クッキーポリシー・クッキー（外部送信）に関するQ&A

法改正によって、クッキーやIPアドレスが「個人情報」にあたるとされたわけではありません。これらは、2022年4月施行の改正個人情報保護法により、「個人情報」ではない、「個人関連情報」（第26条の２）として規制されることになったのです。

このため、クッキーには、取得・利用・提供等に関する「個人情報」としての規制は適用されません。

＊但し、これはクッキー単体での単体です。クッキーが、他の情報と紐づいて個人を識別できる状態となっている場合は「個人情報」にあたりますので、注意が必要です。

クッキーは、単体では「個人情報」ではありませんので、原則的に個人情報保護法による規制はありません。しかし、クッキーを提供される企業（提供先）が、クッキーを自社の個人情報と紐づける場合には、提供先は、本人の同意を得なければなりません。

これに対応して、クッキーを提供する企業（提供元）の側では、提供先がクッキーを個人情報と紐づけることが「想定」される場合には、提供先が上記の同意を得ていることを「確認」しなければなりません。

このほか、対象事業者は改正電気通信事業法による規制を受けます。

改正電気通信事業法は、対象となる事業者を「電気通信事業者又は第三号事業を営む者（内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。）」（法27条の12柱書）としています。

まず、「電気通信事業者」とは、「電気通信事業者」として届出済の事業者をいいます（同法2条5号）。

次に、「第三号事業者（（前略）利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者（後略）」とは、以下のいずれかのサービスで、ブラウザやアプリケーションを通じて提供されているものをいいます（同法施行規則第27条の2の27）。

1. 利用者間のメッセージ媒介等（同条第1号）
   例：メールサービス、ダイレクトメッセージサービス、参加者を限定した（宛先を指定した）会議が可能なweb会議システム等
2. SNS、電子掲示版、動画共有サービス、オンラインショッピングモール等（同条第2号）
3. オンライン検索サービス（同条第3号）
4. ニュース配信、気象情報配信、動画配信、地図等の各種情報のオンライン提供（同条第4号）

よって、これらのサービスを提供している事業者は、これまで「電気通信事業者」として届出をしていなくても、改正電気通信事業法によるクッキー規制の対象事業者となります。

①対象事業者が、②電気通信役務の提供に際して、③クッキーをユーザーの端末（PC・スマートフォンなど）へ埋め込む行為を行うときは、原則として次のいずれかの対応をしなければなりません（法27条の12柱書）。

1. 以下の事項の通知又は公表（法27条の12柱書）
   1. 利用者の端末から送信される利用者情報の内容
   2. 情報の送信先
   3. その他総務省令（規則第22条の2の29）で定める事項＝送信される利用者情報の内容、送信先の情報取扱者の氏名／住所及び利用目的
2. ユーザーからの同意取得（法27条の12第3号）
3. 以下の事項を知り得る状態においた上でのオプトアウト措置（改正法27条の12第4号）
   1. オプトアウト措置を講じているという事実
   2. オプトアウト措置が情報の送信と利用のどちらを停止するものか
   3. オプトアウト措置の申込みを受け付ける方法
   4. オプトアウト措置を適用した場合、サービス利用が制限がされる場合は、その内容
   5. 送信されることとなる利用者に関する情報の内容
   6. （5）の情報を取り扱うこととなる者の氏名又は名称
   7. （5）の情報の利用目的

①対象事業者が②電気通信役務の提供に際して③クッキーを利用する場合でも、ユーザーから送信される情報が以下のいずれかである場合には例外的に規制の対象外となります。

1. 利用者がサービスを利用する際に送信をすることが必要な情報（法27条の12第1→規則第22条の2の30）
2. 当該事業者を送信先として送信される識別符号（First Party Cookieに保存されたID）（法27条の12第2号）

もっとも、（2）のIDと一緒に送信される利用者情報や、ID情報を事業者が更に第三者に送信する場合には、規制対象外とはなりません（もっとも、そのような情報がサービス利用のために必要な情報(1)であれば、やはり規制対象外となります。）。

クッキー規制への対応策として、「通知・公表」があります。このうち、クッキーポリシーやプライバシーポリシーへの追記による「公表」（容易に知り得る状態に置く）は一つの有効な選択肢です。
このように「公表」により規制に対するする場合には、以下のような点に注意し、ユーザーが容易に閲覧・理解できるようにしておく必要があります。

1. 日本語で記載すること。
2. 専門用語は使わないこと。
3. 平易な表現を使うこと。
4. 文字が適切な大きさで表示されるようにすること。
5. （ウェブサイトの場合）クッキーを埋め込むページ又はそのページから容易に到達できるページ等において、必要事項を表示すること。
6. （アプリの場合）最初に表示される画面又は、そこから容易に到達できる画面等において、必要事項を表示すること。

法27条の12第2号は、クッキー規制の例外について以下のように定めています。

つまり、サービス提供者が利用者を識別する目的で用いる識別符号（ID）であって、当該事業者へ送信されるものが規制対象外となります。

逆にいえば、ファーストパーティクッキーであっても、上記の要件を充たさないものは法27条の12第2号の例外に該当しません。

Google Analyticsで利用されるクッキーは、当該事業者のドメインサーバから発行される点でファーストパーティクッキーですが、上記の要件を充たさないためクッキー規制の対象外とはなりません。

改正電気通信事業法は、「電気通信事業者又は第三号事業を営む者（内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。）」を対象としており（法27条の12柱書）、業態や営利性の有無を問いません。

よって、教育機関（各種学校・大学）や非営利団体も、「電気通信事業者又は第三号事業者（略）」に該当すれば規制対象となります。

①対象事業者が②電気通信役務の提供に際して③クッキーをユーザーの端末（PC・スマートフォンなど）へ埋め込む行為を行うとき、が規制対象となります。

よって、①対象事業者が③クッキーを利用するときでも、②電気通信役務を提供しないとき（会社案内のためのコーポレートサイトなど）は、クッキー規制の対象とはなりません。

対象事業者が電気通信役務の提供に際してクッキーを利用する場合でも、ユーザーから送信される情報が規制対象外の情報（C2-3）のみである場合には例外的に規制の対象外となります。

よって、サービス提供に不可欠なクッキーしか利用していない場合には、規制の対象外となります。