弁護士が解説、個人情報「不適切利用事件」の問題点は何だったのか
個人情報を「ただ厳重に守っているだけ」では、グローバルビジネスから取り残されてしまう。しかし一方で、持ち主が不利益を被るような使い方をされてはいけない。過去に起きた事件の「何がまずかったのか」を、弁護士が解説する。
本記事は2019年12月6日のBUSINESS LAWYERS掲載記事をキーマンズネット編集部が一部編集の上、転載したものです。
従来、情報は「物理的に安全な場所に、厳重に保管しておけばよい」ものだった。しかし現在、データドリブンビジネスのグローバル展開が進み、GAFAをはじめとする情報系企業の多くは、個人情報を何らかの形でビジネス活用している。
データドリブンビジネスで出遅れた形になる日本においても、個人情報のビジネス活用が模索され始めている。しかし法整備が未対応な部分を狙う方法や潜脱(せんだつ)に当たるような方法で、個人情報が持ち主に不利益となるよう使われる例が倫理的に問題視され、大きな話題となっている。その代表が、2019年に発生した「リクナビ事件」だ。
2020年に続き、2021年以降も個人情報保護法の改正や施行が予定されている。個人を示す情報を安全に守りながら有効に活用するにはどのような仕組みを整えるべきか、世界中で模索が続いている。本稿では、これまで国内外で発生した問題を振り返りながら、弁護士がそれぞれの問題点を解説する。
サマリー
- 閲覧履歴を踏まえたページの表示や広告配信に用いられるCookie
- Cookieに個人情報保護法の規制は及ぶか
Cookieは個人情報に該当するか - リクナビやフェイスブックの事例から問題点を弁護士が解説
2019年8月、就職情報サイト「リクナビ」を運営するリクルートキャリアがクライアント企業へ学生の「内定辞退率」を提供していたことが、個人データの扱いや同意の取得方法などの観点から問題視されました※1。
また同年10月には、リクルートキャリアがクライアント企業に対し、個人を識別できる電子情報(Cookie、クッキー)の取得を目的とした学生に対するウェブアンケートの実施を指南していたことが発覚、学生に対するCookieの利用目的の説明がなかったことなどが報じられています※2。
2020年には個人情報保護法の改正が予定されているところ(編集注:記事掲載時点)、改正法ではCookieに関して規制を及ぼすとの報道もなされており、また個人情報保護委員会や公正取引委員会がCookieの扱いに関する今後の対応について言及するなか、本稿ではCookieと現行の個人情報保護法との関係や、過去問題となった事例について、STORIA法律事務所 東京オフィスの杉浦 健二弁護士に伺いました。また後編では、公正取引委員会の近時の動向や、個人情報保護法の改正を見据えた今後の見通しについて解説します。
閲覧履歴を踏まえたページの表示や広告配信に用いられるCookie
―― そもそもCookieとはどのような情報を指すのでしょうか。
CookieはブラウザでWebサイトを閲覧した際に作成される、データを一時的に保管しておく仕組みを指します※3。会員制WebサイトやSNSなどで、ID・パスワードなどのログイン情報をアクセスのたびに入力することなくスムーズに閲覧できるのは、Cookieが機能しているためです。
またネットショッピングで商品をカートに入れた後で、いったんWebサイトを閉じたとしても、再度Webサイトに戻ってくれば商品がカートに入ったままの状態から再開できるのも、同じくCookieが機能しているためです。
ユーザーが訪問しているWebサイトから直接発行されるCookieはファーストパーティーCookieと呼ばれますが、その仕組みを簡潔に説明すると、以下のようになります。
- ユーザーがWebサイトAを閲覧する
- WebサイトAは、ユーザーのブラウザに対してCookieの作成を指示し、Cookieごとに割り当てられるCookieIDを送る(ブラウザごとに異なるCookieIDが発行される)
- WebサイトAでは、CookieIDとともに当該ブラウザの情報(閲覧履歴など)を保存する
- ユーザーが当該ブラウザから再度WebサイトAを訪問すると、ブラウザはCookieIDをWebサイトAのサーバに送信する。これによりWebサイトAは同じブラウザから訪問されたことを認識し、過去の閲覧履歴などを踏まえたページを表示する
Cookieは、いわば「ブラウザごとに発行される整理番号付き足あと機能」のようなものです。Webサイト側は、Cookieによりどのブラウザからアクセスされたのかを把握したうえで、過去の閲覧履歴を踏まえた適切なページを表示します。ユーザーにとっては、より便利にWebサイトを閲覧できるための仕組みであるといえます。
