はじめに

今回は、ウェブサイトに埋め込まれた「タグ」と、個人情報保護法上の個人データ/個人関連情報の第三者提供規制についてお話ししたいと思います。

個人情報保護法上、個人データを第三者に提供する場合には、原則として本人の事前同意を得る必要があります。また、2022年4月1日に令和2年改正法が全面施行されて以降は、個人関連情報を第三者に提供する場合であって、提供先がこれを個人データとして取得することが想定されるときは、提供元は予め本人同意が得られていることを確認する必要があります。

このように個人データ/個人関連情報を第三者に「提供」する場合には、一定の規制がかかります。しかしながら、実際には、そもそも「提供」があるか否かの判断が難しい場合があります。特に、オンライン上で自動的に行われるデータの送受信が、果たして「提供」に当たるのか、当たるとして誰から誰への「提供」なのかという点を正確に把握することは容易ではありません。今回は、ウェブサイトに埋め込まれた「タグ」を介した情報の送受信について、「提供」行為の有無を検討してみたいと思います。

ウェブサイト運営者自身によるアクセスログの取得

ウェブサイト側で事前に設定しておくことにより、ユーザーがウェブサイトを閲覧すると、ユーザーのインターネット閲覧ソフト（ブラウザ）からウェブサーバーに対して、次のような情報が自動的に送信されます。

＜送信されるデータの例＞
・アクセス日時
・閲覧ページのURL
・IPアドレス
・ブラウザ/OSの種類とバージョン情報など
・画像解像度
・リファラ情報（≒遷移元のウェブページのURL）
・Cookie内に保存されていた情報（Cookie IDなど）　など

以下では、便宜上、これらのデータを「アクセスログ」と呼ぶことにします。

ウェブサイトを運営する事業者がアクセスログを取得する場合には、当該事業者はユーザーの端末から直接アクセスログを取得するものであり、そこに「提供」行為は存在しません（図①）。

なお、アクセスログは、通常、それ単体では特定の個人を識別することができません。このため、取得したアクセスログがウェブサイト運営者にとって個人情報に該当するか否かは、通常、アクセスログがウェブサイト運営者において氏名等の他の個人情報と容易に照合できるか否かによって判断されます。Cookie IDなどをキーとして容易に照合することができれば、アクセスログはウェブサイト運営者にとって個人情報に該当し、そうでなければ個人関連情報に該当することとなります。

ウェブサイト運営者がアクセスログを取り扱わない場合

では、アクセスログがウェブサイト運営者以外の第三者に直接送信される場合はどうでしょうか。ウェブサイト運営者は、自身のウェブサイト中に外部送信用の「タグ」（3rd party tag）を埋め込んでおくことにより、アクセスログがそのタグを介してユーザーのブラウザから第三者に対して直接送信されるようにすることができます。すべてのウェブページはHTMLという言語により記述されていますが、この外部送信用の「タグ」は、その記述の一部として書き込まれるものであり、ユーザーのブラウザに対して第三者にアクセスログを送信するように命令する機能を持ちます。

ウェブサイト運営者が外部送信用のタグを設置する目的は、通常、第三者が提供するツールやサービスを利用するためです。例えば、ウェブサイトの使用状況やコンバージョンを計測・分析するツールや、リターゲティング広告関連のサービスを利用する場合などが考えられます。第三者は、3rd party cookie（※）と外部送信用のタグを組み合わせて利用することにより、ユーザーをトラッキングしながら、アクセスログを収集することができます。

※　3rd party cookieの仕組みについては、「法務のためのCookie（クッキー）講座① ～Cookieの仕組みと種類～」をご覧ください。

このような外部送信用のタグによる第三者へのアクセスログの送信は、アクセスログの「提供」を伴うものでしょうか（図②）。

この問いについては、個人情報保護委員会が公表しているQ&Aの８－10に答えがあります。

Ｑ８－10 A社が自社のウェブサイトにB社のタグを設置し、B社が当該タグを通じてA社ウェブサイトを閲覧したユーザーの閲覧履歴を取得している場合、A社はB社にユーザーの閲覧履歴を提供したことになりますか。

Ａ８－10 個別の事案ごとに判断することとなりますが、A社がB社のタグにより収集される閲覧履歴を取り扱っていないのであれば、A社がB社に閲覧履歴を「提供」したことにはならず、B社が直接にユーザーから閲覧履歴を取得したこととなると考えられます。このため、B社がそのタグを通じて閲覧履歴を取得することについて、法第26条の２第１項〔筆者注：法第31条第1項〕は適用されないと考えられます。 なお、個人情報取扱事業者であるB社は、閲覧履歴を個人情報として取得する場合には、偽りその他不正の手段によりこれを取得してはならず（法第17条第１項〔筆者注：法第20条第1項〕）、また、個人情報の利用目的を通知又は公表する必要があります（法第18条第１項〔筆者注：法第19条第1項〕）。

出典：「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」（https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf）

このように、アクセスログが外部送信用のタグを介して第三者に送信された場合に、ウェブサイト運営者がそのアクセスログを取り扱わないのであれば、アクセスログは第三者が直接取得したこととなり、「提供」行為は存在しないこととなります。

ウェブサイト運営者がアクセスログを取り扱う場合

他方で、一度はタグを介して第三者のサーバーに送信されたアクセスログが、さらにウェブサイト運営者のサーバーに転送される場合や、ウェブサイト運営者の従業員が第三者の提供するシステム上でアクセスログを閲覧できる場合には、単なる第三者による直接取得には止まりません（図③）。

