザー（のブラウザ）がどのページを訪問したのか、継続的に追跡することができる。こうした訪問履歴をもとにユーザーの趣味嗜好を把握することができ、それに基づいて広告（行動ターゲティング広告）を配信することが行われている。なお、Cookie以外の技術的方法によってもユーザーの追跡が行われ、広告配信等に使われている。

　このようなユーザーの追跡については、プライバシーの観点から一定の規律が必要であるように思われる。

　この問題に関する規律関係は、かなり複雑であり、また、必ずしも十分ではないのではないかとの批判もされている。

　第1に、Cookie単体では「個人情報」には該当しないと考えられている。ただ、CookieとSNSのアカウント情報とが紐づいて管理されているようなこともあり、その場合には「個人情報」に該当する。

　第2に、2019年に発覚したいわゆるリクナビ事件では、リクルートキャリア社が就活生の内定辞退率を算出し、そのスコアとCookie情報を、顧客企業に提供するというスキームであった。リクルートキャリア社側ではCookie情報が誰のものか分からないが、顧客企業の方ではCookie情報と就活生の氏名等とを紐づけることができるようになっていた。この場合、リクルートキャリア社でもっていた情報は「個人情報」には当たらず、自由に第三者提供ができるが、顧客企業の方ではそれを「個人情報」として扱うことができるため、全体として第三者提供規制を潜脱するものとなっていた。そこで、2020年の個人情報保護法の改正で、「個人関連情報」の制度が導入され、提供先において「個人情報」として扱われると想定される場合の規律が行われた（31条）。

　第3に、2022年の電気通信事業法の改正により、メール・メッセージサービス、SNSや各種オンラインサービスプラットフォーム、検索サービス事業者等に対して、Cookieなどを通じて利用者情報を外部に送信する場合には①所定事項の通知又は公表、②利用者の同意の取得、③オプトアウトの措置のいずれかを行う必要があることとされた（電気通信事業法27条の12等）。ウェブサイトを閲覧しようとした際、ポップアップで説明画面が表示されることが増えてきたことは読者も感じていることと思われるが、それはこの規律（あるいは外国の類似の規律）に対応するためのものである。