日本のCookie規制の全体像
日本にはEUのePrivacyディレクティブのような包括的なCookie規制は存在しません。ただし、以下の法律がCookieの利用・送信に関係します。
- 個人情報保護法(APPI): 個人関連情報の第三者提供規制(31条)
- 電気通信事業法: 2023年改正による外部送信規律
- 不正競争防止法: 営業秘密保護の観点
個人情報保護法とCookie
個人関連情報(APPI26条の2・31条)
Cookieそのものは個人を特定できないため、原則として個人情報に該当しません。ただし、「個人関連情報」(生存する個人に関する情報であって個人情報・仮名加工情報・匿名加工情報以外のもの)として規制されます。
第三者提供時の同意要件(APPI31条)
個人関連情報(Cookie含む)を第三者に提供する場合で、提供先が個人データとして取得することを知りながら提供するときは、本人の事前同意が必要です。
具体的なケース: - 広告配信会社にCookieを渡し、相手が会員IDと照合することを知っている場合 - 第三者分析ツールにユーザーIDを含むCookieを送信する場合
Cookie利用と個人情報
ただし、Cookieを自社でユーザーの氏名・メールアドレス等と紐付けて管理している場合は、個人情報として取り扱いが必要です。
2023年改正電気通信事業法と外部送信規律
外部送信規律の概要
2023年6月施行の改正電気通信事業法により、外部送信規律が新設されました(電気通信事業法27条の12)。
対象: 利用者情報を外部に送信させる機能を持つWebサービス・アプリの提供者
義務内容: 1. 送信情報の内容 2. 送信先の名称・住所 3. 送信される利用者情報の利用目的
を、ウェブサイト上で公表または通知しなければなりません。
対象となる外部送信ツールの例
| ツール | 送信情報の例 |
|---|---|
| Google Analytics | 閲覧URL、IPアドレス、Cookie ID |
| Facebook Pixel | 閲覧情報、コンバージョンデータ |
| Twitter/X Pixel | サイト訪問情報 |
| 広告配信SDKs | 端末識別子、行動履歴 |
実務対応: プライバシーポリシーへの記載
外部送信規律の対応として、プライバシーポリシーに以下を記載することが推奨されます。記載例: [外部送信について] 当サービスでは以下のツールを利用しており、利用者情報が外部に送信されます。Google Analytics (Google LLC): 送信情報は閲覧URL・滞在時間・デバイス情報、利用目的はアクセス解析・サービス改善。(他のツールも同様に列挙)
同意取得の実装方法
Cookie同意バナーの要否
日本法では、非必須Cookieについて事前同意バナーは法的に義務付けられていません。ただし、以下の観点から設置が推奨されます。
- GDPRの域外適用: EU居住者がアクセスする場合
- 信頼性向上: ユーザーへの透明性確保
- 個人関連情報の第三者提供: APPI31条対応
実装時のポイント
| 項目 | 推奨対応 |
|---|---|
| 必須Cookie | 同意不要(サービス提供に不可欠) |
| 分析Cookie | オプトアウト機能の提供 |
| 広告Cookie | 事前同意(GDPRアクセス対応の場合は必須) |
| 第三者Cookie | APPIの個人関連情報規制を確認 |
オプトアウトの提供
日本法上の義務はないものの、各ツールのオプトアウト手段をプライバシーポリシーに記載することが実務上の標準です。
まとめ
日本のCookie規制は欧州ほど厳格ではありませんが、2023年の電気通信事業法改正により外部送信の透明性確保が義務化されました。APPIの個人関連情報規制と合わせて、プライバシーポリシーへの外部送信ツールの開示、オプトアウト手段の提供が実務上の最低限の対応です。EU居住者が利用するサービスではGDPRの事前同意も必要になります。