2018年の5月にEUで成立したCookieによる追跡を含む新しい基準の個人情報保護法であるGDPRが正式に施行されたことはご存知でしょうか?これは、検索エンジンのAIや利用端末のGPS機能に加えて、Webサイトとブラウザの訪問記録を”利用者の承諾なし”に個別に収集していることが問題視されたためです。
EU加盟国で定められた【General Data Protection Regulation】と呼ばれる一般データ保護規約は、従来の日本にある個人情報保護法よりも大きな範囲を定義しており、この中にはインターネット上で個人を識別しているCookieが含まれたことによって、日本でも公正取引委員会によってCookie規制の検討が2019年の10月に話題に上がりました。
GoogleAdSenseに代表されるインターネット上の広告配信では、Cookieによって判断された訪問者の趣味や嗜好に沿ったものが表示されるシステムが組まれています。同様にスマートフォンに代表される【GPS機能】やIPアドレスといった固有の情報が検索エンジンに影響を与えているため、「施設名」や「サービス名」を検索すると、自動的に付近のサービスが優先して表示されるように変化しています。
一見、インターネット利用者にとっては便利な機能でもあるように見えるCookieのシステムが、今後は個人情報保護という項目に入るかどうかの議論に結論は出ていませんが、日本でも公正取引委員会がCookieの規制を本格的に検討された事実に対しては、Web事業者も注視しておく必要があるかもしれません。
独占禁止法と「優越的地位の濫用」
公正取引委員会が問題視したのは、独占禁止法で規制されている「優越的地位の濫用」という項目でした。具体的には、Googleなどを始めとする大手Web事業者が優越的な地位にあり、一般的なサービス利用者が弱者であるか?という点が着目されたのです。
プラットフォームを消費者に提供している事業者が、サービスの提供にあたって情報を入力することは消費者の同意の元に行うものですが、個人を識別するためのCookie収集に関しては、これまでは指摘されていなかった点です。
公正取引委員会の示したガイドラインによれば、明確にCookieが個人情報に含まれるとは明言されていませんが、スマートフォンなどを含む端末のGPS情報による識別を含む情報の自動収集が「優越的な地位の濫用」にあたるかどうかは、不当性があれば規制対象になり得ることを公正取引委員会の委員長である杉本和行氏が朝日デジタルの取材に返答しています。
Web事業者に考えられる影響
2020年1月の段階では、これらの個人情報をWeb上で自動取得するシステムは、あくまでも規制検討途中の段階であり、完全に規制対象に含まれることが決まった訳ではありませんが、仮にCookieが規制対象となってくるとECサイトやWebメディア、個人のブログなどにおいても利用者に対してCookie収集に関する同意を得なければいけない可能性が考えられます。
Cookieを使ったシステムにはAmazonなどのインターネットショッピングを含む「カート機能」などにも影響していることから、その他のECサイトでも同様に影響が懸念されます。
また、GoogleAdSenseなどの広告配信の分野でもCookieに基づく配信が規制された場合には収益の低下が起きる可能性もあるのです。広告配信の収益低下に繋がる原因として考えられるのは、仮に訪問者の履歴情報が白紙の状態であれば、現在の配信される広告が訪問者に沿った種類であるという状態から、記事やコンテンツなど各サイトの方向性に応じた広告配信に切り替わるかもしれないからです。
1クリック辺りの単価で収益の決まる広告配信では、企業が設定する単価そのものにも影響が与えることも考えられます。広告配信による企業のメリットが低下すれば、広告単価そのものを下げざるを得ないでしょう。
Web事業者は今後のCookie規制に注目を
今後、法的な面でどこまでの範囲が規制の検討対象に入るかは、現段階ではハッキリとしていません。
しかし、インターネット上でのシステムが進化していくに連れて、AIやGPS、Cookieを含めた追跡機能による個人の特定が問題視されつつあるのもまた事実です。結果として影響の大きさは断定出来ないものの、規制が実施されればWeb事業者の多くは対応に迫られる可能性が非常に高いことは予測出来ます。
少し前であればwebサイトにおける常時SSL化が当たり前ではなかったですが、現在ではSEO対策としてもSSL化は常識になっています。法的な規制対象となれば、Web全体のSSL化以上に影響が起こり得ることも想定されますので、Cookieを含めた規制の範囲や情報の進展には着目しておくべきでしょう。