2022年4月に施行された「改正個人情報保護法」、そして2023年6月16日に施行された改正電気通信事業法」と、Cookie規制にまつわる法整備が進んでいます。自社ではどのような対応をすべきか、詳細を知りたい方も多いのではないでしょうか。

この記事では、企業が対応すべき「Cookie規制」について、法律の専門家の視点で解説します。法律事務所ZeLo・外国法共同事業の結城 東輝 弁護士に伺いました。

※6月16日の施行を受け、内容を更新しました

プロフィール

結城 東輝 弁護士
法律事務所ZeLo・外国法共同事業 弁護士(第二東京弁護士会所属)
2018年法律事務所ZeLo参画。2019年スマートニュース株式会社入社。複数のIT企業内で広く戦略法務に携わる傍ら、情報技術が持つ可能性や責任について研究を進めている。著書に『ルールメイキングの戦略と実務』(商事法務、2021年)など。

▼この記事が含まれる特集

【特集】マーケ担当者が知っておきたい法律知識

【特集】マーケ担当者が知っておきたい法律知識

マーケティング業務において必要な法律知識を、専門家の視点で解説します

目次

  1. これまで:Cookie情報が個人データと紐づく場合は規制対象
  2. 改正電気通信事業法では規制対象者が増える
  3. 改正電気通信事業法の施行までにやるべきこと

これまで:Cookie情報が個人データと紐づく場合は規制対象

ferret :
各法律で定められているCookie規制について、マーケティング担当者や事業者はどのような点に気を付けるべきでしょうか。

結城 弁護士:
まずは、2022年4月に施行された「改正個人情報保護法」についてお話しします。

Cookie情報は、単体では個人を特定できる個人情報ではありません。ですが、Cookie情報を特定の個人を識別する情報と紐付けて利用する場合、原則本人の同意を取ることが改正個人情報保護法で義務付けられました。

例えば、A社では誰の個人データか分からない状態」でWebサイト閲覧履歴などの情報を取得しているとします。この情報を、A社がB社に提供し、B社ではCookie・ID と紐づく氏名や住所などのデータを保有していた場合は、B社では個人を識別できるデータ」になり、規制の対象になります。

Cookie情報を「特定の個人を識別する情報」と紐付けて利用する場合

出典:個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について(個人情報関連)」(令和2年11月20日公開)

データ提供元のA社側では個人を特定できる情報ではなくても、提供先のB社側において個人データと紐づいて利用するような場合は

  • B社側は、本人の同意を取得する
  • A社側は、B社が本人同意を取得していることを確認する

義務が発生します。ちなみに、A社がB社の代理で同意を取ることも認められています。

Cookie情報のような、それ単体では個人を特定できない情報を「個人関連情報」と定義し、個人データと紐づく場合に規制の対象としたのが2022年4月施行の「改正個人情報保護法」のポイントです。

ただし、これらはCookieの一部を規制するような内容であって、本質的かつ全面的なCookie規制となるのは2023年6月に施行された改正電気通信事業法」になります。

改正電気通信事業法では規制対象者が増える

ferret :
改正電気通信事業法」では、どのようなCookie規制が行われたのでしょうか。

結城 弁護士:
電気通信事業法は守備範囲が広い法律なので、今回の改正にはCookie規制以外の事項も含まれています。ここでは、皆さんが関心があるCookie規制に絞ってお話ししますね。

電気通信事業法施行規則等の一部改正について

出典:総務省 総合通信基盤局「電気通信事業法施行規則等の一部改正について」(令和5年1月20日公開)

法律は、2023年6月16日に施行されました。これに先立つ5月18日、総務省は、具体的な対応の

利用者に関する情報の外部送信の際の措置について

外部送信規律の条文

外部送信規律の対象となるのは「電気通信事業者」又は「第三者事業を営む者」




第三者事業を営む者とは











外部送信規律の対象となる事業者がやるべきこと

容易に知り得る状態に置く方法




【特集】マーケ担当者が知っておきたい法律知識