Slide 1

Slide 1 text

Cookieよもやま話 ~Cookieは個人情報なのか?~ <一部補足版> CulTech LT 2020年1月21日(1月24日改訂) ARアドバンストテクノロジ株式会社 中野康雄 @yasuoyasuo

Slide 2

Slide 2 text

自己紹介 twitter/note でPM関連コンテンツ更新中 良かったら覗いてみてください♥ 中野 康雄(なかのやすお) 兵庫県宝塚市出身 S49年生 ARアドバンストテクノロジ株式会社 取締役執行役員(事業担当) 兼TechCoE事業室長  全社戦略、事業管理、PJ品質管理 人材育成、中途採用、一部PJ業務 などを担当  元流通経済大学 非常勤講師 (Eビジネス論)  PMP/情報処理安全確保支援士  BacklogWorld2020運営チーム

Slide 3

Slide 3 text

昨年マスコミ紙面を騒がせた 「リクナビ内定辞退率騒動」 何が問題だったのか?

Slide 4

Slide 4 text

https://mainichi.jp/articles/20190919/ddm/004/070/016000c 前年の内定辞退者情報を元に 今年の内定辞退者を 予測するサービスを販売 リクナビの内定辞退率予測の仕組み サイト閲覧履歴が 本人の意図しない用途に 使われていた

Slide 5

Slide 5 text

https://www.recruitcareer.co.jp/news/pressrelease/2019/190826-01/ リクナビの内定辞退率予測 何が問題だったのか? リクナビは左側のパターンは それ単体では個人が特定できないデータを提供した形なので合法的だったと主張

Slide 6

Slide 6 text

Cookieは個人情報なのか?

Slide 7

Slide 7 text

これまでの個人情報保護法では 曖昧な状態だった (基本含まれないという認識)

Slide 8

Slide 8 text

「提供元では個人データに該当しないものの、 提供先において個人データになることが明らかな情報について、 個人データの第三者提供を制限する規律を適用する」 旨が明記された 個人情報保護委員会は2019年11月29日で公表した 「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱(骨子)」 において この個人データというのはまさにCookieを意識した表現

Slide 9

Slide 9 text

公正取引委員会が、デジタル・プラットフォーマーに対して 不公正な手段により「個人情報等」を取得または利用した場合は、 優越的地位の濫用にあたり独占禁止法上の問題が生じるとの警告 (具体的にどの情報が「個人情報等」に含まれるのかは現時点で明らかとされていない) ただ公正取引委員会の委員長が この個人情報等にCookieが含まれ 収集目的をユーザーに示さずCookieを集めることは 優先的地位の濫用にあたるという見解を示す それに経団連が反論

Slide 10

Slide 10 text

ただグローバルでは プライバシー保護はますます当たり前に

Slide 11

Slide 11 text

その一番の震源が GDPR (欧州データ保護規則)

Slide 12

Slide 12 text

GDPRとは?(超ざっくり解説) • 個人データの保護は人間が持つ 基本的な権利という前提 • データ主体はアクセス権や忘れられる 権利やデータデータポータビリティ (削除および移転)の権利も有する • データ保有者は要請があればそれにこた える義務がある。 • 規則に違反した場合は巨額な制裁金※が 課せられる。また対象データが漏洩した 場合は72時間以内に監督部署に報告しな ければならない。 引用「図解入門ビジネス 最新GDPRの仕組みと対策がよ~くわかる本」 ※最大2000万ユーロ(約24億円)以下 または全世界売上総額4%以下のいづれか高い方!!

Slide 13

Slide 13 text

GDPRとは?(超ざっくり解説) 引用「図解入門ビジネス 最新GDPRの仕組みと対策がよ~くわかる本」 Cookieは 規則対象

Slide 14

Slide 14 text

GDPRとは?(超ざっくり解説) • GDPRでは原則個人データを取得する場合には本人の同意が必要。これは Cookieも含まれる。16歳未満(年齢は国により違う)の場合は親権者の同意 /承認が必要。 • 日本は国としてGDPRに対する十分性認定を取得するため、現地法である個人 情報保護法をGDPRに追随させる方向で改正予定。ただ個人データの対象など で現状は違いがあるので要注意。原則EUの個人データを管理する場合は、個 人情報保護委員会が提示している「補完的ルール」に従う必要がある。 https://note.com/yasuoyasuo/n/n686c2894120a

Slide 15

Slide 15 text

加えて新たにCookieに踏み込んだ規則が 「eプライバシー指令(e-Privacy Directive)」 EU域内のユーザーに向けたWebサイトやモバイルアプリを公開し それらの上でCookie等を取得・利用している場合は、 取得したCookie等の利用目的を開示し、 広告・マーケティングなど特定の目的で利用する場合は、 事前にサイト訪問者・アプリ利用者から 同意を得なければならない https://www.iij.ad.jp/global/challenge/cookie.html

Slide 16

Slide 16 text

Cookie取得同意を漏れなく簡単に行うためのツール https://www.osano.com/cookieconsent https://www.onetrust.com/

Slide 17

Slide 17 text

WEBで同意/告知されるパターン増えてますよね?

