2020.2.13技術ブログ

“Cookie”の取扱い ~利用者のための“個人情報利用”

2019年11月、内閣府の外局である個人情報保護委員会は2020年の個人情報保護法の次期改正に向け“Cookie”などの利用について新たな規律を検討すると公表した。
近年のデジタルマーケティングでは、多面的かつ膨大なデータを適切に分析し、利用者(エンドユーザー)の利益に資する情報を最適なタイミングで提供することでビジネスにつなげる活動がますます重要になっている。
利用者の利便性向上、ビジネス活動の高度化のいずれの面でも「データ活用」の流れは止まらない一方で、個人情報保護に配慮しつつ、活用の流れを加速するにはいかに「利用者のためになるか」を追求することが鍵になるだろう。

従来から多くの企業が、自社の既存顧客や見込み顧客の行動を把握し『よりタイミングよく接触したい』、『よりニーズのある商品をピンポイントで紹介したい』と考えてきました。
顧客行動の把握の手段としては、自社の既存顧客や見込み顧客が自社のウェブサイト等のいわゆるオウンドメディア以外で、どのような振る舞い(検索、閲覧、購買など)をしているかを把握することがあげられます。”Cookie”の活用はこの顧客行動の把握の手段の一つとして活用されてきました。
具体的には、オウンドサイトを訪れた際の”Cookie”と外部Webサイトを閲覧する際の”Cookie”を紐づけることにより、顧客がどのようなWeb行動を行っているかを検知するという仕組みです(図1)

図1:”Cookie”を利用した顧客の明確化

図1:“Cookie”を利用した顧客の明確化

“Cookie”の取扱いの現状

1.制度からみた”Cookie”

2017年に全面施行された「改正個人情報保護法」では、”Cookie”そのものは「個人情報」とはみなされていません。したがって、現在は、”Cookie”は本人への説明や同意手続きがなくても、多くの企業が共有・利用ができる状態にあります。

他方、EUの一般データ保護規則(GDPR)では”Cookie”も「個人情報」として扱われるようになり、Cookieの収集や第三者提供には、本人の明確な同意が必要となっています。

日本でも、2020年の法改正に向けて、2019年11月29日に個人情報保護委員会から「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱(骨子)」(以下、骨子)が公表されました。骨子を読む限りでは、「利用停止権(個人が望まないデータ活用の停止を要請できる権利)」の導入や、”Cookie”を活用することを目的に取得する行為について本人同意を義務付ける事などが議論される可能性が高いといえます。
もちろん、日本企業でも、EU圏に商品やサービスを提供している企業はGDPRに対応する必要があります。そのため、対応済みの企業や、今後のリスクを鑑みて”Cookie”自体も個人情報と同等に取り扱うよう留意している企業も多いとみられます。

2.利用者の心情からみた”Cookie”

利用者側はどう感じているでしょうか。様々な機関が調査を行っており(※)、その割合は調査によって異なりますが、確かなのは、不快感を持っている人が一定数いることです。筆者自身もその一人ですが、その内訳をみるとおおむね以下のケースがあるようです。

  • 自分の手の届かないところで勝手に情報を使われること
  • 明確な同意を得た記憶がないこと
  • 同意しないとサイトの先にアクセス出来ないため、仕方なく同意していること

一方で、適切なタイミングで情報を提示してくれるわけですから、むしろ便利だと好感を持っている人もいます。
また、そもそもどう利用されているのか意識していないという人も多いでしょう。

利用者の目線で考えた場合、私個人としては「同意が適切に取られているか否か」よりもより直接的に「同意したものがどう使われているのか」に関心が湧きます。
とにかく同意してください、と言われるよりも、Cookie利用を認めると、どのような利益を享受できるのかを明らかにしてもらえた方がよほどすっきりすると思います。

今後どのように取り扱われるべきか

いま、利用者の意思で個人情報を預託し、活用する「情報銀行」という考えが注目を集めています。銀行にお金を預けると、銀行がお金を必要とする人に融資し活用してもらうのと同様、個人情報を信用できる機関に預け、必要とする人に、適切な形で渡し、活用してもらおうという仕組みです。

この仕組みが注目される背景は、個人情報を保護するセキュリティと、利用者が自らの意思で自身の個人情報を提供し自身が望む便益を享受出来る仕組みの両面があります。
たとえば、本人の意思で、検診データを預け入れし、病院が活用することで、早期の医療指導を可能にしたり、行政などに、災害時に自分に適した避難ルートを提供してもらったり、利用者が「明らかな便益を得る」ことであれば、個人情報を利用されることに対する嫌悪感も減るでしょう。
いかに利用者に便益を与えることが出来るかという視点は、マーケティングにおいても、データ活用の鍵となります。

重要性を増すデータマネジメント

個人情報保護委員会から公表された「骨子」では、保有個人データに関する本人の関与を強化する観点から、取得時の同意だけでなく、保有個人データの利用停止等の請求、いわゆる「忘れられる権利」にも触れられています。
利用者の「忘れられる権利」を守るためには、どこにデータがあるのか、データの所在も管理する必要があります。そのため、取得から利用停止までサイクル全体におけるデータマネジメントが求められます。
特に情報システムが多数存在している業種、例えば金融機関などでは、同様のデータが様々なシステムに格納され、活用されています。

従来の個人情報から、Cookie等の範囲の拡大に加え、取得時の同意取得や、利用範囲の制限、利用停止対応など、データ所在を正確に把握するデータマネジメントの重要性はますます高まるものと考えています。

こうしたデータマネジメントの重要性が増す中で、NTTデータでは、ユーザが自らの意志で自身の個人情報を提供し必要に応じて適切な提案やサービスの提供が受けられるパーソナルデータ流通プラットフォームサービスの実証実験を行い、実用化を目指しています。

一例として、MarkeZine「約8割が「Web閲覧履歴をもとにした広告配信」を認識/うち半数が不快に【ジャストシステム調査】」2018/12/13
ITmedia マーケティング「「企業のマーケティングのために個人情報を参照されたくない」人は53.5%――アドビと電通デジタルが調査」2019/7/29

お問い合わせ