―― Cookieはどのような事業分野で活用が進んでいますか。
Cookieは、単にログインの手間を省くようなユーザーの利便性を高める目的のみでなく、インターネット広告配信を効率的に行うための技術(アドテクノロジー)にも活用されています。例えばWebサイト上に広告を掲出する広告事業者が、当該広告を閲覧したブラウザに対してCookieを発行し、当該事業者によるほかの広告枠の閲覧履歴などの情報を踏まえて、ブラウザを利用しているユーザーの好みや趣味嗜好(しこう)に合わせた広告を配信することが可能となります。
このようにユーザーが訪問しているWebサイト以外(広告事業者など)から発行されるCookieはサードパーティーCookieと呼ばれます。例としてサードパーティーCookieを広告配信に活用する仕組みを簡潔に説明すると、以下の流れとなります。
- ユーザーがWebサイトAを閲覧する。WebサイトAには、広告事業者が発行する広告枠が含まれているところ、広告枠に表示される内容については、広告事業者のサーバからユーザーのブラウザに送信される。その結果、ユーザーのブラウザには、WebサイトAのサーバに保存された情報(WebサイトAの固有の情報)と、広告事業者のサーバに保存された情報(広告)がそれぞれ表示される。
- 広告事業者は、ユーザーのブラウザに対してCookieの作成を指示し、CookieIDを送る(サードパーティーCookie)。これにより広告事業者は、当該ブラウザを識別できる状態になる。
- 広告事業者は、CookieIDとともに当該ブラウザの情報(閲覧履歴など)を保存する。
- 広告事業者はWebサイトAのみならず、別のWebサイトBやCにも広告枠を保有している。
- ユーザーが別のWebサイトBやCを訪問すると、ブラウザはCookieIDを広告事業者のサーバに送信することにより、広告事業者はAを閲覧したブラウザからBやCが閲覧されたことを認識でき、これらの閲覧履歴などを踏まえた広告を表示する。
サードパーティーCookieは、ユーザーが訪問したWebサイト以外(広告事業者など)により発行されるため、ユーザーとすれば自身がアクセスしたつもりのない広告事業者などからCookieIDを発行され、ブラウザを識別されることになります。
ファーストパーティーCookieではユーザーが訪問しているWebサイトの運営主体から、サードパーティーCookieではユーザーが訪問したつもりのない広告事業者などから、それぞれブラウザの閲覧履歴などを取得されることになりますので、プライバシー権などを侵害する危険が生じないかが問題となります。
Cookieに個人情報保護法の規制は及ぶか
―― 2019年12月現在、Cookieには個人情報保護法の規制は及ぶのでしょうか。
個人情報保護法における個人情報にCookieが含まれるかが問題となります。
個人情報保護法では、個人情報について、生存する個人に関する情報であって、以下のいずれかに該当するものを指すと定義しています(個人情報保護法2条1項)。
- 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの
- 個人識別符号が含まれるもの
これに対しCookie情報は「ユーザーが使用するブラウザを識別できるものにすぎず、ユーザーという特定の個人を識別できる情報ではない」こと、「個人識別符号にも該当しない」ことから、現在(2019年12月時点)の個人情報保護法においては、Cookie情報自体は個人情報には該当しないとされています。
もっとも、特定の個人を識別することができる情報には「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」と定められているため(個人情報保護法2条1項1号)、例えばWebサイト事業者が、Cookie情報をユーザー個人の氏名などと合わせて管理している場合は、Cookie情報を含む全体の情報が個人情報に該当することとなります。
例として図1におけるWebサイトAがユーザーの氏名などの個人情報を保有しており、これらの個人情報とブラウザごとのCookie情報をひもづけて管理している場合は、Cookie情報を含む全体が個人情報となります。この場合、WebサイトAの運営会社は、Cookie情報の利用目的をできる限り特定し(個人情報保護法15条1項)、取得にあたっては利用目的を本人に通知公表などを行ったうえで(個人情報保護法18条1項)、利用目的の達成に必要な範囲内でのみCookie情報を利用できることになります(個人情報保護法16条1項)。
