【2023年6月施行】Cookie規制とは？改正電気通信事業法が与える影響

6月16日からの改正電気通信事業法により個人情報の外部送信を行う場合には対応が必要に

2023年6月16日に「改正電気通信事業法」が施行されました。

日本では2022年4月に「改正個人保護法」も施行されており、近年Cookieの利用に対する法律での規制が進められています。

では今回の改正において、企業側は具体的にどのような対応をしたらいいのでしょうか。

本記事では、Cookieの基礎知識から今回の改正内容やCookie規制に対して企業が取るべき措置を解説します。

昨今、情報漏洩は企業にとって大きなリスクとなり、個人情報の取り扱いについては慎重に検討しなければいけない課題となっております。

ただ、起業間もない会社ではその整備にかけられる時間は限られています。

そんな会社向けに、最低限カバーしておくべき「個人事業法保護対策セット」をプレゼントといたします。

従業員、取引先向けの秘密保持に関する誓約書やNDA（秘密保持契約書）のひな形、従業員の研修に使えるチェックシートになっています。無料でご利用できますので、ぜひご活用ください。

※この記事を書いている「創業手帳」ではさらに充実した情報を分厚い「創業手帳・印刷版」でも解説しています。無料でもらえるので取り寄せしてみてください

そもそもCookieとは？2種類のCookieが存在

Cookieとは、Webブラウザ上で訪れたWebサイトで、ユーザーが行った行動や入力したデータなどを一時的に保管しておく仕組みです。

Cookieはユーザー側・サイト側の両方にメリットがあります。

ユーザー側のメリットとしては、「ログインの手間が省ける」「ECサイトでカート上に商品が残る」などが挙げられます。

一方サイト側のメリットとしては、「ユーザー行動を分析できる」「広告のリターゲティングができる」などが挙げられるでしょう。

そんなCookieには、「ファーストパーティーCookie」・「サードパーティーCookie」の2種類が存在します。

Cookieの種類	ファーストパーティーCookie	サードパーティーCookie
Cookieの発行元	訪問したサイトのドメイン	訪問したサイト以外のドメイン
主要な用途	・ユーザー行動を追跡 ・ログイン情報の保存 ・カート情報の保存	・リターゲティング広告 ・サイトを横断したユーザー行動を追跡
メリット	・利便性の向上	・質の高いマーケティングが可能になる ・自分の興味関心に合わせた広告が取得できる
デメリット	・サイト運営者に個人情報が保持される	・自分の知らないところで第三者に個人情報などを取得されてしまう

端的に表すと、ファーストパーティーCookieはユーザーの利便性を高めるために、サードパーティーCookieは企業の営利目的に用いられることが多いです。

Cookie規制が世界的に進められている背景

CookieはユーザーがWebサイトを閲覧する際の利便性を高めるというメリットもありますが、個人情報が勝手に取得されてしまうなどのデメリットが問題視されています。

とくにサードパーティーCookieは、個人情報保護やプライバシーの観点から、疑問視する声が多いです。

このような理由からCookie規制は世界的に進められており、法律だけでなくブラウザ側での規制も進められています。

実際に、Apple社は「Safari」にトラッキング防止機能（ITP）を2017年から実装しており、これまでに複数回のバージョンアップを行ってきました。

現在ではサードパーティーCookieは完全にブロックされている状態で、ファーストパーティーCookieも最大7日で削除されるようになっています。

また、Google社は「Chrome」において、2024年の後半からサードパーティーCookieを段階的に廃止することを発表しています。

法律での規制では、EUにおいて一般データ保護規則（GDPR）が2018年の5月に施行され、ユーザーに対してCookieを受け入れるか事前に同意を取得する「オプトイン」を義務化しています。

また、アメリカのカリフォルニア州では、カリフォルニア州消費者プライバシー法（CCPA）において、ユーザーがCookieデータの利用を停止できる「オプトアウト」を義務化、またオプトアウトを選べるバナー等の設置も義務化されています。

