2022年4月施行の改正個人情報保護法とCookieとGoogle Analytics

ウェブサイトのアクセスをデータ分析する際にGoogle Analytics、Cookieを用いてどこまでが個人情報として扱われるか調査している時の覚書。

2022年4月施行の改正個人情報保護法によってデータ分析も念頭に置いた改正が行われた。

最近、ウェブサイト訪問時にCookieによる情報取得を同意するポップアップが表示されるサイトが多くなったが、こんなユーザビリティ悪いことはしたくない。

個人情報とは

個人情報保護法で最低限理解すべき言葉の定義。

個人情報 … 生存する個人を識別できる情報。
例）名前、住所、メールアドレス、電話番号＋年齢＋出身地
参考：【個人情報に該当する事例】個人情報の保護に関する法律についてのガイドライン（通則編）｜個人情報保護委員会
匿名加工情報 … 個人情報を個人を識別できないように加工した情報（要復元不可）。
例）名前の匿名化、年齢の年代化（20代、30代）、出身地のエリア化（関東、関西）
仮名加工情報 … 匿名加工のように抽象化するのではなく、別の数字や記号に置き換えて、他の情報と照合しない限り特定の個人を識別しないように加工した情報。
例）名前をID化、性別をAかBに、Cookieに書き込まれたランダムなID
※ データ分析者に渡す際、個人情報を伏せたまま高品質の解析結果を得るため。
個人関連情報 … 個人情報、匿名加工情報、仮名加工情報のいずれでもない全ての情報
例）IPアドレス、端末情報、Cookieに書き込まれたログインID

個人情報を取得するのに本人の同意と利用目的の通知（または公表）が必要。
ホームページ上のボタンのクリックでも同意したとみなすことができる。
参考： 2-16 「本人の同意」

要配慮個人情報は取得時に本人の同意が必要。
参考： 2-3　要配慮個人情報

つまり、取得した個人情報を別の用途に用いたり、第3者に提供する場合は利用目的を明示して同意を得る必要がある。

Cookieは個人を特定できないため個人関連情報に該当し、取得するだけなら同意を得る必要はない。

しかし第3者に提供し個人情報となりえる場合は本人の同意が必要。

Q. データ分析のためにCookieを使いたい（ユーザーの同意なしで）
A. 仮名加工情報に変換すれば利用目的の公表だけでOK。ただし第3者に提供してはならない（委託・共同利用は可）。
参考：仮名加工情報はAI開発をどのように変えるのか～医療AI開発のケースを元に考えてみた～ | STORIA法律事務所

日本では本人の同意は不要。

ちなみにEUデータ保護規則（GDPR）とカリフォルニア州消費者プライバシー法（CCPA）ではIPアドレスなど個人に関連するあらゆる情報が個人情報となるため、Google Analyticsの利用に同意が必要。
参考： EU一般データ保護規則 - Wikipedia

Google Analyticsのデータは統計情報であり個人情報に該当しない。
参考：統計情報と匿名加工情報の違いは何ですか。｜個人情報保護委員会

Q. コンバージョンを記録すると個人情報と紐づけできるのでは？
A. Google Analyticsにコンバージョンデータを送信するだけなら個人を特定できないので同意不要。それを取得（第3者提供）するのはユーザーの同意が必要。閲覧するだけでも取得したことになりそう…（？）。
Q. WordPressのログインIDをCookieに記録するのにユーザーの同意は必要？
A. ログインIDは個人関連情報。第3者に提供しないなら同意不要。会員登録時に個人情報取得に関する同意は得ているとみなす。
Q. WordPressのログインIDをCookieに記録してGoogle Analyticsに送信するのは？
A. ログインIDは個人関連情報。Google Analytics側で個人を特定できる可能性がないので送信するだけなら同意不要。それを取得（第3者提供）すると個人情報と結合できるためユーザーの同意が必要。

Google Analyticsは抽象的な統計情報として用い、より詳細なコンバージョンやログインなどGoogle Analyticsと密に連携する分析はやめといた方が良さそう。

個人情報になりえるデータを扱っているという意識が大切。