インターネットイニシアティブ（IIJ）は12月5日、メディア向けに個人情報保護法改正大綱（骨子）に関する勉強会を開催した。主にウェブサイトのCookie利用に関する規制強化が主眼となる改正案だが、具体的にウェブサイト側、そして利用者側はどのような影響を受けるのだろうか。

個人情報保護委員会（PPC）は11月29日、「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱（骨子）」を公表した。

解説を行うのはIIJビジネスリスクコンサルティング本部の鎌田博貴副本部長

今年9月に就職情報サイトが、承諾を得ないまま、就活中の学生の内定辞退率の予測データを企業に販売していたとして、個人情報保護委員会から是正を求める勧告を受ける問題があった。こうした問題を踏まえ、個人情報保護法の改正案については、Cookieなどを利用して個人情報を扱う際の新たな規律が加えられると注目されていた。

結果として、今回の改正案では、欧州のGDPR（欧州一般データ保護規則）や米国のCaCPA（カリフォルニア消費者プライバシー法）のような、ウェブサイトにおけるCookieを利用した情報のトラッキングに対する規制が強化されている。実際に個人情報保護法がどのように改正されたかに踏み込む前に、「そもそもCookieとは何なのか」から、簡単に説明しよう。

Cookie（HTTP Cookie）とは、ウェブブラウザがウェブサーバーにアクセス（リクエスト）し、サーバー側がクライアントにレスポンスを返すときに添付する、そのユーザー（ウェブブラウザ）を識別するための番号、およびその番号に紐づけられた情報のことだ。

ウェブブラウザーはCookieを受け取ると、次回にウェブサーバーにアクセスする際に、リクエストと同時にCookieを送信する。ウェブサーバーはCookieの識別番号を見て、そのユーザーに見合った内容にカスタマイズされた情報を送信する。こうして動的なウェブコンテンツが実現されるわけだ。

Cookieの用途としてわかりやすいのは、ショッピングサイトのカートの状態や、ログイン状態の保持だ。Cookieがなければ、Amazonで買い物をするのに毎回ログインし直すことになるし、あとで買おうと思ってカートに入れた品物が、ウィンドウを閉じたら消えてしまう、ということになる。Cookie自体はウェブを便利なものにするために必須の技術といえる。

また、たとえばアクセスしたウェブサーバーAのウェブページに、広告エージェントBのサーバーから表示されている広告がある場合、CookieはAとBの両方から送られることになる。このときサーバーBから送られるCookieのことを「サードパーティー（第三者）Cookie」と呼ぶ。実は、今回問題になっているのは、このサードパーティーCookieの扱いだ。