【個人情報保護法】　クッキーにも規制導入へ／大手ＩＴ企業にとっても痛手に

　個人情報保護委員会は１１月２９日、個人情報保護法の制度改正大綱の骨子案を発表した。骨子案では、クッキー情報のような「個人データ（※参照）に該当しない情報」も、ＥＣサイトの会員情報などの個人情報とひもづけて活用する場合は、規制する方針を示している。大手就活サイト「リクナビ」が就活生の内定辞退予測情報を販売していた問題などを踏まえた施策とみられる。今回の規制強化は、クッキー情報を自社の保有する個人情報に結び付け、マーケティングに活用しようとしていた、大手ＩＴ企業などにとっても痛手となりそうだ。

■「リクナビ」事案を背景に

　改正個人情報保護法の骨子案の、「提供先において個人データとなる場合の規律の明確化」という項目では、個人に関する情報について、「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する」方針を示している。
　個人情報保護委員会は「提供元では個人データに該当しないもの」がどんな情報かは明らかにしていない。ただ、個人情報保護法に詳しい弁護士や複数のシステム提供会社の話を総合すると、「クッキー情報を想定している」ということで間違いないようだ。
　デジタル・プラットフォーマーのような、多くのユーザーの登録情報を保有する企業が、別の会社が提供するクッキー情報と登録情報をひもづけて利用するケースなどが、規制の対象になりそうだという。一方で、クッキー情報だけを企業間でやり取りするようなケースで、情報を結びつけても個人の特定には至らない場合には、規制の対象にならないとみられている。
　「提供元では個人データに該当しないもの」についての規定を骨子案に盛り込んだ背景には、８月ごろに発覚した、「リクナビ」の個人情報の取り扱いの問題があるようだ。個人情報保護委員会は８月、リクルートと、「リクナビ」を運営しているリクルートキャリアに対して指導・勧告を行っている。リクルートキャリアのケースでは、学生の同意を得ないまま履歴書情報とウェブアクセス履歴を突き合わせ、機械学習技術を用いて「内定辞退率」を予測。「リクナビＤＭＰフォロー」というサービス名で企業３４社に販売していた。
　クッキー情報を使ったＥＣ向けシステム提供を行うある会社の担当者は、「『リクナビ』の事例のように、ウェブのアクセス情報（クッキー情報）と、『個人情報』である会員登録情報を結び付けることを防ぐのが改正の狙いではないか」と話す。
　個人情報保護委員会も、「提供元では個人データに該当しないもの」について、「ＥＣモールのような会員登録サイトで使用する、ＩＤやパスワードも対象になる可能性がある」（事務局）と話している。


■ペナルティーの強化も

　骨子案では、個人情報漏えいなどに関するペナルティーを、必要に応じて強化する方針も示している。個人情報保護委員会は１２月３日時点で、現行法のペナルティーをどこまで強化するかについては明らかにしていない。
　現行法では、個人情報保護を怠って情報が漏えいした場合、個人情報保護委員会が指導・勧告や改善命令を行うと定めている。改善命令に従わない場合に初めて、６カ月以下の懲役または３０万円以下の罰金が課される。
　骨子案では「法人処罰規定に係る重課の導入」も含め、法定刑の見直しを必要に応じて行う方針を示している。
　法人である企業には懲役刑は適用されない。「現状では有識者の間で『罰金では不十分だ』という声もある。違反企業に対する課徴金制度を導入するという議論が再燃するのではないか」（池田弁護士）と話している。
　骨子案については１９年中に、パブリックコメントを行った上で、取りまとめるとしている。２０年の通常国会に、改正法案を提出する予定だとしている。



　※個人データとは…個人情報保護法が規定する、「本人の氏名」「生年月日」「連絡先」「メールアドレス」や、マイナンバーなどの「個人識別符号」などの、個人が特定できる「個人情報」が、外部記録媒体に保存されたり、紙面に帳票として印字されたりした状態の情報を指す。現行制度では、クッキー情報は「個人情報」にも「個人データ」にも当たらない。