今回は、ちょっと話題になった公正取引委員会のCookie規制に関して、情報を纏めたいと思います。
■今回のCookie規制の内容とは
10月30日に、朝日新聞デジタルが公正取引委員会がCookieに関して規制を検討していると報じた。
≪引用≫
「クッキー」情報収集、公取委規制へ スマホ位置情報もhttps://www.asahi.com/articles/ASMBQ7JVNMBQULZU01H.html
—
「ウェブ上で利用者がどんなページを見たかを記録する「クッキー」について、公正取引委員会は、利用者の同意なく収集して利用すれば独占禁止法違反になる恐れがあるとして規制する方向で検討に入った。巨大IT企業などが集める個人情報に網をかける公取委の方針に対し、経団連は「多くの企業に影響が出かねず、経済の発展を阻害する」と猛反発している。」
「杉本委員長は「集めた情報を何に使うか明確にし、その目的以外に使っていないか透明性を図る規制がいる」と指摘。クッキーに加え、スマートフォンなどに記録される位置情報も規制対象にする方向だ。」
—
よくよく調べてみると、公正取引委員会が8月29日に、以下の様な報道発表資料を公開し、パブリックコメントを求めていました。
≪引用≫
デジタル・プラットフォーマーと個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方(案)https://www.jftc.go.jp/houdou/pressrelease/2019/aug/190829_dpfpc3.pdf
–1. 優越的地位の認定
●消費者がデジタル・プラットフォーマーから不利益な取扱いを受けても、 消費者がサービスを利用するためにはこれを受け入れざるを得ないような場合は、 当該デジタル・プラットフォーマーは消費者に対して優越した地位にあると認定。
2. 濫用行為となる行為類型
●利用目的を消費者に知らせずに個人情報を取得すること。
(想定例) デジタル・プラットフォーマーA社が、個人情報を取得するに当たり、 その利用目的を自社のウェブサイト等で知らせることなく、消費者に個人情報を提供させた。
●利用目的の達成に必要な範囲を超えて、消費者の意に反して個人情報を取得・利用すること。
(想定例) デジタル・プラットフォーマーB社が、サービスを利用する消費者から取得した個人情報を、 消費者の同意を得ることなく第三者に提供した。
●個人情報の安全管理のために必要かつ適切な措置を講じずに、個人情報を取得・利用すること。
(想定例) デジタル・プラットフォーマーC社が、個人情報の安全管理のために必要かつ適切な措置を講じずに、 サービスを利用させ、個人情報を提供させた。
●自己の提供するサービスを継続して利用する消費者に対し、 消費者がサービスを利用するための対価として提供している個人情報等とは別に、個人情報等の経済上の利益を提供させること。
(想定例) デジタル・プラットフォーマーD社が、提供するサービスを継続して利用する消費者から対価として取得する個人情報等とは別に、 追加的に個人情報等を提供させた。
※ その他、デジタル・プラットフォーマーによる消費者が提供する個人情報等の取得・利用に関する行為が、 正常な商慣習に照らして不当に消費者に不利益を与えることとなる場合。
—
一旦、ここで情報を整理しますと、GAFA(Google、Apple、Facebook、Amazon)と呼ばれる海外巨大プラットフォーマーや、国内EC、旅行予約サイトなど、公正取引委員会が実態調査に入り、規制の強化に向かいだしたと。
そのファイティングポーズの一例が上記の公正取引委員会の発表した独禁法の案になるのですが、プラットフォーマー(強者)が、サービスを受けるために情報を提供する必要のある消費者(弱者)に優越しているのではないか?と。ただ、気になるのは上の公表した独禁法の案の文中には、個人情報=Cookieと明記されていないのです。
ただ、朝日新聞デジタルが10月30日に掲載した上記の記事中の公取委・杉本和行委員長は、Cookieや携帯電話の位置情報も独禁法の対象となる「個人情報」は、個人情報保護法で規定されているそれに限られるとは考えていないとし、不当性があれば規制対象に含める方向で検討していると明言しました。
■GDPRとeプライバシー規則とCCPA
ここで思い出されるのが、まずは欧州でのGDPR(General Data Protection Regulation=一般データ保護規則)。GDPRの対象となる個人情報とは「個人を識別できる情報、または複数を組み合わせることで個人の識別ができる情報」で、氏名、識別番号、住所、所在地、、メールアドレス、IPアドレス、クッキーなどオンライン上での識別子、クレジットカードの情報、パスポートの情報、身体的、生理学的、遺伝子的、精神的、経済的、文化的など、社会的固有性に関する情報が対象になり、範囲としては、EEA(欧州経済領域)内に拠点がなくてもEU圏の個人にサービスを提供する場合はGDPRの対象範囲内になります。
そして、現在、欧州議会および評議会で立法手続が行われているeプライバシー規則(ePrivacy Directive)があります。こちらはGDPRを補完する法になっており、GDPRでカバーしきれていないCookieやメールに関して厳格化したものになります。来年施行されるCCPA(California Consumer Privacy Act=カリフォルニア州消費者プライバシー法)もあり、世界的にCookie規制の流れが出来ており、日本もその流れに乗ったというのが、今回の公正取引委員会の動きになります。
■Cookie規制の影響
さて、Cookie規制をされるとどうなるか?まずは、広告収益モデルのサービスが制限されるのは容易に考えられます。現在、多くのWebや、無料アプリなどはバナーであったり、動画であったり、ネイティブ広告であったりと広告での収益で成り立っています。それらのサービスの質が落ちたり、最悪、淘汰されサービス停止に陥る事も十二分にあり得るでしょう。
また、Cookieを使用する為の同意をユーザーに得る必要があるので、ユーザー側も混乱するのは間違いないです。そして、広告収益が成り立たない状態になったサービスは、ユーザーにコストを求める・・・ひいては課金を要求する事になります。
ユーザーだけの問題でなく、サービスの運営側も収縮するのも必至で、雇広告主側にも大きな影響が出ると考えられ、産業全体的に悪影響を及ぼすと想像されます。
■日本のCookie規制の懸念
日本に置けるCookie規制の懸念点で、まずは無知な方々で議論され決定される事が非常に危険で、web広告業界だけでなく、日本国内の産業全体が壊滅的被害を被る可能性が全然あり得ます。また、何らかの形でCookie規制が発生しても、既に高頻度で使われているGAFAや、国内大手プラットフォーマーは利便性の高さ故に、ユーザーはCookieの使用を認めるので、より一層Cookieの一極集中が起こるでしょう。
規制の前に、まず、ユーザー自身が企業のCookieの利用方法など理解させるなど、リテラシーの向上が必要なのかなと。結構、利用規約など、ノールックで許諾していませんか?また、企業側もCookie=個人情報の認識の上で、取り扱いなど自主規制を改めて考える必要があるかなと。特に、GAFAや国内大手プラットフォーマー以外の企業が、Cookieの悪用が見受けられるので。