いちから分かる！スモールビジネスのためのCookie入門：第３回「Cookieは法律でどう扱われる？日本のCookie規制」

「Cookieにはいろんな種類がある」というテーマでお届けした前回の記事では、Cookieの分類や広告のしくみについて見てきました。

では、実際にホームページを運営する場合、こうしたCookieはどんなルールのもとで扱えばいいのでしょうか？

今回は、個人情報保護法をはじめとする日本国内の法律との関係を中心に、「日本におけるCookie規制」についてやさしく解説していきます。

Cookieと個人情報保護法の関係

Cookieは、ユーザーがサイトを訪れたという情報や、閲覧履歴などを記録するしくみですが、それ単体では「このCookieは〇〇さんのものです」と個人を特定する情報は含んでいません。

そのため、Cookie情報自体は、個人情報保護法における「個人情報」にはあたりません。「個人情報とは何か」については、こちらの記事で詳しく説明しています。

しかし、Cookieと他の個人データ（たとえば、会員登録時に入力された氏名やメールアドレス、商品購入履歴など）を組み合わせると、特定のユーザーを識別できてしまうケースがあります。

このような場合、その組み合わせ全体は「個人情報」として個人情報保護法の対象になります。たとえば、「Cookieに記録された閲覧履歴」と「会員情報に登録されたメールアドレス」が紐づいて管理されていれば、その全体として個人情報に該当することになります。

特に、会員制のサイトや、Googleアナリティクスのようなアクセス解析ツールを使ってユーザーの行動を詳しく分析しているサイトでは、この点に十分注意する必要があります。

2022年の改正個人情報保護法では、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」を「個人関連情報」として新たに定義しました（個人情報保護法第２条第７項）。