改正個人情報保護法に関するWebサイト対応について

BLOG / 2022.03.22

2018年以降、EUをはじめとする諸外国が個人のプライバシーを守ることに力を入れています。
日本でも2022年4月より「改正個人情報保護法」が施行されますので、一度Webサイトの見直しが必要です。

具体的には下記のような情報が「個人データ」として捉えられます。

  • 会員ID
  • ユーザー名
  • Emailアドレス
  • IPアドレス
  • オンライン識別子(Cookie、IPアドレス) 等

Cookieとは、多くの場合メールフォームの入力補助などに利用される便利な機能で、それ単体では個人情報にはあたる可能性は低いと考えられます。
ただ、その他のデータと組みわせることで個人を特定できることがある、という点が問題視されているようです。

個人情報の多くがメールフォームを介して取得することが一般的には多いため「取得理由と同意」をフォーム内に盛り込むことが必要です。
取得理由等を説明する「プライバシーポリシー」ページのがない場合は作成し、既に掲載している場合も見直し(Cookieポリシーの追記等)が必要となります。

併せて、メールフォームに同意が無いと送信できないチェックボックスを、プライバシーポリシーページへのリンク付きで設置し、同意を得る必要があります。
※チェックボックスではなく、フォーム送信ページへの掲載を求められることもあります。

また、Google AnalyticsやGoogle広告等のツールを使用している場合は「Webサイトにアクセスされた時点でCookieを使用した個人情報の取得」が行われています。
これらを使用している場合は「Webサイトにアクセスされた時点から同意を得るまでは情報を取得しない」対策を行う必要があります。

現在このCookieに関する対策は取り扱いも含め世界的に手探りな状態ですが、法律が既に先行して厳格化されてきており、プライバシー保護に関する違反をした場合は高い罰金を命じる国もあります。

その為、下記2点が懸念されます。

  • Webサイトは全世界からアクセスが可能なため、ある日突然外国から訴訟を起こされる可能性がある
  • 国内に管理団体ができれば、国内団体から訴訟を起こされる可能性がある

対策として考えられるのは下記3点です。

  • Google Analytics等を使用しない
  • 同意が得られるまでは関連するプログラムの実行は一切行わない
  • Cookieを利用しない範囲でプログラムの実行を行う

ページ閲覧数の情報のみの利用であれば、Analyticsの使用を辞めるというのも1つです。

最近では「本サイトは、Cookieを使用しています。閲覧を続ける場合、Cookieの使用に同意したものとします。」といった“みなし同意”を導入しているWebサイトを見かけますが、一部の国ではこの対応に問題があるともされています。
きちんと同意が得られるまで関連するプログラムの実行を行わないようすると、Analyticsなどのデータに欠損が発生します。

Cookieを利用しない範囲でプログラムの実行を行うのが望ましいですが、Googleの公式サービスでの対応は今の所できません。
他社の「Cookie管理ツール」というサービスが展開されていますが、利用料はまだまだ高額なイメージです。

以上を踏まえると、現状での現実的な解決策は下記2点です。

  • 懸念点を許容し、「みなし同意」を導入する
  • Analyticsなどのデータに欠損が生じることを許容し、同意が得られるまでは関連するプログラムの実行を行わない
    ※どちらもWebサイト上に表示するため、Webサイトの見栄えに変更があります。

これらの対応で解決とも言い切れず、今後の動向によってまた大きく変更がある可能性があります。
Webサイトの機能面での課題よりも法律に関する側面が大きいため、プライバシーポリシーページの内容を含めて弁護士等に適宜ご相談ください。

技術者向け情報

Cookie全てがNGではなく、個人情報と結びつけて個人と特定できるCookie情報の取得が問題である、と私は把握しています。
そのため、ログインしているかどうか等でも個人情報(例えば会員IDなど)をセットで取得していなければ問題がなさそうです。

Cookieポリシーに明記するとより良いと考えます。

表記方法の参考サイト:

また、Google Analytics4(GA4)ではCookielessが進みつつあり、“同意設定”を設定できようになっています。
欠損が無いわけではありませんが、Cookieの利用をユーザーが拒否した場合でも個人を特定しないデータだけは取得できるようになっているようです。

同意設定を管理する(ウェブ)
https://developers.google.com/tag-platform/devguides/consent
※ただし実際の同意ボタンが実装されるわけでは現状(2022年1月11日)ありません。

他社Cookie管理ツールサービスを利用しない場合、最低でも下記の機能の実装が望ましいと考えます。

  1. 初めてサイトを訪問した際に通知を表示
    ・データ取得の概要文の表示
    ・詳細はプライバシーポリシーやCookieポリシーへ誘導
    ・Cookie許可ボタンの設置
  2. Cookieが許可された場合・許可の取り消しボタンの設置→対象Cookieを消去し、Googleなどへのデータ送信やCookie発行を止める
  3. Cookieが許可されなかった場合
    ・◯日〜◯ヶ月後に再表示の仕組み
  4. 会員サイトの場合
    ・別のブラウザでログインした時の2と3の対策(必要であれば

参考にしたサイト: