GA4を使うのにcookie同意ポップアップは結局必要なのか

GA4を使うのにポップアップ同意は必要なのか

2022年4月に改正された個人情報保護法を皮切りに「cookie取得に関する同意」のポップアップが表示されるサイトを目にすることが増えた。

 

ただし、すべてのサイトでポップアップを実装しているわけではないので「結局のところポップアップて法的に必要なの?」と疑問に思っている広告運用者も少なくはないはず。

 

そこで、私が調べた限りの内容をここに記す。

 

※調べていく中で下記2つのサイトは大変参考になりました。
2022年改正個人情報保護法でGoogle Analytics使うのに結局同意ポップアップはいるのかいらないのか
改正個人情報保護法>WebサイトにGoogleやFacebookのタグを埋め込んだだけでは個人関連情報の提供にはならないようです

 

個人情報保護法改正のきっかけ

個人情報保護法の改正のきっかけとなったのは2019年に起こったリクルートキャリア(リクナビ)の事件。

学生の内定辞退率の予測データをリクナビから企業に提供していたことが問題になりました。

 

2019年2月以前と3月以降とでサービス提供のスキームが異なるようですが、2月以前まではリクナビcookie・企業IDと予測内定辞退率とを結び付けて企業に納品していたそうです。

ただし、その情報の授受はcookie等の個人を特定できない状態で行われていたので当時の個人情報保護法には抵触していません。

しかし、内定辞退率が結びついた個人を特定できない情報であっても、それをリクルートキャリアから受け取った企業はその企業が保有するデータと照合することで特定の個人の予測内定辞退率を把握することができるという点で問題視されました。

 

要は、「個人を識別することができないCookie情報等であっても、提供先(上記の例で言うところの企業)において特定の個人を識別できることを認識したうえで提供する場合は、(リクルートキャリアは)個人データの第三者提供にあたるのでは?」ということで2022年4月に改正に至ったというのが経緯です。

 

結局のところcookieの取得同意は必要なのか

2022年4月の改正でcookie自体は「個人関連情報」と位置付けされた。個人関連情報とは条文では下記の通り。

この法律において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。

引用:個人情報の保護に関する法律第2条7項

 

要は、個人情報未満の準個人情報的な捉え方で一旦は問題ない。

 

その個人関連情報にcookieも該当すると解釈されるようになった。

「個人情報の保護に関する法律についてのガイドライン」に関するQ&Aにも下記のようにはっきりと記載されている。

Q8-1 Cookie 等の端末識別子は個人関連情報に該当しますか。家族等で情報端末を共用している場合はどうですか。


A8-1 個別の事案ごとに判断することとなりますが、Cookie等の端末識別子について、個人情報に該当しない場合には、通常、当該端末識別子に係る情報端末の利用者に関する情報として、「個人に関する情報」に該当し、個人関連情報に該当することとなると考えられます。また、家族等の特定少数の人が情報端末を共用している場合であっても、通常、情報端末の共用者各人との関係で、「個人に関する情報」に該当し、個人関連情報に該当することとなると考えられます。
なお、Cookie 等の端末識別子は、他の情報と容易に照合することにより特定の個人を
識別することができる場合には、当該情報とあわせて全体として個人情報に該当することとなります。

 

この個人関連情報を第三者に提供する場合の取り扱いについては条文では下記の通り。

第31条 個人関連情報取扱事業者は、三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)を個人データとして取得することが想定されるときは、第二十七条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。

一項 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。

引用:個人情報の保護に関する法律第31条

 

個人情報保護法第31条1項にある通り、

cookieを第三者に提供して、その第三者がほかのデータと突合して個人を特定できるデータとして取得することが想定されるときは事前同意が必要になる。

これでリクナビの内定辞退率の問題を回避できる。法の抜け穴を塞いだわけだ。

 

裏を返せば、cookieの取得自体は事前同意は不要である。あくまで事前同意が必要なケースは第三者に提供したあとで個人データとして扱われるときなのである。

 

でも「GAはCookie情報とかをGoogle社に送ることになるのだから、GAを使うってことはやっぱり事前同意が必要なのか…?」という疑問を抱く。

 

この疑問に関してもズバリの回答がガイドラインに記載されていた。

(法第 31 条の適用の有無について)
Q8-10 A 社が自社のウェブサイトに B 社のタグを設置し、B 社が当該タグを通じて A社ウェブサイトを閲覧したユーザーの閲覧履歴を取得している場合、A 社は B 社にユーザーの閲覧履歴を提供したことになりますか。


A8-10 個別の事案ごとに判断することとなりますが、A 社が B 社のタグにより収集される閲覧履歴を取り扱っていないのであれば、A 社が B 社に閲覧履歴を「提供」したことにはならず、B 社が直接にユーザーから閲覧履歴を取得したこととなると考えられます。このため、B 社がそのタグを通じて閲覧履歴を取得することについて、法第 31 条第1項は適用されないと考えられます。
なお、個人情報取扱事業者である B 社は、閲覧履歴を個人情報として取得する場合に
は、偽りその他不正の手段によりこれを取得してはならず(法第 20 条第1項)、また、個人情報の利用目的を通知又は公表する必要があります(法第 21 条第1項)。

結論としてはGAのタグを設置してアクセス解析ツールとしてGAを使用するだけでは第三者への提供には当たらない(すなわち、個人情報保護法第31条1項の適用はなく、ユーザーからの事前同意は不要である)と解釈される。

 