Slide 18

Slide 18 text

WEBで同意/告知されるパターン増えてますよね?

Slide 19

Slide 19 text

まさにこの影響

Slide 20

Slide 20 text

現在更に進化させた 「eプライバシー規則(e-Privacy Regulation)」が 欧州委員会で審議中 ただ産業界から大きな反発にあい なかなか採決されていない » 【ニュース】欧州eプライバシー規則案の否決 | スプリング法律事務所 https://www.spring-partners.com/topic/1689.html

Slide 21

Slide 21 text

デジタル世界での プライバシーの保護という文脈で 利用者が意図しない形で個人特定される サードパーティーCookieが標的に

Slide 22

Slide 22 text

リターゲティング広告などを目的に訪問先ドメイン以外のドメインから発行されたCookie サードパーティCookieとは https://www.businesslawyers.jp/articles/693

Slide 23

Slide 23 text

※リタゲ広告などを目的に訪問先ドメイン以外のドメインから発行されたCookie ついに 世界最大のアド企業の Googleの英断 サードパーティCookieの終焉

Slide 24

Slide 24 text

まとめ • リクナビ内定辞退率事件でCookieの扱いがクローズアップ • 現行の個人情報保護法では個人情報ではないが、グローバルでは個 人情報とみなす方向に(個人情報保護法も追随の様子) • GDPRやeプライバシー指令を皮切りにCookieの取得に際して同意が 必須となり、違反には厳しい制裁金も • 主要ブラウザがサードパーティCookieを廃止の方向になり、デジタル 広告領域に大きなインパクト

Slide 25

Slide 25 text

» 図解入門ビジネス 最新GDPRの仕組みと対策がよ~くわかる本 | 牧野総合法律事務所弁護士法人, 合同会社 LEGAL EDGE | ビジネス・経済 | Kindleストア | Amazon https://www.amazon.co.jp/gp/product/B07QVJ1V88/ref=ppx_yo_dt_b_d_asin_title_o00?ie=UTF8&psc=1 » 広告業界のビジネスを脅かす知っておくべきGDPRの同意ルールとは?|栗原宏平(コラボゲートファウンダー ブロックチェーン CMO ) https://comemo.nikkei.com/n/n96b65f3186b4 » 「サードパーティーCookie」は“悪”なのか? 私がSafariを使う理由 (1/2) - ITmedia NEWS https://www.itmedia.co.jp/news/articles/1812/13/news016.html » サードパーティクッキーって何だっけ? 今さら聞けないHTTP Cookieのキホン | 初代編集長ブログ―安田英久 | Web担当者Forum https://webtan.impress.co.jp/e/2017/10/03/27016 » サードパーティクッキーについて、理解していますか?いまさら聞けないweb広告用語 | アド論 byGMO https://ad-ron.jp/?p=14238&page=2 » 「クッキー」利用に法規制 リクナビ問題受け改正へ :日本経済新聞 https://www.nikkei.com/article/DGXMZO52606310W9A121C1000000/ » まだ終わっていないリクナビ問題 カギ握る「クッキー」:朝日新聞デジタル https://www.asahi.com/articles/ASMBL6TC9MBLULFA048.html » Cookieは個人情報に該当するか - リクナビやフェイスブックの事例から問題点を弁護士が解説 - BUSINESS LAWYERS https://www.businesslawyers.jp/articles/693 » 就活生をプロファイリング リクナビ問題、法的には?:朝日新聞デジタル https://www.asahi.com/articles/ASM8V5JXQM8VULFA01M.html » 論プラス:リクナビの内定辞退率販売 個人情報保護に遅れ スコアリングに対応を=論説委員・竹川正記 - 毎日新聞 https://mainichi.jp/articles/20190919/ddm/004/070/016000c » eプライバシーの規制をめぐる戦い | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/battle-of-eprivacy/19962/ » 【巨額制裁金リスクから自社を守れ】すぐにわかるCookie規制への対応ポイント|Global Reach https://www.iij.ad.jp/global/challenge/cookie.html » 【ニュース】欧州eプライバシー規則案の否決 | スプリング法律事務所 https://www.spring-partners.com/topic/1689.html » 欧州産業界、eプライバシー規則に関わる審議見直しを要請(EU) | ビジネス短信 - ジェトロ https://www.jetro.go.jp/biznews/2019/10/71d771032a697899.html » GDPR対策 「クッキーの取得」の同意の確認を簡単にできるツール https://www.xn--gdpr-ev9g41r.net/column/cookie.html » GDPR(一般データ保護規則)をすごいざっくりまとめる|中野康雄@ARI|note https://note.com/yasuoyasuo/n/n686c2894120a 参考

Slide 26

Slide 26 text

今日のお話が 皆様の何かお役に立てれば幸いです ご清聴ありがとうございました 間違い等あれば遠慮なく @yasuoyasuoまで ご指摘いただければ幸いです

Slide 27

Slide 27 text

Cookieよもやま話 ~Cookieは個人情報なのか?~ <一部補足版> CulTech LT 2020年1月21日(1月24日改訂) ARアドバンストテクノロジ株式会社 中野康雄 @yasuoyasuo