Cookieを少しかじってみよう

今回はちょっぴり難しいお話を書いてみようと思います。
どうもeiryです。

2022年4月1日より個人情報保護法の改正が施行されました。

私は、法律の専門家ではないので、
どう改正されたのか、詳しく知りたい方は専門家を訪ねていただいて、、、←

今回は、Web業界に身をおく者として、避けて通れなさそうな
「Cookie」にどう影響するのかの「初歩」について、
自戒も含めてまとめてみたいと思います。

そもそもCookieって？

サイトを閲覧するときに、ログイン情報だったりを一時的にブラウザに保存する仕組みを指します。
たまにキャッシュと間違われますが、似て非なるものですね。

Cookieで保存する情報は、上記でも触れた通り「ログインID」だったり
「再生した動画の一時停止した位置」などが保存されます。

Cookieといっても種類があるよ

Cookieと一言でいっても

• ファーストパーティCookie
• サードパーティCookie
など種類があります。

ファーストパーティCookie

ユーザーが訪問しているサイトのドメインから直接発行されているCookieをさします。
「Cookieの発行元のドメイン」＝「訪問Webサイトのドメイン」

▼例えば
example.comというECサイトで買い物をするときにカゴに入れたけど、購入せずにページを閉じる。
後日、example.comを訪れたらカートに商品が入ったままだった。

サードパーティCookie

ユーザーが訪問しているWebサイトのドメイン以外から発行されているCookieをさします。
「Cookieの発行元のドメイン」≠「訪問Webサイトのドメイン」

▼例えば
example.comというECサイトを訪れたあとにsample.jpというサイトを訪問した。
sample.jpにある広告枠にexample.comの商品が表示される。

Cookieと法律？

Cookieが何者なのかを簡単に紐解いたところで、一番みなさんが気になるこの件。

2022年4月1日に施行された改正の内容では
種類に限らずCookieは「個人関連情報」と定義されました。

Cookie単体では個人情報保護の「個人情報」には該当しないものの「個人関連情報」のため
とくに、サードパーティCookieについては、微妙なライン、、、という感じになってきます。

法律家じゃないので、ちょっとあやふやな記載ですが許してください（土下座

ちなみに海外を見てみよう

EU一般データ保護規則(General Data Protection Regulation：GDPR）では
Cookieは個人情報扱いのようです。
そのため、取得する際には使用目的を説明した上で「本人の同意」を得ることが必須となっています。

日本国内から、日本国内で運営しているサイトへアクセスであれば日本の法律に従うで良さそうですが
Webサイトは、国外からのアクセスも可能です。

さぁ、みなさんは、海外はCookie厳しいので、海外からのアクセスを弾きますか？
それともどこの国からでもアクセスいただけるように、見直しますか？

結局のところ、どうしろと？

「弁護士さんだったり、法律を把握されている方と相談する」
ここにつきます。

というのも、これまで、どういう表記にしているかで、対応が変わります。
記載が足りなければ、プラスしなければなりませんし、
すでに十分に対応できているケースもあります。

そして、日本の個人情報は3年ごとに見直しされるようなので
今回は「個人情報」ではないけれど、今後もそうとは限りません。

世界的には厳しめに扱っていく方向も見えています。

それも踏まえたうえで、詳しい人に相談してね！