―― これまでCookieの取得・利用に関して問題視された事例にはどのようなものがありますか。
先ほど触れたように、Cookie情報はユーザーが使用するブラウザを認識するもので、ユーザー個人そのものを特定できるわけではありません。そのため、より精度の高い広告配信などのターゲティングを行おうとする場合、Cookie情報を特定の個人を識別できる情報とひもづけることが考えられます。
就活サイト「リクナビ」を運営するリクルートキャリアが学生の内定辞退率をクライアント企業に販売していた問題※4で、報道によれば、リクルートキャリアはクライアント企業に対して、学生からCookie情報を取得するためのウェブアンケートを実施するよう指南していたとのことです※5。この場合、ウェブアンケートにおけるCookie情報の取得に際して、その利用目的が適切に通知または公表がされていなければ、クライアント企業は個人情報保護法に違反するおそれがあるといえます(個人情報保護法15条1項、16条1項、18条1項)。
なお2019年8月26日、個人情報保護委員会はリクルートキャリアに対して勧告および指導を行っていますが、勧告および指導の原因となった事実は、リクルートキャリアがクライアント企業から個人を特定できる学生の氏名などの情報の開示を受けていた2019年3月以降のサービス提供スキームに関してであり、2019年2月以前のスキームについては勧告および指導の対象とされませんでした※6。
リクルートキャリアのプレスリリース※7によれば、2019年2月以前のスキームは、リクルートキャリアでは個人が特定できないCookie情報や企業特有のIDを、クライアント企業がリクルートキャリアに対して提供し、リクルートキャリアにおいてリクルートキャリア側が保有するCookie情報と突合したうえで内定辞退率スコアを算出し、クライアント企業に納品していたとのことでした。
しかしクライアント企業において、ウェブアンケートによりCookie情報と学生個人の情報をひもづけて管理していた場合、Cookie情報は個人を識別できる情報となるため、たとえ提供先であるリクルートキャリア内で個人が特定できなかったとしても、クライアント企業からリクルートキャリアへCookie情報を提供するにあたっては、個人データの第三者提供(個人情報保護法23条)の適法性が問題となります。
またリクルートキャリアからクライアント企業に対して内定辞退率スコアを提供する場合、2019年2月以前のスキームでは、確かにリクルートキャリアにおいてはCookie情報や内定辞退率スコアから特定の個人を識別することはできないかもしれません。しかし提供先であるクライアント企業においては、リクルートキャリアから提供された内定辞退率スコアと特定の学生の情報を照合し、個人を識別することが予定されていました。
このように、提供元(リクルートキャリア)において個人を識別することができないCookie情報などであっても、提供先(クライアント企業)において特定の個人を識別できることを認識したうえで提供する場合は、個人データの第三者提供にあたるものとして整理するべきではないかとの問題は以前から指摘がされてきましたが※8、この問題について、これまで個人情報保護法や同法に関するガイドラインでは明確にされていませんでした。
この問題について、個人情報保護委員会は2019年11月29日で公表した「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱(骨子)※9」において、「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する」旨を明記しました。この「制度改正大綱(骨子)」については、後編「個人情報保護法改正、公取委の規制を見据えたCookie(クッキー)情報取扱いのポイント」であらためて触れます。
注記:
※2019年12月4日、個人情報保護委員会はリクルートキャリアに対し、『リクナビDMPフォロー』における2019年2月以前のスキームについても「内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱(せんだつ)した極めて不適切なサービスを行っていた。」として、個人情報保護法42条1項に基づく勧告を行うに至りました(個人情報保護委員会「個人情報の保護に関する法律に基づく行政上の対応について」(2019年12月4日、2019年12月5日最終閲覧))。
この勧告内容は、「制度改正大綱(骨子)」において「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する」旨を明記したことと関連するものと考えられます。
