EUは個人情報保護に向け、強力な規制を施行した（写真：ユニフォトプレス）

　リスクマネジメントに関して助言するニュートン・コンサルティング（東京・千代田）が5月9日に発表したアンケート調査（調査期間は4月下旬～5月上旬）では、GDPRについて「対応している」と答えた会社はわずか21％しかない。莫大な課徴金におののきつつも「取り締まりの実例がないあいだは後回しにする企業が多いのではないか」（個人情報に詳しいある弁護士）。

　GDPRについて、日本企業が最も注目してきたのが「第三国への移転」に関する規制だ。欧州の提携企業が取得した個人情報を欧州域外に持ち出しする際は、個別にユーザーの保護などに関する契約を両者の間で結び、当局の承認を得なければならない。

　しかし、実はこの問題は出口が見えてきている。欧州委員会は昨年10月、欧州がユーザー保護の体制が整っていると認めた国や地域に付与する「十分性認定」を日本にも付与する方針を明言した。認定を受ければ、個人情報の転送を自由にできるようになる。日本の個人情報保護委員会は認定に向けて日本企業が対応すべき5項目を掲げた。例えば取り扱いを特段慎重にする必要がある「要配慮個人情報」に「性的嗜好」や「労働組合での活動内容」を含めることなどだ。

　GDPRに詳しいあるコンサルタントは「この5項目に対応するのは、それほど難しくない。しかし、欧州と日本の法制度の違いを棚上げしたまま議論が進んでいる」と指摘する。その違いが「クッキー」の取り扱いだ。

「ポップアップ」だらけの欧州サイト

　まずは、こちらのリンクをクリックしてほしい。表示されるのは、日本経済新聞の子会社である英フィナンシャル・タイムズのウェブサイトだ。過去にこのサイトを訪れたことがない場合、ウェブブラウザーのどこかにクッキーの利用を求める「ポップアップ」が表示されているはずだ。日本ではあまりお目にかからないこうしたポップアップが、欧州のサイトでは頻繁に表示される。クッキーに対する考え方が、日本と欧州では異なるからだ。

　クッキーは、サイト側が利用者のパソコンやスマートフォンと言った端末を識別するための「目印」のようなものだ。例えば、EC（電子商取引）サイトでは、会員IDとパスワードでログインする前でも、カートの中に欲しい商品を入れておくことができるだろう。これはクッキーによりサイト側がそれぞれの端末を区別しているからできることだ。

　ユーザーの利便性を高めてくれるクッキーだが、ネット広告の配信でも重要な役割を果たしている。他のサイトで見た商品の広告が別のサイトでも表示される「行動ターゲティング広告」がその典型だ。ネット広告事業者は各サイトがユーザーの端末に付与しているクッキーを名寄せし、サイト間でユーザーの行動履歴を共有する「クッキーシンク」と呼ばれる仕組みを提供している。「この仕組みが10年ほど前にできたことで、広告枠の単価は100倍になった」とあるネット広告業の経営者は語る。

　中には行動ターゲティング広告を「つきまとわれているようで気持ち悪い」と感じるユーザーもいるだろう。そのため、欧州はクッキーを個人情報として保護対象に指定。ポップアップなどで注意を喚起し、クッキーを取得することや第三者提供をすることについて、ユーザーの同意を取るよう各企業に求めている。他方、日本の個人情報保護法はクッキーを保護対象にしていない。そのため、同意がなくても取得や第三者提供ができてしまう。

　GDPRはクッキーを個人情報として取り扱うことを一部の域外の企業にも求めている。西村あさひ法律事務所の石川智也パートナーはこう解説する。「欧州居住者を対象にしたサービスを提供しているサイト、または欧州居住者の行動を“監視する”仕組みがあるサイトは、日本の企業でも対象になる」。

　前者に該当するのはドイツ語やフランス語でも表示をしているゲームや旅行関連のサイトなど。より適用範囲が広いのは後者だ。「グーグルアナリティクスのようなアクセス解析ツールを利用しているだけで“監視”とみなされる可能性がある」（石川氏）。欧州居住者が自社のサイトを訪れるかどうかは前もってわからない。「クッキーと解析ツールを使っているサイトは原則対応すべきだと思った方がいい」（同）。運用会社のMFSインベストメント・マネジメントのように、欧州のサイトと同様のポップアップで同意を求める日本企業も出てきている。

クッキーを巡るルールが一変？

　こうした対応をさらに厳しく迫るのが、欧州委員会が最終調整を進めている「eプライバシー規則」だ。一部では「クッキー法」とも呼ばれている。本来、GDPRと同じタイミングで施行されるはずだったが、域内企業の反発が多かったため継続審議となっている。「2018年内か19年にも内容が固まる見通しで、GDPRと同じ課徴金と域外適用の制度が組み込まれるとみられる」（石川氏）

　そのポイントは、行動ターゲティング広告のような追跡行為を受け入れるか否かをユーザーに明確に確認することや、クッキーの提供を拒否するユーザーにも平等にウェブサービスを提供することなどだ。つまり、ユーザー側が希望しないクッキーでの追跡行為を排除することを求めている。

　ポップアップの説明が「マーケティングに利用する」などあやふやなものだと、同意とは認められなくなる可能性がある。前出のネット広告業の経営者は「クッキーの提供者が激減し、ネット広告の収益モデルがひっくり返る可能性がある。ネット上の無料サービスが維持できず、課金が必要になる例が増えるかもしれない」とeプライバシー規則の先行きに気をもむ。

　これまで多くのネット事業者が「分かりにくい説明をすることはユーザーにかえって不親切だ」という理屈で、同意をせずに、あるいはあやふやな同意でクッキーを取得したり外部提供したりしてきた。しかし、米フェイスブックの情報流出問題などを背景に、こうしたネット広告の“常識”に疑問を抱くユーザーも増えている。

　マーケティング会社のイーライフ（東京・渋谷）が5月に発表した約2400人へのアンケート調査では、「ネット広告で印象が良かった、または役に立った」ことは「ない」という回答が約80%に上った。ネット広告に懐疑的な人にも関係なくクッキーを使って追跡している現在の広告ビジネスモデルは、むしろ広告主のブランドを傷つける可能性すらある。

　eプライバシー規則により、こうしたユーザーの懐疑的な声はさらに強くなる可能性がある。現在のネット広告がはらむ問題に大きな波紋を投げかけることになりそうだ。