個人情報法務

プライバシーポリシーの作り方|Cookie条項

今回は、プライバシーポリシーの作り方ということで、Cookie条項について見てみたいと思います。

ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。

メモ

 このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
 ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。

Cookie条項の法的意味

Cookie条項というのは、Cookie等の取扱いについて触れている条項のことです(一般的な言い方があるわけではないですが、本記事では便宜上こう呼ぶことにします)。

Cookie条項は、記載内容に応じていくつかの法的意味がありえ、

  • 任意的な記載である場合
  • 契約上の義務である場合
  • 法律上の義務である場合

が考えられます。

なお、Cookie等の取扱いに関する内容は、ひとつの条項にまとめないといけないということはなく、また、プラポリ以外の何かで書いてももちろん問題ありません(記載の仕方に限定はない)。

本記事の「Cookie条項」というのは、仮にプラポリでCookie条項としてまとめて書くとしたら、という話になります。

以下、法的意味ごとに、Cookie条項の記載項目として考えられるものを見てみます。

Cookie条項の記載内容

任意の説明

Cookie条項では、Cookie等を使用していることについて記載し、併せて、そもそもCookieとは何であるのかとか、その仕組みについて、一般的な説明がなされているものがあります。

これは、従来、Cookie等に関しては、直接に取り扱った法律がなかったため、利用者に対する社会的責任(法令の規制がないところでどのように行動するかという信頼性の問題)として、任意に記載がなされていたものです。

ただ、後述のように、電気通信事業法による外部送信規律ができたため(2023年6月16日施行)、外部送信規律に必要な部分は、任意的記載ではなく、法的義務ということになります。

これに対し、例えば、Cookie等に含まれる情報のうちサービス提供にあたって必要な情報は外部送信規律の適用除外とされているので(電気通信事業法27条の12但書第1号)、こういった情報についてもなお説明している部分は、任意の説明ということになります。

契約上の義務(利用規約上の義務)

また、アクセス解析サービスなどの利用規約において、Cookie等の使用などについて開示が義務づけされているケースがあります。

これは、法的性質としては、契約上の義務になります。法律上の義務ではないですが、かといって、任意の記載というわけでもないです。契約上の義務の履行ということになります。

例えば、Googleアナリティクス利用規約には、

「…お客様はプライバシーポリシーを公開し、Cookie、モバイルデバイスの識別子(例: Androidの広告ID、iOSの広告ID)、またはデータの収集に使われる類似技術の使用について、そのプライバシーポリシーで通知する必要があります。また、Googleアナリティクスの使用と、Googleアナリティクスでデータが収集および処理される仕組みについても開示する必要があります。こうした情報は、「Googleのサービスを使用するサイトやアプリから収集した情報のGoogleによる使用」のサイト(www.google.com/policies/privacy/partners/や、Googleが随時提供するその他のURL)へのリンクを目立つように表示することで開示できます。…」

引用元:https://marketingplatform.google.com/about/analytics/terms/jp/

といった記載があり(本記事公開日2023/11/15時点)、Googleアナリティクスの利用者は、Cookie等の使用などについて開示する必要があります。

ただ、これも、後述のように、電気通信事業法による外部送信規律ができたため、これに必要な部分は、利用規約上の義務のみならず、法的義務でもあるということになります。

書き方としても、外部送信規律に対応するための公表と重なる部分が多いため、何らかの形で、外部送信規律への対応の方でまとめて整理して記載しているケースが多いように思います。

法律上の義務

電気通信事業法上の義務:外部送信規律

インターネットサービスの発達に伴って、このCookie等の技術により、ウェブサイトやアプリケーションを利用する際、利用者自身が認識していないうちに、利用者の端末から第三者に利用者の情報が送信されている場合があります(「外部送信」と呼ばれる)。

そこで、透明性を高めるとともに、利用者が安心してサービスを利用できるようにするために、電気通信事業を営む者のうち一定の事業者は、利用者の端末に外部送信を指示するプログラムを送る際は、あらかじめ、送信される情報の内容を通知・公表するなどして、利用者に確認の機会を与えなければならない、という規制が設けられました。

これが外部送信規律であり、根拠条文は電気通信事業法27条の12になります。

確認の機会の付与の方法としては、

  • 通知または利用者が容易に知り得る状態に置く(いわゆる公表)
  • 同意取得
  • オプトアウト措置の提供

のいずれかを行う必要があります。

この①による対応を、Cookie条項への記載として行うことが考えられます。

ただ、一定規模以上の企業になると、外部送信規律の公表事項として記載する内容がそれなりの量になるため、外部送信規律への対応ページとして、プラポリとは別立てにしているケースが多いように思います。

