Cookieを使用していないサイトでも、トップページに「取得なし」の告知は必要ですか?
2022年4月1日の改正個人情報保護法で、サイトのクッキーで取得した閲覧情報その他の個人を識別し得ない情報を、ウェブフォームなどで取得した個人情報と結びつけ得る場合、利用目的の通知・公表ですが、弊社サイトでは取得していないため、トップページで「クッキーの取得はしておりません」等の告知は必要でしょうか。
結論から申し上げますと、Cookieを取得していない、あるいは取得していても個人データと結びつけない運用であれば、サイト上に「取得していない旨」を告知する法的義務はありません。
Cookie等の端末識別子を通じて収集された情報(個人関連情報)を、個人データとなることを想定して取得する際は、本人の同意が必要となりますが、そうでない場合は、不要です。
なお、取得した「個人関連情報」を個人データとして取得してない場合であっても、それを第三者に提供した場合においては、提供先が他のID等の情報と紐づけることで、個人データとして取得される場合は、提供元は、提供先より本人の同意を得た情報を記録する義務がありますのでご注意ください。
(この場合の「本人の同意」を取得する義務は、提供先にあります。)
※「個人情報の保護に関する法律についてのガイドライン(通則編)」の(3-7 個人関連情報の第三者提供の制限等)および【付録】をご参考ください。
1. 改正法における「個人関連情報」の考え方
Cookieや端末識別子などは、それ単体では特定の個人を識別できないため、「個人関連情報」に分類されます。これらを扱う際のポイントは以下の通りです。
- 自社で結びつける場合:
取得したCookie等を、自社の保有する個人情報(氏名など)と紐づけて利用する場合は、その利用目的をあらかじめ公表(プライバシーポリシー等に記載)しておく必要があります。 - 紐づけない場合:
単なるアクセス解析(個人を特定しない統計的な分析)のみであれば、個人情報保護法上の制限は受けません。
個人情報保護法やPマークの要求事項(JIS Q 15001)は、「情報をどのように扱うか」という透明性を求めているものであり、「行っていないこと」の宣言を求めているわけではありません。もし将来的にCookieを利用し、かつ個人情報と紐づける運用を開始する場合には、その時点でプライバシーポリシーを改訂し、本人の同意を得るフローを構築すれば十分です。
2. 第三者提供における制限(注意点)
自社で紐づけを行わない場合でも、以下に該当する場合は確認が必要です。
- 提供先が紐づける場合:
自社が取得したCookieを他社に提供し、提供先がそのCookieを個人データとして取得することが想定される場合、提供元(貴社)は、提供先が本人から適正に同意を得ていることを確認・記録する義務が生じます。 - Googleアナリティクス等の利用:
一般的なアクセス解析ツールの利用のみであれば、通常はこの「第三者提供の制限」には該当しませんが、広告連携機能を高度に利用する場合は確認が必要です。
3. 実務的な対応策
当店のサンプル文書集をご利用いただいている場合、以下の点を確認されることを推奨します。
- プライバシーポリシーの「Cookieについて」の項:
取得していないのであれば、該当する記述を削除、または「当サイトではCookieを使用していません」と一筆記載する程度で問題ありません。 - ウェブサイトによる個人情報の取得(様式等):
お問い合わせフォーム等で個人情報を取得する際の「同意文」において、Cookieの利用有無が実態と矛盾していないか確認してください。
もし将来的に導入する場合は、サンプル文書を参考に「Cookieの利用目的」をプライバシーポリシーに追記し、必要に応じて同意取得(バナー等)を検討してください。