日本におけるCookie規制：改正個人情報保護法

世界的なCookie規制の動きに伴い、日本においても個人情報保護の観点から法律の改正が行われています。

2022年4月に施行された「改正個人情報保護法」では、特定の個人を識別する情報と紐付けてCookieで取得した情報を使用する場合には、本人の同意を取ることが義務付けられました。

基本的にCookie情報はそれ単体では個人を識別することはできなく、このような情報を「個人関連情報」と呼びます。（改正個人情報保護法によって定義）

しかし、複数の事業者が持つ個人関連情報を統合することで個人を識別するデータ（個人情報）となり得る可能性があるのです。

たとえば、A社がB社にCookie情報を提供した場合に、B者が保有している情報とA社から提供されたCookie情報を統合すると「個人を識別できるデータ」となる可能性があります。

今までの法律では、A社が提供している情報は個人が特定できない「個人関連情報」であるため、情報の提供に制限はありませんでした。

しかし、個人情報保護の観点から不適切であると判断され、個人情報と紐づく場合には本人の同意を得ることが義務化されたのです。

＜改正個人情報保護法における同意義務の一例＞

• 個人情報として利用するB社：本人に同意を得る
• 個人関連情報を提供するA社：B社が本人同意を得ている事を確認する
  または、B社に代わり本人に同意を得る

改正電気通信事業法によるCookie規制の内容

改正個人情報保護法に続き、2023年の6月16日から「改正電気通信事業法」が施行されCookie規制が進められました。

改正電気通信事業法はカバー範囲の広い改正ですが、そのなかでもCookie規制がどのような内容になっているのか解説します。

今回の改正では「外部送信規律」というものが導入され、この外部送信規律がCookie規制にあたります。

外部送信とは「ユーザーの個人関連情報をユーザーの端末以外のサーバーに送信すること」を指しており、この部分に対してルールが設けられました。

規制対象

画像引用：総務省 総合通信基盤局「電気通信事業 参入マニュアル （ 追補版 ）ガイドブック」（令和5年1月30日改定）P11

今回の改正によって規制対象となったのは「電気通信事業者」・「第三事業を営む者」です。

私たちはこの「第三事業を営む者」に分類される可能性が高いでしょう。

では第三事業を営む者とはどのような人たちなのでしょうか。

＜第三事業を営む者の例＞

• SNS
• オンライン検索サービス
• オンラインショッピングモール/オンラインオークション
• 各種情報のオンライン提供　など

このなかでもとくに、各種情報のオンライン提供は範囲が広いため注意が必要です。

オンラインで情報を提供している媒体は数多くありますが、「第三者事業を営む者」の判断ポイントは「他人のために情報を発信しているか」という点にあります。

たとえば下記のような媒体は、第三者事業を営む者にあたります。

• ニュースサイト
• 天気情報サイト
• オンラインショッピングモール
• オウンドメディア　など

ニュースサイトや天気情報サイトなどは、閲覧するユーザーのために情報を発信しているため判断が容易ですが、注意したいのはオウンドメディアでしょう。

オウンドメディアの形態にもよりますが、ほとんどの場合ユーザー（他人）の需要に応じる形で集客を目的に運営している媒体になるため、第三者事業を営む者にあたる可能性が高いです。

