cookie情報やこれに紐づいたデータの取り扱いについて気をつけなければいけないことは何ですか?
結論
個人情報(個人データ)に当たるのであれば、個人情報(個人データ)に関する規制に違反しないことです。
個人情報に当たらないのであれば、個人情報保護法31条に違反しないか注意することが必要です。
誤解を生む表現
cookie情報は個人関連情報であって個人情報ではないという説明をよく目にするのですが、これは不正確で誤解の元となります。
cookie情報と他の情報を容易に照合することができ、それによって個人を識別できるのであれば、cookie情報も個人情報です。
この場合は当然ですが、cookie情報であっても利用目的を超えて取り扱わないことなど、個人情報(個人データ)に関する規制を守る必要があります。
他方、他の情報と照合しても個人を識別できないようであれば、当面は31条に気をつければよいことになります。
個人情報保護法31条
リクナビ事件を契機として、令和2年改正で新設された規定です。
個人関連情報を提供する相手方において個人データとなることが想定される場合には、その相手方が本人の同意を得ていることなどを確認することが必要になってきます。
個人データとして取得することが「想定される」というのは、①知っている場合と、②常識的に考えて個人データと紐づくことになるだろうと推測される場合です。
もっとも、②の場合は「想定されない」という判断のリスクが大きいので、確認ができるようであれば相手方に確認をしてしまった方が早いし安全でしょう。
その際、個人データとして取得しないというのであればその旨の合意文書を作成しておくべきです。
ただし、合意書があれば全て解決というわけでもなく、明らかに怪しい事情があるのに安易に相手の言うことを信じてデータを渡したということであれば31条違反に問われる可能性があります。
相手のデータの取り扱いについて調査を行う手間と取引によるメリットを比べて合理的な判断を行うことが求められます。