ただし、「A 社が B 社のタグにより収集される閲覧履歴を取り扱っていないのであれば、」という留保がついている点が気になる。

おそらくこれは「リタゲをしないのであれば(パーソナライズド広告を配信しないのであれば)、」と読み替えてよいだろう。

GA4にはGoogle広告と連携させ、GA上で作成したオーディエンスリストに対してGoogle広告を配信できる機能がある。

この機能を使用する場合はA社(広告主)がB社(Google社)に閲覧履歴を提供したことになるためユーザーからの事前同意が必要になるということなのだろう。おそらくリタゲ配信のためだけでなく除外設定するための場合でも同様だと考えられる。

 

また、GAを使用せずともGoogle広告タグを使用してオーディエンスリストを生成する場合も、生成だけでは問題ないがそのリストをリタゲや除外に使用する場合は同様にユーザーの事前同意が必要になるだろう。

 

通常、プライバシーポリシーや個人情報の取り扱いに関する同意はユーザーがフォームを送信するときに同意のチェックを求めていることが多いはずだ。

つまり、サイト訪問ユーザーがフォームを送信していない場合(未CVユーザーの場合)は一度もcookieの取り扱いに関する同意はしていないことになる。

その状態でそのユーザーに対しリタゲを配信するのはNG。同意がないのにそのデータをGoogleに提供したことになるからだ。

だからサイト訪問時にcookieに関する同意のポップアップが表示されるサイトが増えたのだ。

 

以上のことから、広告配信している事業会社は基本的にポップアップ同意は必要になりそうだ

 

なお、GAやGoogle広告にポップアップに同意したユーザーのみをリタゲ対象とする機能はないため、ポップアップ内に「否認する」のボタンを設置すると否認したユーザーのcookie(閲覧履歴)を取得しないような機能実装が必要になり管理コストが増えることから、「同意する」ボタンだけしか表示しなかったりサイト閲覧を継続することで同意したとみなす「みなし同意」ポップアップも多く見られるがそれは推奨されていない。

 

そのため、

  • (後々の管理コストを勘案し、)閲覧履歴データの最初の取得時に、
  • ユーザーに対し同意か否認かの選択肢を与え、
  • 否認の場合にはデータを取得しない(もしくは第三者提供するデータから除外する)

必要性が発生する。それをクリアするのがサイト訪問時のポップアップという手段になる。

これらを自前でやるのは難しいため、サードパーティcookie同意管理ツールを利用するのがベストであろう。

 

なお、すでにプラポリ等にcookieの取り扱いに関する表記がされており、フォーム送信時にその同意が得られているのであればそのユーザーに関する閲覧履歴データはポップアップがなくても使用してよいと思われる。

すなわち、CVユーザーはcookieの取り扱いには同意しているはずなので、CVユーザーのオーディエンスリスト(サンクスページ訪問リスト等)を作成しCVユーザーへの除外設定をして広告配信をすることは問題ないと思われる。

ほかにも、CVユーザーリストをもとにした類似リストを生成してその類似リストユーザーに対して配信する類似配信もおそらく問題ないと思われる(が、プライバシー保護の観点からGoogleは2023年8月1日をもって類似配信機能は利用できなくなる)。

 

また、「外国にある第三者への提供」に該当するためそれに関する必要事項も記載する必要がある。その記載に必要な情報はGoogleこのページに記載されている。

 

個人情報であっても個人関連情報であっても「外国にある第三者への提供」の際には制限がある(法第二十八条第二項、法第三十一条第一項第二号)。詳細は下記の過去記事を参照。

 

ad-notebook.hatenablog.com

 

法律以外にもGoogleのポリシーも遵守する必要がある

Googleの各種機能を利用する場合には法律以外にもGoogle独自に定めるポリシーも守らなければならない

 

たとえば、GA4とGoogle広告とを連携させ、GA上で作成したオーディエンスリストを活用して広告配信する場合には下記の事項を記載しなければならないと公式ヘルプに記載されている。

GAの広告向け機能に関するポリシー要件

 

ほかにも、GAを使わないでリタゲ配信しようとする場合にこの公式ヘルプにて下記の事項を記載しなければならないとされている。

リタゲに関してプライバシーポリシーに記載する必要がある情報

 

Google以外にも各媒体にこのようなルールは存在する。

 

例えば、Yahoo広告でリタゲを配信する場合にはこちらのYahooの公式ヘルプページにある通り下記の事項を記載しなければならない。

Yahoo広告のプライバシーポリシーに必要な記載事項

 

これら記載が漏れていたことで媒体側から配信停止や垢バンなどのペナルティが発生する可能性もあるが、それが原因でペナルティが発生した事例は私の経験上聞いたことはない。

 

法律以外にも媒体側のルールとしてプラポリに記載しなければならない事項も存在するということは頭の片隅に置いておくのがよいだろう。

 

まとめ

cookieは「個人関連情報」に該当することになった。

 

個人関連情報の取得自体に事前同意は不要。
(GAや広告タグを設置するだけなら事前同意は不要。)

 

個人関連情報を第三者に提供して、その第三者がほかのデータと突合して個人を特定できるデータとして取得することが想定されるときは事前同意が必要。
(タグを使ってリタゲ等に活用する場合には事前同意が必要。)

 

事前同意の取得方法はサイト訪問時のポップアップ同意が実務上現実的。

 

実は個人情報保護法以外にも改正電気通信事業法にも気を付けるべき

ここまで改正個人情報保護法cookie(GA)との関係について書いてきたが、実は2023年6月16日に施行される改正電気通信事業法にも気を付けなければならない。

 

それは次ページで書いていく。

 

 

Twitterやってます。お仕事のご相談とかはお気軽にDMください!
@kinokowork