cookie情報やこれに紐づいたデータの取り扱いについて気をつけなければいけないことは何ですか?
結論
個人情報(個人データ)に当たるのであれば、個人情報(個人データ)に関する規制に違反しないことです。
個人情報に当たらないのであれば、個人情報保護法31条に違反しないか注意することが必要です。
誤解を生む表現
cookie情報は個人関連情報であって個人情報ではないという説明をよく目にするのですが、これは不正確で誤解の元となります。
cookie情報と他の情報を容易に照合することができ、それによって個人を識別できるのであれば、cookie情報も個人情報です。
この場合は当然ですが、cookie情報であっても利用目的を超えて取り扱わないことなど、個人情報(個人データ)に関する規制を守る必要があります。
他方、他の情報と照合しても個人を識別できないようであれば、当面は31条に気をつければよいことになります。
個人情報保護法31条
リクナビ事件を契機として、令和2年改正で新設された規定です。
(個人関連情報の第三者提供の制限等)
第三十一条 個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)を個人データとして取得することが想定されるときは、第二十七条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
個人関連情報を提供する相手方において個人データとなることが想定される場合には、その相手方が本人の同意を得ていることなどを確認することが必要になってきます。
個人データとして取得することが「想定される」というのは、①知っている場合と、②常識的に考えて個人データと紐づくことになるだろうと推測される場合です。
もっとも、②の場合は「想定されない」という判断のリスクが大きいので、確認ができるようであれば相手方に確認をしてしまった方が早いし安全でしょう。
その際、個人データとして取得しないというのであればその旨の合意文書を作成しておくべきです。
ただし、合意書があれば全て解決というわけでもなく、明らかに怪しい事情があるのに安易に相手の言うことを信じてデータを渡したということであれば31条違反に問われる可能性があります。
相手のデータの取り扱いについて調査を行う手間と取引によるメリットを比べて合理的な判断を行うことが求められます。