Cookie(クッキー)は個人情報になるのか?

しばしばクッキーは個人情報になるか?というテーマで議論になるのでここで整理しておこうと思う。

クッキーとは?

Amazonのサイトでお買い物をするとき、えきねっとでチケットを買うときなど、サービスを提供するほぼすべてのサイトはアカウント登録を義務付けている。

アカウント登録では、IDとパスワード、サイトによっては、電話番号や住所を登録させるサイトもある。

なぜこのようなことをしているのかというと、サイトにアクセスしてきたユーザを識別するためだ。

例えば、サイトに来た人が過去に買ったものを保存しておけば、その人の好みで商品を提案することができる。

より便利なサービスを提供するために、クッキーは必須の機能である。

IDとパスワードを登録するとブラウザ(クロームやFirefoxなど)の右上の方に

「このサイトでIDとパスワードを保存しますか?」

というメッセージがでる。

これはCookieにIDとパスワードを保存しますか?という意味だ。

保存すると、次にウェブサイトにきたときにIDとパスワードの入力を省略できる。とても便利な機能だ。

クッキーはIDやパスワードの他にも、過去に買ったものを保存している。ユーザが何を買ったか判別することで、ユーザの好みの商品をレコメンド(おすすめ)する。

クロームの場合、アドレスバー近くのアイコンをクリックすると以下のように保存されているCookieを確認することができる。

この便利なクッキーは、パソコンやスマホの中にテキストファイルとして保存されている。

中身を見ても何が書かれているか分からないようになっている。

テキストファイルは1つ1つの容量が小さいので、色んなサイトを見ていてもパソコンの容量の負担にはならない。

クッキーは個人情報になるのか?

プライバシーの議論をする前に必要な用語を2つ整理しておこう。

「パーソナルデータ」と「個人情報」である。

パーソナルデータ(個人データ)

パーソナルデータについては総務省が以下のように述べている。

「パーソナルデータ」は、個人の属性情報、移動・行動・購買履歴、ウェアラブル機器から収集された個人情報を含む。また、(中略)『改正個人情報保護法』においてビッグデータの適正な利活用に資する環境整備のために「匿名加工情報」の制度が設けられたことを踏まえ、特定の個人を識別できないように加工された人流情報、商品情報等も含まれる。そのため、(中略)「パーソナルデータ」とは、個人情報に加え、個人情報との境界が曖昧なものを含む、個人と関係性が見出される広範囲の情報を指すものとする。

平成29年版情報通信白書より

購買履歴やウェアラブル機器から収集された個人情報を含む、となっている。つまり、クッキーを含むかなり広い範囲を指すことが分かる。

パーソナルデータである限り、GDPRの規制対象である。

個人情報

2017年5月より改正個人情報保護法(改正法)が施工されたが、それによれば個人情報は以下の通りである。

この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

(1) 当該情報に含まれる氏名、生年月日その他の記述等に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

(2) 個人識別符号が含まれるもの

個人情報保護法(改正法)第2条※一部の括弧書きは省略

つまり、個人情報とは、特定の個人を識別することができるものだ。氏名や生年月日などを指す。

そして、クッキーは個人を特定できないので、現時点では個人情報とは言えない。

まとめ

まとめます。

・クッキーはパーソナルデータです。したがって、GDPRの適用対象です。

・クッキーは個人情報ではありません。したがって、改正法の適用対象ではありません。

参考

https://qiita.com/murata0705/items/a11cd8db76f7d0d43572

https://www.sbbit.jp/article/cont1/35108

https://www.eyjapan.jp/services/advisory/column/2017-06-06.html

ABOUTこの記事をかいた人

のっくん

理系院卒で大企業の研究所に就職。 趣味はプログラミング、レアジョブ英会話、筋トレ、旅行。 Twitter:@yamagablog