１　個人情報保護法

（１）個人情報保護法上の規制について

現行個人情報保護法上、この点に関連する規制としては、偽りその他不正の手段による個人情報の取得の禁止（１７条）が存在します。
しかし、cookie等によって、取得していることが容易には本人にわからない方法で個人情報を取得する場合は、この「偽りその他不正の手段」に、多くの場合該当せず、結局、そのような方法で個人情報を取得することは、個人情報保護法上は禁止されていないものと考えられます。
もっとも、それは通常の取得方法の場合であって、cookieやWebビーコンを使って通常の方法ではない、だましに近いような方法で個人情報を取得する場合は、もちろん「偽りその他不正の手段」に該当することとなり、個人情報保護法違反になると考えられますが、通常行われている、cookieやビーコンによる取得方法であれば、「偽りその他不正の手段」には該当しないものと思われます。

つまり、cookieやビーコンによる個人情報の取得は、個人情報保護法上、禁止されているものではなく、またcookieやビーコンによって個人情報を取得していること自体を本人に伝える必要もありません。

また個人情報保護法は、取得した個人情報の利用目的を本人に通知又は公表しなければならない旨を定めています（１８条）。しかし、Webサイトによくあるプライバシーポリシーのようなページを作成しておき*1、取得する個人情報の利用目的を公表していれば、この条件をクリアできるため、何らかの個人情報が取得されれば本人に通知がいくということは要求されておらず、結局、私たちがWebサイトを回っているときに、何か個人情報を取得されたとしても、事業者側には、それを本人に知らせる義務はないということになります。

（２）私の感想

これは、利用者としてはかなり気持ちが悪いようにも思います。

現行個人情報保護法が成立されるまでは、日本には個人情報保護法は存在しておらず、そして個人情報保護法は他の業法と異なり、かなり多くの、そしてさまざまな業種や規模の業者に一律に適用されうる法律で、個人情報保護法上の「個人情報取扱事業者」に該当すれば、事業者には一気にいろいろな義務が課されることとなりました。

（個人情報保護法では、個人情報取扱事業者に対し、以下のような義務が定められています。

• 個人情報を取り扱うに際して、できる限り利用目的を特定しなければならない（１５条１項）
• 利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない（１６条１項）
• 偽りその他不正の手段により個人情報を取得してはならない（１７条）
• 個人情報を取得した場合は、あらかじめ利用目的を公表している場合を除き、速やかに利用目的を本人に通知又は公表しなければならない（１８条１項）
• 個人データ*2を正確かつ最新の内容に保つよう努めなければならない（１９条）
• 個人データの漏えい、滅失、毀損の防止など、個人データの安全管理のために必要かつ適切な措置を講じなければならない（２０条）
• 個人データの安全管理が図られるよう、従業者及び委託先に必要かつ適切な監督を行わなければならない（２１条、２２条）
• 法律の要件に合致する場合を除き、個人データを、本人の同意なく第三者に提供してはならない（２３条）
• 本人から保有個人データ*3の開示を求められたときは、法律の要件に合致する場合を除き、開示しなければならない（２５条１項）
• 保有個人データの内容が事実でないために本人から訂正、追加、削除を求められたときは、利用目的の達成に必要な範囲内で必要な調査を遅滞なく行い、その結果に基づき訂正等を行わなければならない（２６条１項）
• 目的外利用や不正取得が行われたとの理由により、本人から保有個人データの利用の停止または消去を求められ、かつその求めに理由があることが判明した時は、違反を是正するために必要な限度で遅滞なく利用停止等を行わなければならない（２７条１項））

そのため、当初からあまりに一気にいろいろな義務を課すことは、事業者の営業の自由や予測可能性などの観点から問題とされたようにも考えられます。

しかし現行法が成立したときは、このような、cookie等により、本人が気づかないうちに個人情報が取得されているという事態は想定されていなかったのかもしれませんが（想定されていたのかもしれませんが…）、さすがに、今の時代、これに対する手当ては必要ではないでしょうか。

利用者が容易に認識できない方法によって個人情報を取得する場合は、その旨の説明を義務付ける内容を盛り込んだ法改正か、それかライフログを巡る様々な問題を一気に解決しうるガイドラインの策定が必要なのではないかと思います。

２　プライバシーマーク

（１）JISQ15001の要求事項について

以上の通り、個人情報保護法上は、cookieやビーコンによって個人情報を取得していることを本人に伝える必要はないと考えられます。

しかし、プライバシーマーク制度のJISQ15001では、個人情報保護法よりもさらに事業者に課す義務を上乗せしている場合が多く、この部分に係る規制についても、実際に上乗せをしています。

JISQ15001では、本人から書面（Webや電子メールも含む。）に記載された個人情報を直接取得する場合には、一定の説明を書面によって本人にきちんと示した上で、本人の同意を得なければいけないとされています。
そして、この「一定の説明」の中に、「本人が容易に認識できない方法によって個人情報を取得する場合はその旨を説明すること」が、含まれています。

つまり、プライバシーマーク取得事業者が、私たちの個人情報を、Webを通じて、私たちが容易に認識できない方法によって直接私たちから取得する場合は、私たちにその旨をきちんと示し、同意を得なければならない、ということになります。

（２）雑漠とした私の感想

一時期、プライバシーマークがついている名刺を見ることが多かったように思います。そのとき私は、特に気に留めていなかったのですが＞＜、JISQ15001はまだざっとしか見ていませんが、結構厳しい基準のような印象を受けます。プライバシーマーク取得業者であれば、必ず個人情報保護法を遵守しているかどうかまでは言えなくても（個人情報保護法を遵守していることを確認するためにプライバシーマークを取得するのだと思いますが、逆は常に真ではないので）、少なくとも、個人情報を保護するためのマネジメントシステムを構築して維持しているということが言えるので、プライバシーマーク取得業者かそれ以外かを選べる場合であれば、取得業者の方がよいなあと思いました。

会社員時代は、ISOだのなんだのと、いろいろな基準が出てきて、それを取得しなくちゃいけなくて、大変だなあと思っていましたが、見てみると、やっぱり国際基準なり国内基準はしっかりしているように感じます。

個人情報が漏えいしたり、システムがクラッキングされたり、納入物の品質にクレームがついたりなんだりと、現代の企業は普通に事業活動をしているだけで、結構いろいろな、ほんとに多岐に渡るリスクがあって、それへ適切に対処するといっても、あまりにいろいろとあるため、どうやって対応すればいいのか、どうそれを未然に防ぎ、万一発生したとしてもどう被害を最小限にするのかを決定するのがかなり難しいと思うのですが、その際、それの最適解を見つけよう？として策定された国際基準なり国内基準というのは、やっぱり、参考になるんだろうなあと思いました。
以上、ばくっとした感想でした。