この場合には、理論上は、（ⅰ）第三者がアクセスログを自ら取得した上で、それをさらにウェブサイト運営者に提供しているという整理と、（ⅱ）ウェブサイト運営者から第三者に対してアクセスログを提供している（あるいは、ウェブサイト運営者が第三者に対してアクセスログの取得行為を委託している）という整理の双方があり得るように思いますが、Q&A８－10の回答は（ⅱ）の整理を念頭に置いた記載になっているようにも読めます。

ウェブサイト運営者が統計データのみ取得する場合

次に、アクセスログが第三者に送信されるだけで、ウェブサイト運営者はそのアクセスログ自体を取得することも、閲覧することもしないけれども、第三者がアクセスログを分析して得られた統計情報がウェブサイト運営者に提供されるという場合はどうでしょうか（図④）。

統計情報は、特定の個人との対応関係が排斥されている情報をいいますから、個人データにも個人関連情報にも該当しません。したがって、「ウェブサイト運営者がアクセスログを取り扱わない場合」と同様に、「提供」行為は存在しないことになるでしょう。

このケースについては、次のＱ&A７－36も参考になります。このQ&Aは、ある企業（依頼企業）が消費者アンケート調査を外部事業者に依頼して実施した場合において、外部事業者のみが消費者の個人データを取り扱い、依頼企業に対してはその分析から得られた統計情報のみを提供するという場合には、依頼企業が外部事業者に対して個人データの取扱いを委託したことにはならないとしています。ウェブサイト運営者がアクセスログの分析結果（統計情報）だけを取得する上記の事例も、このＱ&A７－36の事例と同様に考えることができるように思います。

Ｑ７－36 当社は、外部事業者を利用して消費者アンケート調査を実施します。当該外部事業者において新たに個人データを取得し、その結果を集計して統計情報を作成し、当社は統計情報のみ提供を受けます。この場合、当社は当該外部事業者に対して個人データの取扱いの委託（法第23条第５項第１号〔筆者注：法第27条第５項第１号〕）をしているものと考えられますか。

Ａ７－36 個別の事例ごとに判断することになりますが、外部事業者のみがアンケート調査に係る個人データを取り扱っており、調査を依頼した事業者が一切個人データの取扱いに関与しない場合は、通常、当該個人データに関しては取扱いの委託をしていないと解されます。この場合、当該外部事業者は委託を受けることなく自ら個人データを取り扱う主体となり、例えば、本人から保有個人データの開示等の請求があった場合には、これに対応する必要があります。 他方、例えば、調査を依頼した事業者が当該個人データの内容を確認できる場合は、当該個人データに関して取扱いの委託をしていると解されます。また、契約上、調査を依頼した事業者に個人データの取扱いに関する権限が付与されている場合や、外部事業者における個人データの取扱いについて制限が設けられている場合には、当該個人データに関して取扱いの委託をしていると解されます。

出典：「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」（https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf）

以上の通り、ユーザーの端末からタグを介して第三者にアクセスログが送信されている場合における「提供」行為の有無は、ウェブサイト運営者がそのアクセスログを取り扱っているか否かという基準で判断されます。

ウェブサイト運営者の保有データがタグを介して送信される場合

しかし、アクセスログとは別に、ウェブサイト運営者が元々保有していたデータがタグを介して第三者に送信される場合があります。

これまで見てきたケースでは、タグ経由で第三者に送信されるデータは、ユーザーの端末を起源とするアクセスログでした。しかしながら、タグの設定により、ウェブサイト運営者が既に保有しているユーザーのデータを、タグを介して第三者に送信することが可能な場合があります。例えば、タグの種類によっては、ECサイトを運営する事業者が、外部送信用のタグをECサイトに埋め込む際に、ECサイトの会員の属性情報（性別、年代等）や過去の購買履歴がアクセスログと一緒に第三者に送信されるように設定することができるのです（図⑤）。

この属性情報・購買履歴は、ECサイトの運営者のサーバーから第三者に直接送信されるケースのほか、ECサイトの運営者のサーバーから一旦はユーザーの端末に送信され、そこからさらに第三者へと送信されるケースもあります。しかし、後者の場合であっても、通常、そのようなデータ送信が行われることをユーザーが知る由はありませんから、第三者がユーザー（の端末）から属性情報・購買履歴を直接取得したものと評価することは困難と言わざるを得ません。したがって、いずれのケースにおいても、ECサイトの運営事業者から第三者に対して属性情報・購買履歴が「提供」されたものと評価される可能性が高いと思われます。

このように、ウェブサイト運営者が既に保有していたデータが、タグを介して第三者に送信されている場合には、送信後のデータをウェブサイト運営者が取り扱っているか否かにかかわらず、ウェブサイト運営者から第三者への「提供」行為が存在すると考えられます。したがって、そのデータがウェブサイト運営者にとって個人データであるか、個人関連情報であるかに応じて、個人データまたは個人関連情報の第三者提供規制の適用を受けることとなります。

さいごに

第三者がタグ経由でユーザーの端末からアクセスログを取得している場合であって、第三者によって取得されたアクセスログをウェブサイト運営者が取り扱っておらず、また、ウェブサイト運営者が元々保有していたデータが第三者にタグを介して送信されていたといった事情もないのであれば、通常、そこに「提供」行為は存在せず、個人データ/個人関連情報の第三者提供規制は問題になりません。

しかし、この場合でも対応が全く必要ないというものではなく、外部データ送信について、ユーザーに対する適切な説明の在り方を検討すべきでしょう。次回は、この点についてお話ししたいと思います。

注：本ブログでは、分かりやすさの観点より、必ずしも正確でない用語・表現を用いて説明していることがあります。個別具体的な法解釈については、必ず法律専門家にご相談ください。