一方、企業のホームページや個人ブログなどは、他人のためではなく自分のために情報を発信している媒体になるため、第三者事業を営む者にはあたりません。

規制対象の行為

改正電気通信事業者法では、前述のように「ユーザーの個人関連情報をユーザーの端末以外のサーバーに送信すること」が規制対象となります。

ただし、すべての情報が規制対象となるわけではなく、オンラインサービスを提供するうえで「真に必要な情報」は規制の対象外とされています。

そのため、ファーストパーティーCookieは原則として規制対象外となっています。

＜規制対象外の例＞

• ログイン情報の保存
• カート情報の保存
• セキュリティ保護　など

しかし、ファーストパーティーCookieのなかにも、規制対象となるものがありますので注意が必要です。

たとえば、Google Analyticsによるサイトの分析などはオンラインサービスを運営するうえで必須ではないため、規制の対象となります。

つまり、マーケティングや広告など営利目的とするCookieの使用はすべて規制の対象となると判断していいでしょう。

規制対象の事業者に発生する義務

規制対象の事業者にあたる場合には、下記3つのうちいずれかの対応義務が発生します。

• 通知・公表
• 事前同意取得：オプトイン
• オプトアウト機会の提供

一番簡単な方法としては通知・公表ですが、Webサイトのどこにでも配置していいというわけではありません。

ファーストビューで確認ができるフッターなどが最適ですが、最低でもユーザーが1つの動作で辿り着けるページに配置しましょう。

創業手帳では、上記画像の位置において表示を設定しています。

なお、どの対応を取る場合でも以下の情報をユーザー側に提供する義務があります。

• 送信される利用者情報の内容
• 送信先の氏名・名称
• Cookie情報の利用目的

Cookie規制がもたらす企業への影響

今回の改正電気通信事業法をはじめとした、Cookie規制は企業にどのような影響をもたらすのでしょうか。

＜Cookie規制によってもたらされる影響＞

• リターゲティング広告が利用できない
• 広告の効果測定が不正確になる
• サイトにおけるコンバージョン計測が不正確になる

一番の影響とされているのが、広告の配信におけるリターゲティング広告への影響です。

リターゲティング広告とはWeb広告の一種で、一度Webサイトに訪れたことがあるユーザーに限定して配信される広告です。

リターゲティング広告は、複数のサイトを横断して利用できるサードパーティーCookieを用いています。

そのため、Cookie規制が進みサードパーティーCookieが使用できなくなると、広告のターゲティングの質が落ちる、そもそもリターゲティングができなくなります。

前述のようにSafariではすでにサードパーティーCookieがブロックされるため、リターゲティング広告は制限されています。

また、日本での利用者が多いChromeにおいても、2024年後半を目処に廃止が発表されているため、本格的にリターゲティング広告が機能しなくなるでしょう。

現在、リターゲティング広告が収益基盤を支える手段となっている企業には、大きな影響が出ることが予想できます。

2023年6月のCookie規制によって今後企業が取るべき対応

今回の規制に対して今後企業が取るべき対応は大きく分けて2つあります。

• Cookieポリシー・オプトイン・オプトアウトなどの設置
• サードパーティーCookieからの脱却

まずは対応義務となっている、通知公表・オプトイン・オプトアウトの設置のいずれかの対策を行いましょう。

通知公表の場合には、Cookieポリシーを設置する対応を、オプトイン・オプトアウトの設置の場合には、同意管理ツールなどの導入対応が考えられます。

Cookieの同意管理ツールは無料のツールから有料のツールまでさまざまありますので、自社に適したツールを選択しましょう。

今後の規制によっては、通知公表だけでなくオプトイン・オプトアウトのいずれかが義務化される可能性も十分に考えられますので、このタイミングで対策を行うこともおすすめです。

そして、リターゲティング広告など、サードパーティーCookieに依存している企業はそこからの脱却も求められます。

世界的な流れとして、サードパーティーCookieに限らず、同じような仕組みのものは今後廃止されていくことはほぼ確実と言っていいでしょう。

そのため、サードパーティーCookieの代替となるものを探すのではなく、ファーストパーティーCookieの活用や全く別の手段での集客などを模索する必要があります。

たとえば、サイトの文脈やキーワードなどを分析して、その意図にマッチした広告を配信するコンテクスチュアル広告などが挙げられます。

そのほか、メルマガの配信やサービスへの会員登録で得られるゼロパーティーデータ（ユーザーにデータ提供を適切な形で要請して得たデータのこと）を活用していくことも求められるでしょう。

まとめ

今回の改正電気通信事業法によって、サードパーティーCookieへの規制がより強化されました。

企業は改正によって生じる義務だけでなく、今まで依存していた手法からの脱却も求められます。

時代や法律の変遷に合わせ、企業の在り方も今一度見直す必要がありそうです。

（編集：創業手帳編集部）