「Cookie同意バナー」設置が義務付けに！？

昨日ご案内した2022年4月施行の改正個人情報保護法についてですが、調べたところ「Cookieを含む個人関連情報の収集の際には、閲覧者本人の同意が義務付けられる」とのこと。

つまり、運用するホームページによってはCookieの発信に同意するか拒否するかの意思を確認する機能が義務付けられるというのです。

数年前にあったスマホ対応からSSL実装に続き、またもやホームページの機能に追加しなければいけないものが出てきました。

ただ、今回は罰金が科せられるかもしれないシビアな問題で、慎重に対応されることをおススメしたいと思います。

【著者プロフィール】

株式会社アクセスアップ／富井清和

1998年東京都千代田区でITベンチャーを起業。金融機関・放送局・大手電機メーカーを含む約1,500社にも及ぶWebシステム開発に携わる。主にSEO対策を目的としたコンテンツ作りとページ構成を得意とする。

日頃の業務のかたわらで、船井総研との共同セミナー講師、東京税理士会や杉並区中小企業診断士会への技術研修。杉並区商工会議所や武蔵野青年会議所等でセミナー講師を務めホームページの集客方法について語っている。

高まる個人情報保護の重要性

アフターコロナにおいては、多くの中小企業が新たな事業戦略の中心にDX化（デジタルトランスフォーメーション）を置いていますが、そこに必ずつきまとうのが、個人情報保護の問題です。

「日本ネットワークセキュリティ協会」の調査結果では、個人情報が漏えいした原因で最も多かったのは、「紛失・置き忘れ」で全体の26.2%。続いて、「誤操作」が全体の24.6%と半数以上が運営する会社に問題があったと発表されています。

今の個人情報保護法では、収集した個人情報が漏洩した段階で安全管理義務違反に該当し、6か月以下の懲役。または30万円以下の罰金という刑事罰が科せられます。 加えて、お客さんやこれまでホームページを閲覧したユーザーの信頼を失ってしまいます。

これは経営上の大きなリスクにもなる問題です。 しっかりと運用ポリシーを定め、厳守しながら管理していきましょう。

何が個人情報なのか？

では一体何が個人情報なのか、お話したいと思います。

「個人情報」とは...、生存する個人に関する情報で、その情報に含まれる氏名や生年月日等によって特定の個人を識別できる情報のこと。 例えば、氏名だけでも個人情報に該当しますが、誰の音声かが識別できる音声録音情報や、氏名と社名が含まれるメールアドレス、防犯カメラに記録された顔画像なども、個人情報に該当する例として挙げられます。 また、「個人情報保護法」では、個人識別符号を含む情報を、個人情報に含まれるものと定めています。 「個人識別符号」とは、 ①身体の一部の特徴を電子計算機のために変換した符号。②サービス利用や商品の購入に割り当てられ、あるいはカード等の書類に記載された、対象者ごとに割り振られる符号のいずれかに該当するもので、政令で指定されています。具体的には、①指紋、DNA、顔の骨格などの身体の特徴データや、②マイナンバー、パスポートや運転免許証の番号など、個々人に対して割り当てられる公的な番号が、これにあたります。

Cookieが個人情報として扱われる

実はこの4月から日本でもCookieが個人情報として扱われます。

日本ではまだ漏洩したところで罰則がありませんが、欧州では無断でCookieを発信することに多額の罰金を科しています。

例えば、2020年末にはGoogleが1億ユーロ（約134億円）。Amazonが3500万ユーロ（約47億円）と莫大な罰金が科せられたということがありました。

それに伴い、アクセスログを表示するGoogleアナリティクスでは、サービス利用規約でCookieの収集について開示することを求めるようになりました。

Cookieを収集する際には「Cookie同意バナー」を設置とともに、プライバシーポリシーの文章の見直しを早急にやりましょう。

「Cookie同意バナー」について

最近、大手企業のホームページやECサイトでは軒並み「Cookieの収集に同意しますか？」のバナーを設置するようになっています。

この意味をご存知ない方にとっては、「いちいち面倒な表示だなあ」と思われている方も多いことでしょう。今までは見なかった不気味な広告のようなバナーですが、これが、ホームページ側が発信するCookieを閲覧しているパソコンやスマホ側で受け入れるか拒否するかの選択を求めるものです。

ホームページを見るだけでこんな恐ろしい仕掛けがされていたと驚かれる方もおられるかと思いますが、この仕掛けを訪問者の同意無しでやってはいけない決まりができそうなのです。

Cookieに同意するとは、ホームページを運営している企業自身が、信頼できるサイトであることを示すためのもので、「選択の余地がなく同意を強制したり」、また「同意を拒否することで面倒なことを発生させる」ものではいけません。

単純に、今まで勝手にサーバーから発信していたCookieを、閲覧者に受け入れるか拒否するかを選択させる機能を設置するという世界の流れから生まれたものです。

この「Cookie同意バナー」は、運営者側サーバーだけで動作するJavaScript（ジャバスクリプト）で記述したツールで、写真や文字のようにただ単純に貼り付けるだけのものとは異なり、設置にはちょっと難しい設定が必要です。

無料のツールもありますが、専門知識が必要なことから、制作会社にお願いされることをおススメします。

さいごに

如何でしたか？

今日は、「Cookie同意バナー」についてお話しました。

問い合わせフォームの項目に、氏名や住所以外に生年月日や趣味、クレジット番号や会員番号などを入力項目とされている場合は、この「Cookie同意バナー」が必要です。

また、Googleアナリティクスでアクセスログを収集している場合も、Google側のサービス規約で定めがあり設置することをおススメします。

現状の個人情報保護法では、「Cookie同意バナー」の設置は義務ではありませんが、ここ数か月の様子を見ると国内でも設置している企業は増加しています。

いずれは罰金の対象となることが予想され、今後の世間の動向と日本国内の法律の動きにも注目が必要です。