GDPRでCookieが規制される

 これらCookieを使った個人の特定や解析を、企業がオプトアウトで勝手に行えないようにする規則がEU圏で施行された。それがGDPRだ。

 GDPR(General Data Protection Regulation: 一般データ保護規則)という言葉を聞いたことがある人は多いだろう(図4)。GDPRは、EU内のすべての個人(EU圏の在住者として仕事での駐在者はもちろん、EU在住者が海外に旅行や仕事で居る場合も対象者)を対象とした、個人情報保護についての規約をまとめたものだ。2018年5月5日に施行された。

 GDPR施行日の前後で、非常に多くのWebサービスやWebサイトで、利用者の使用許諾内容の更新を求めるメールや規約変更が行われ、世界中を巻き込んだ事態になった。

 というのも、GDPRでの規則では、Cookieを利用した個人情報の利用には、ユーザーの同意を求める必要があるからだ。また、取得したデータはEU圏外へのデータ持ち出しは禁止されていて、データの保護・管理も正しく行わなければならないとされたのだ。さらに、取得したデータは、個人からの参照・削除の要求があった場合、対応を行わなければならない体制が求めらるようになった。

 これらに違反すると、2000万ユーロもしくは企業の売上の4%を制裁金として課せられる。大企業だけではなく、中小零細企業も対象となっており、非常に厳しいものだ。

 Webサービスを展開する企業にとって、この中で問題となったのが、サービスを行っている企業の所在地がEU圏になくてもGDPRの適用対象になることだった。これを「域外適用」と言う。例えば、EU圏の人がEU圏外のWebサービスを使ったとき、域外の企業もGDPRの対象となってしまうのだ。日本でWebサービスを展開する企業はこれまで、ユーザーがEU圏内の在住者だからといって特段個人情報の扱いを変えたりはしていなかった。それがGDPRによって、非常にナーバスな問題になってしまったのだ。

 GDPRで規定している個人情報は、Cookieに限らず、名前やメールアドレスはもちろん、IPアドレスやSNS上での投稿といった広い範囲になっている。そこで、GDPRの施行日に対応が遅れたWebサービスは、EU圏のIPアドレスからのWebアクセスができないようにブロックされてしまうという動きがあったほどだった(参考記事「米紙サイト、EUで一部閲覧不能 データ規制対応遅れ」)。

 日本国内だけでサービスを展開する企業ならまだしも、グローバル企業のWebサイトには、あらゆる国からのアクセスがある。GDPRの施行日以降でWebサイトを開くと、図5のようにCookieの許諾を求められるバナーをよく目にした読者も多かっただろう。GDPR以前・以後で、グローバル企業にかかわらず非常に多くのWebサイトでこのようなCookieの許諾ページを目にし、筆者はGDPRの影響の大きさを感じた。

図5●GDPRの影響で最近よく表示されるCookieの承認バナー。画面はARMのWebサイトの例。グローバル企業のサイトでGDPRの影響が強くなるため、よく見かける

 また、GDPRではEU域外への個人情報のデータを持ち出しを禁止しているが、個人情報の保護レベルがEU水準と認められた国や地域にはデータの移動ができる「十分性認定」という仕組みがある。この十分性認定を日本が欧州委員会から得ることが出来た(参考記事「日本のデータ移管、円滑に」)。これにより、例えば日本に本社があり、EU域内に法人と社員がある場合など、日本国内でEU域内のデータを扱いたい時に問題になっていた部分がクリアになった。ただし、個人情報を取得する際には、同意を取るといった部分は変わらない点については注意が必要になる。

 このGDPRの次に2019年内に施行予定となっていて恐れられているのが、「ePrivacy規則」だ(Regulation on Privacy and Electoric Communication: 通称Cookie法)。オプトアウトでのCookie利用はNGになり、Cookieを取得する際はオプトインで必ずユーザーからの能動的な同意を取らなくてはならない、というもの。これが施行されると、サードパーティークッキーは“全滅”となると言ってもよいだろう。

 なぜかというと、前述のように広告などで利用されているサードパーティークッキーは、ほとんどの場合はユーザーの同意を取らないでCookieを発行しているからだ。

 これらEUからの個人情報保護の規約は、今までユーザーの同意を取らないで情報を取得して広告やアクセス解析を行って経済活動をしてきた企業に対し、強い制限や制約として作用するだろう。

 実際に初めてGDPRの制裁金をケースも出てきた(参考記事「グーグル、GDPRで制裁金、情報収集に不備、日本企業もリスク」)。

 つまり、個人情報保護の流れから、Cookieの時代が今終わろうとしているのだ。

 2月22日掲載の記事では、いよいよブラウザーフィンガープリントとは何かを解説する。

Cookieとは? 改めて知りたいネットのトラッキング技術
ユーザーを特定する「ブラウザーフィンガープリント」技術とは