個人情報保護法上の義務:個人関連情報の第三者提供に関する本人同意の取得

個人に関連する情報のうち個人を特定できないものは、個人情報保護法上は「個人関連情報」と定義されていて(法2条7項)、Cookie等の識別子はこれにあたります。

 この法律において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。

個人関連情報に関する義務は、法31条(個人関連情報の第三者提供の制限等)に定められていますが、その中心は、提供先で個人識別性を獲得することが想定される提供行為については、本人の同意が得られているかどうかの確認を要する、というものになります。
(ex.提供先が、ID等を介して自己が保有する他の個人データに付加することが想定されるケース)

この本人同意は、必ずしも第三者提供のたびに取得しなければならないものではなく、本人が予測できる範囲において包括的に同意を取得することも可能であるとされています(通則ガイドライン3-7-2-1)。

そのため、第三者提供の内容(Cookie等の情報が個人データとして取得されること)をプラポリに記載しておき、プラポリに同意をもらうことによって、この本人同意を取得する、という使い方があり得ます。

この場合、Cookie条項に第三者提供の内容を記載することが考えられます。

同意取得の方法

 この場合の同意取得の方法として、ウェブサイト上で同意を取得する場合は、単にウェブサイト上に本人に示すべき事項を記載するのみでは足りず、それらの事項を示した上でウェブサイト上のボタンのクリックを求める方法等によらなければならないとされていますので(通則ガイドライン3-7-2-3)、この点に留意する必要があります。

提供先で同意を取得する場合

本人の同意を取得する主体は、基本的には・・・・・、本人と接点を持ち、情報の利用主体となる提供先になります。提供元は、個人関連情報によって本人を識別できず、本人の同意を得る主体となり得ないはずだからです。

条文も確認してみます(個人情報保護法31条1項)。1号は国内も国外も共通のルール、2号は国外の場合のみプラスされるルールとなっています。

(個人関連情報の第三者提供の制限等)
第三十一条
 個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)を個人データとして取得することが想定されるときは、第二十七条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない
 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること
 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること

提供先は、本人に対して、対象となる個人関連情報を特定できるように示した上で、同意を取得しなければなりません。

また、個人データとして取得した後の利用目的についても、通常どおり通知・公表義務(法21条)がありますが、同意を取得する際に同時に利用目的についても本人に示すことが望ましいとされています(通則ガイドライン3-7-2-2-⑴)。

提供元で同意取得を代行する場合

以上のやり方のほか、提供先で同意を取得する場合と同等の本人の権利利益の保護が図られることを前提に、同意取得を提供元が代行することも認められています(同意取得の代行。通則ガイドライン3-7-2-2)。

同意取得の代行の場合、本人は利用主体である提供先を認識できないことから、提供元において、個人関連情報の提供を受けて個人データとして取得する提供先の第三者を個別に明示し、また、対象となる個人関連情報を特定できるように示さなければならない、とされています(通則ガイドライン3-7-2-2-⑵)。

同意取得の代行がどういうものなのかイメージしにくいですが、提供元としては、個人関連情報の取得時に、本人を識別しないままに・・・・・・・・・・・、(第三者提供することに加えて、提供先では個人データとして取得されることについての)同意を取得しておく、というやり方が典型的には想定されます。

その際は、提供先の第三者を個別に明示し、また、提供の対象となる個人関連情報の内容を特定できるようにしておかなければならない、ということです。

結び

今回は、プライバシーポリシーの作り方ということで、Cookie条項について見てみました。

なお、個人関連情報の第三者提供については、外国にある第三者への提供の場合、同意取得時の参考情報の提供が行われていることの確認が併せて求められますが(個人情報保護法31条1項2号)、本記事ではその部分は割愛しています。

[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。

プライバシーポリシーの作り方に関するその他の記事

個人情報法務

2023/10/24

プライバシーポリシー|利用目的条項

個人情報法務

2023/10/30

プライバシーポリシー|共同利用条項

個人情報法務

2023/10/19

プライバシーポリシー|法的意味

個人情報法務

2023/10/20

プライバシーポリシー|前文

個人情報法務

2023/11/15

プライバシーポリシーの作り方|Cookie条項

参考文献・主要法令等

主要法令等

リンクをクリックすると、e-Gov又は個人情報保護委員会HPの掲載ページに遷移します
  • 個人情報保護法(「個人情報の保護に関する法律」)
  • 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
  • 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
  • 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
  • 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
  • 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
  • ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
  • 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
【特定分野ガイドライン】

-個人情報法務
-