MENU

GDPRではクッキー(cookie)も保護対象なの?

 

GDPRの個人情報の範囲は、とても広いです。

 

GDOR第4条「定義」のところを見てみると、こう記されています。

「個人データ」とは、識別された又は識別され得る自然人(以下「データ主体」という。)に関するあらゆる情報を意味する。識別され得る自然人は、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子、又は当該自然人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な一つ若しくは複数の要素を参照することによって、直接的に又は間接的に、識別され得る者をいう。
(1) 'personal data' means any information relating to an identified or identifiable natural person ('data subject');an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

 

個人データとして、この5つが例示されていますね。
①氏名、②個人識別番号、③位置情報、④オンライン識別子、⑤当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的アイデンティティに特有の要素

 

「オンライン識別(an online identifier)」が個人データに含まれています

 

オンライン識別が具体的に何なのかまではGDPRの条文に示されていませんが、前文30条に以下のような記述があります。

 

(30) 自然人は、インターネットプロトコルアドレス、クッキー識別子、又は、無線識別タグのようなその他の識別子といったような、当該自然人のデバイス、アプリケーション、ツール及びプロトコルによって提供されるオンライン識別子と関連付けられうる。これは、特に、サーバによって受信されるユニーク識別子及びその他の情報と組み合わされるときは、自然人のプロファイルをつくり出し、そして、自然人を識別するために用いられうる痕跡を残しうるものである。

 

(30) Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.

 

IPアドレスやCookie、RFIDなども、個人データになるということですね。
Cookieが個人情報であるなら、取得・使用することに同意が必要ということになります。
現在では、Cookieは、ログ解析やオンライン広告などあらゆるデジタルツールに利用されています。

 

自動的に、おすすめ商品がいろいろ表示されたりしますよね。
自分の過去の購買履歴などを見て、いろいろとアップセルの広告が表示されたりします

 

便利な場合はいいのですが、勝手にデータを取得されているのは、何かこわいなぁ、気持ち悪いなぁと感じる人もいるのではないでしょうか?

 

そうしたことがGDPRの施行開始後には、従来のようにはできなくなるのでは、とも言われています。
事業者側の立場になると、クッキーおよび類似技術を用いたオンライン上の視聴・行動計測ができなくなるリスクがあるんですね。(eプライバシー規制強化)

 

関連ページ

GDPRの施行日は?いつから発効?猶予期間終了しました。
GDPR(EU一般データ保護・規則)について、どこよりもわかりやすく説明します。 GDPRの施行日・発効日・猶予期間は?いつから対応が必要になるの?
GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR十分性認定とは?十分性認定国はどこ?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR十分性認定とは?十分性認定国はどこ?
GDPR SCC(標準契約条項)とは?楽天のBCRとの違いは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR SCC(標準契約条項)とは?楽天が承認されたBCRとの違いは?
GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR プロファイリングに異議を唱える権利とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR プロファイリングに異議を唱える権利とは?
GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPRデータポータビリティの権利とは?対策は必要?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRデータポータビリティの権利とは?対策は必要?
GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPRのガイドラインは?日本語訳(和訳)はこちらです。
GDPRのガイドラインは?日本語訳(和訳)はこちらです。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR 匿名化と仮名化の違いは?暗号化はどっち?
GDPR 匿名化と仮名化の違いについて解説します。匿名化(Anonymous)と仮名化(Pseudonymisation)の違いは?暗号化はどっち? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 監督機関、データ保護機関(SA、DPAs)ってどこにある?
監督機関、データ保護監督機関(SA、DPAs)って何のこと?どこにある? GDPR(EU一般データ保護規則)でデータ侵害時などに通知義務がある監督機関についてまとめました。
GDPRでデータ主体に認められた8つの権利とは?
GDPR(EU一般データ保護規則)でデータ主体に認められた8つの権利について、解説します。 情報権、アクセス権、訂正権、削除権(忘れられる権利)、制限権、データポータビリティの権利、異議権、および自動的な個人の意思決定に関する権利 があります。
GDPR モデル条項 SCCとSDPCの違いは?
SCC(標準契約条項)とSDPC(標準契約条項)の違いは? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい?
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
クッキー法とも呼ばれるe-privacy規則(eプライバシー規則)とは?
クッキー法とも呼ばれるe-privacy Regulation(eプライバシー規則)とは? GDPRと同様、個人情報を保護するための規則です。GDPRを補完する規則になります。