次の事例としては、個人情報保護委員会が2018年に行政指導を行ったFacebookの「『いいね!』ボタン」問題が挙げられます※10。
「『いいね!』ボタン」は、Facebook以外のWebサイトやブログ上で設置できるソーシャルプラグインとして、多くの公的機関や企業Webサイトなどで設置されているものです。「『いいね!』ボタン」はその形状からして、ボタンをクリックした際にユーザーの閲覧履歴などの情報がFacebookに送信されることを想像させますが、実際はボタンクリックの有無に関係なく「『いいね!』ボタン」が設置されたWebサイトを閲覧した段階でFacebook側にブラウザの閲覧履歴などが送信されるものでした。これはいわばサードパーティーCookieと同様の仕組みです。
先に言及したとおり、ブラウザの閲覧履歴自体は個人情報には該当しません。しかしここで問題なのは、実名登録が原則のFacebookは登録会員情報を保有しており、ブラウザの閲覧履歴(Cookie情報)と自社が有する登録会員情報とを照合できてしまうため、「『いいね!』ボタン」から取得されるCookie情報は、Facebookにおいては特定の個人を識別できる情報となってしまい得る点です。Facebookは「データに関するポリシー」において、外部サイトに設置された「『いいね!』ボタン」から閲覧履歴を取得する点について記載をしていますが※11、Facebookが個人を特定できる状態でWebサイト閲覧者から閲覧履歴を取得していた点について、十分な説明がなされていたかどうかという問題が指摘できます※12。
編集部注
※1:就活生の「辞退予測」情報、説明なく提供 リクナビ(日本経済新聞|2019年8月1日、2019年11月27日最終閲覧)
※2:リクナビ 企業に学生へのアンケートを指南 識別情報を入手(NHK NEWS WEB|2019年10月29日、2019年12月4日最終閲覧)
※3:アドテクノロジーの教科書 デジタルマーケティング実践指南(広瀬信輔、翔泳社 2016年 260頁参照)
※4:杉浦 健二「リクナビによる『内定辞退率』データ提供の問題点はどこにあったか 法的観点から弁護士が解説」(BUSINESS LAWYERS、2019年8月15日)
※5:リクナビ 企業に学生へのアンケートを指南 識別情報を入手(NHK NEWS WEB|2019年10月29日、2019年12月4日最終閲覧)
※6:個人情報保護委員会は2019年3月以降のスキームについてのみ勧告および指導の対象としたのに対し、厚生労働省は2019年2月以前のスキームについても行政指導の対象としたと報道されている。「厚労省、個人情報活用に厳格判断 リクナビに行政指導」(日本経済新聞|2019年9月6日、2019年12月4日最終閲覧)
※7:『リクナビDMPフォロー』に係る当社に対する勧告等について(株式会社リクルートキャリア|2019年8月26日、2019年12月5日最終閲覧)
※8:園部 逸夫・藤原 靜雄 編、個人情報保護法制研究会 著「個人情報保護法の解説 第二次改訂版」62頁において「事業者又は内部組織の間で組織的・経常的に相互に情報交換が行われている場合は、『容易に照合することができ』る場合に当たると考えられる」との記載がある。ほか、高木 浩光「個人データ保護とは何だったのか」(「世界」2019年11月号54頁以下)、脚注12の論稿など。
※9:『個人情報保護法 いわゆる3年ごと見直し 制度改正大綱(骨子)』の公表について(個人情報保護委員会|2019年11月29日)
※10:個人情報保護委員会「個人情報の保護に関する法律に基づく指導について」(平成30年10月22日)。ボタンを押さなくともユーザーID、アクセスしているサイト等の情報が自動で送信されていた点について、ユーザーへの分かりやすい説明の徹底、本人の同意の取得、本人からの削除要求への適切な対応等を行うよう行政指導がなされた。
※11:フェイスブック「データに関するポリシー」(令和元年11月26日最終閲覧)、 本件に関するフェイスブックのヘルプページ(令和元年11月26日最終閲覧)
※12:本件に関する論稿として、若江雅子・森亮二・吉井英樹「オンライン広告におけるトラッキングの現状とその法的考察」(総務省学術雑誌「情報通信政策研究』第2巻第2号、平成31年2月15日)
本記事は2019年12月6日のBUSINESS LAWYERS「Cookieは個人情報に該当するか - リクナビやFacebookの事例から問題点を弁護士が解説」をキーマンズネット編集部が一部編集の上、転載したものです。
© BUSINESS LAWYERS