GA4を使うのにcookie同意ポップアップは結局必要なのか

GA4を使うのにポップアップ同意は必要なのか

2022年4月に改正された個人情報保護法を皮切りに「cookie取得に関する同意」のポップアップが表示されるサイトを目にすることが増えた。

ただし、すべてのサイトでポップアップを実装しているわけではないので「結局のところポップアップて法的に必要なの？」と疑問に思っている広告運用者も少なくはないはず。

そこで、私が調べた限りの内容をここに記す。

個人情報保護法改正のきっかけ
結局のところcookieの取得同意は必要なのか
法律以外にもGoogleのポリシーも遵守する必要がある
まとめ
実は個人情報保護法以外にも改正電気通信事業法にも気を付けるべき

※調べていく中で下記2つのサイトは大変参考になりました。
2022年改正個人情報保護法でGoogle Analytics使うのに結局同意ポップアップはいるのかいらないのか
 改正個人情報保護法＞WebサイトにGoogleやFacebookのタグを埋め込んだだけでは個人関連情報の提供にはならないようです

個人情報保護法改正のきっかけ

個人情報保護法の改正のきっかけとなったのは2019年に起こったリクルートキャリア（リクナビ）の事件。

学生の内定辞退率の予測データをリクナビから企業に提供していたことが問題になりました。

2019年2月以前と3月以降とでサービス提供のスキームが異なるようですが、2月以前まではリクナビはcookie・企業IDと予測内定辞退率とを結び付けて企業に納品していたそうです。

ただし、その情報の授受はcookie等の個人を特定できない状態で行われていたので当時の個人情報保護法には抵触していません。

しかし、内定辞退率が結びついた個人を特定できない情報であっても、それをリクルートキャリアから受け取った企業はその企業が保有するデータと照合することで特定の個人の予測内定辞退率を把握することができるという点で問題視されました。

要は、「個人を識別することができないCookie情報等であっても、提供先（上記の例で言うところの企業）において特定の個人を識別できることを認識したうえで提供する場合は、（リクルートキャリアは）個人データの第三者提供にあたるのでは？」ということで2022年4月に改正に至ったというのが経緯です。

結局のところcookieの取得同意は必要なのか

2022年4月の改正でcookie自体は「個人関連情報」と位置付けされた。個人関連情報とは条文では下記の通り。

この法律において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。

引用：個人情報の保護に関する法律第2条7項

要は、個人情報未満の準個人情報的な捉え方で一旦は問題ない。

その個人関連情報にcookieも該当すると解釈されるようになった。

「個人情報の保護に関する法律についてのガイドライン」に関するQ＆Aにも下記のようにはっきりと記載されている。

Ｑ８－１ Cookie 等の端末識別子は個人関連情報に該当しますか。家族等で情報端末を共用している場合はどうですか。

Ａ８－１個別の事案ごとに判断することとなりますが、Cookie等の端末識別子について、個人情報に該当しない場合には、通常、当該端末識別子に係る情報端末の利用者に関する情報として、「個人に関する情報」に該当し、個人関連情報に該当することとなると考えられます。また、家族等の特定少数の人が情報端末を共用している場合であっても、通常、情報端末の共用者各人との関係で、「個人に関する情報」に該当し、個人関連情報に該当することとなると考えられます。
なお、Cookie 等の端末識別子は、他の情報と容易に照合することにより特定の個人を
識別することができる場合には、当該情報とあわせて全体として個人情報に該当することとなります。

この個人関連情報を第三者に提供する場合の取り扱いについては条文では下記の通り。

第31条　個人関連情報取扱事業者は、第三者が個人関連情報（個人関連情報データベース等を構成するものに限る。以下この章及び第六章において同じ。）を個人データとして取得することが想定されるときは、第二十七条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。

一項　当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。

引用：個人情報の保護に関する法律第31条

個人情報保護法第31条1項にある通り、

cookieを第三者に提供して、その第三者がほかのデータと突合して個人を特定できるデータとして取得することが想定されるときは事前同意が必要になる。

これでリクナビの内定辞退率の問題を回避できる。法の抜け穴を塞いだわけだ。

裏を返せば、cookieの取得自体は事前同意は不要である。あくまで事前同意が必要なケースは第三者に提供したあとで個人データとして扱われるときなのである。

でも「GAはCookie情報とかをGoogle社に送ることになるのだから、GAを使うってことはやっぱり事前同意が必要なのか…？」という疑問を抱く。

この疑問に関してもズバリの回答がガイドラインに記載されていた。

（法第 31 条の適用の有無について）
Ｑ８－10 A 社が自社のウェブサイトに B 社のタグを設置し、B 社が当該タグを通じて A社ウェブサイトを閲覧したユーザーの閲覧履歴を取得している場合、A 社は B 社にユーザーの閲覧履歴を提供したことになりますか。

Ａ８－10 個別の事案ごとに判断することとなりますが、A 社が B 社のタグにより収集される閲覧履歴を取り扱っていないのであれば、A 社が B 社に閲覧履歴を「提供」したことにはならず、B 社が直接にユーザーから閲覧履歴を取得したこととなると考えられます。このため、B 社がそのタグを通じて閲覧履歴を取得することについて、法第 31 条第１項は適用されないと考えられます。
なお、個人情報取扱事業者である B 社は、閲覧履歴を個人情報として取得する場合に
は、偽りその他不正の手段によりこれを取得してはならず（法第 20 条第１項）、また、個人情報の利用目的を通知又は公表する必要があります（法第 21 条第１項）。

結論としてはGAのタグを設置してアクセス解析ツールとしてGAを使用するだけでは第三者への提供には当たらない（すなわち、個人情報保護法第31条1項の適用はなく、ユーザーからの事前同意は不要である）と解釈される。

ただし、「A 社が B 社のタグにより収集される閲覧履歴を取り扱っていないのであれば、」という留保がついている点が気になる。

おそらくこれは「リタゲをしないのであれば（パーソナライズド広告を配信しないのであれば）、」と読み替えてよいだろう。

GA4にはGoogle広告と連携させ、GA上で作成したオーディエンスリストに対してGoogle広告を配信できる機能がある。

この機能を使用する場合はA社（広告主）がB社（Google社）に閲覧履歴を提供したことになるためユーザーからの事前同意が必要になるということなのだろう。おそらくリタゲ配信のためだけでなく除外設定するための場合でも同様だと考えられる。

また、GAを使用せずともGoogle広告タグを使用してオーディエンスリストを生成する場合も、生成だけでは問題ないがそのリストをリタゲや除外に使用する場合は同様にユーザーの事前同意が必要になるだろう。

通常、プライバシーポリシーや個人情報の取り扱いに関する同意はユーザーがフォームを送信するときに同意のチェックを求めていることが多いはずだ。

つまり、サイト訪問ユーザーがフォームを送信していない場合（未CVユーザーの場合）は一度もcookieの取り扱いに関する同意はしていないことになる。

その状態でそのユーザーに対しリタゲを配信するのはNG。同意がないのにそのデータをGoogleに提供したことになるからだ。

だからサイト訪問時にcookieに関する同意のポップアップが表示されるサイトが増えたのだ。

以上のことから、広告配信している事業会社は基本的にポップアップ同意は必要になりそうだ。

なお、GAやGoogle広告にポップアップに同意したユーザーのみをリタゲ対象とする機能はないため、ポップアップ内に「否認する」のボタンを設置すると否認したユーザーのcookie（閲覧履歴）を取得しないような機能実装が必要になり管理コストが増えることから、「同意する」ボタンだけしか表示しなかったりサイト閲覧を継続することで同意したとみなす「みなし同意」ポップアップも多く見られるがそれは推奨されていない。

そのため、