公正取引委員会、サイトでの「Cookie規制へ」報道
公正取引委員会が、一般のサイトでのCookie利用を規制する方向で検討を進めていると報じられ、アドテク業界などネット関連ではざわめきが広がっています。
29日未明、朝日新聞から大きいニュースが飛んできました。
公正取引委員会がネットの基本技術「Cookie」の利用に規制を検討しているという内容です。
企業がユーザーが使うブラウザのサイト閲覧履歴などを確認するために利用される技術である、この「Cookie」については、以下の解説をご覧ください。
初心者でもわかる「cookie(クッキー)」講座。危険性やスマホでの設定方法もズバリ解説(Time&Space KDDI 18/7/26)
インターネットサービスでは、ブラウザに紐づいたこのCookieを利活用することで、商業サイトから広告テクノロジーまで幅広い分野で利便性が確保されてきたのですが、昨今のプラットフォーム事業者への規制論議で、主にGAFA(Google、Amazon、Facebook、Apple)への牽制としてこのCookieの利用を制限するべきという議論は日本だけでなく欧州でも行われてきていました。
ただし、このCookieは「このブラウザは以前このサイトに訪問してくれた人なのか?」という意味合いを持つ識別子ぐらいしか持たないケースが大半で、実際には普通の商業サイトがCookieを収集したところでそれほど多くの個人に関する情報が収集できるというわけではありません。ただ、プラットフォーム事業者は大量の個人に関する情報を保有しているため、そのブラウザが誰のものであり、何をしようとしているのか(他の中小事業者よりも、はるかに)把握しやすいという競争上の優位を担保するもの、という理解になります。
その流れに乗る形で、我が国の公正取引委員会も「これはやらねば」ということで、重い腰を上げたのではないかと思います。
「クッキー」情報収集、公取委規制へスマホ位置情報も(朝日新聞デジタル 19/10/29)
個人的には朝日新聞のこのCookie解説画像がかなり出鱈目なので、早めに直して誤解が広がらないようにしてほしいと願うわけですが、それはともかく公正取引委員会としては「企業が個人に関する情報を取得する『手段』としてのCookie」の規制を「企業が個人に関する情報として取得する『内容』である各種情報」の制限よりも優先した形になります。
もちろん、公取委の狙いも分からなくはないのですが、本当に目的通りに制度設計ができ、実効的な監視が行えるのかは不明です。
もともとイギリスでは2012年にすでにCookie法(eプライバシー規制)が制定され、また、欧州ではCookie規制はGDPRが施行される以前から行われていたものですが、これが厳格化してユーザーのCookieの取得についてもGDPRレベルの同意が求められることになりました。皆さんもスマホやPCでウェブサイトを閲覧しているとき、各サイトが事前に「あなたのCookie取りますよ」といちいち許可を求めてくる事例が増えたのではないかと思います。
それに伴って、欧州では執行が強化されたCookie規制により是正勧告を受けるウェブサイトが急増しました。しかしながら、これらの注意喚起の対象は主にサイトサービスやウェブ広告テクノロジー各社に対してであって、本丸の規制対象にしたいGAFA各社についてはCookie制限によるeプライバシー規制だけでは実効性が乏しいのではないかという議論になっていきます。
例えば、すでに十億人単位でユーザーを抱え、その膨大なユーザーの情報を抱えているGoogleの個人情報収集に制限をかけようとeプライバシー規制の一環としてCookie規制をかけたとしても、ユーザーがGoogleの利便性の高さゆえに個人に関する情報の包括同意を与えてしまい「形式合意」を行ってしまっていることになります。つまり、日本や欧州の当局が「Cookie規制です」と言っても日常的にGoogleを使っているユーザーが主体的かつ形式的、包括的にGoogleに個人に関する情報の利用を許諾してしまっているとそこで当局は何も言えなくなります。この「形式合意」に落ちている現状は由々しいのですが、一方でユーザーはもっと気軽にネットを使いたいというニーズを常に持つため、非常にデリケートな問題を孕みます(Cookieウォール無効の問題など)。それもあって、ネットサービスを展開している各社が「Cookie規制をしても、困るのは中小事業者やアドテク業者ばかりで、本当に規制したいGAFAはむしろ有利になるのではないか」と考えるのも分からないでもありません。
他方、アメリカでもカリフォルニア州の消費者プライバシー法ではこのCookieも個人に関する情報として規定され、Cookie利用については報告が求められます。こちらも、直撃するのはターゲティング広告など広告テクノロジーを扱う各社の持つ個人に関する情報の利活用についてであって、個人情報保護の文脈からもこれらのプライバシー関連規制はより強化される方向へ行くことは間違いありません。
必然的に、日本も欧州のGDPRやアメリカの動向を見ながらこれらと同等の法規制を行わなければならない状況になっていくと思いますが、本来の主眼はプライバシー保護の延長線上にあるGAFAなどプラットフォーム事業者の個人データの大規模収集とそれへの分析で不利になり続けるデータ資本主義上の「敗戦」です。アメリカでも、これらの情報を独占するプラットフォーム事業者こそ、公正取引や適正競争に問題があるということで、企業分割の対象とすることの是非が議論になり始めています。一方、GAFAからユーザーとして利便性と革新性という多大な恩恵を受けているのはユーザーに他なりませんから、単に各国当局と多国籍大企業のいたちごっこと揶揄する以上に深刻な状況になり得ることは危機感を持たざるを得ません。
言うなれば、国家以上に多くの情報を持ち、国家を跨いで世界を繋ぎ、世界中のデータを集めて最高峰の知性と技術をもって分析をし、未来を予測するプラットフォーム事業者は、旧約聖書『創世記』で言う「神の住まう点を目指し建設されるバベルの塔」のような存在であるかもしれません。おそらくは、従来の競争政策の概念での「公正な競争」では、いまのデータ資本主義の時代のスーパーパワーをうまく定義できず統制もできないという問題の表れなのではないかと思います。
おそらくは、公正取引委員会からの詳報はこれから出てくる中で微修正も入っていくのだろうと思いますが、何よりも、(1)対応できないアドテク企業の大量死と(2)Cookie不正取得企業をどこまで公取委がしっかり発見して槍を持って突入できるのかというあたりに強い興味と関心があります。単に「海外でもeプライバシー関連規制が増えたからうちも検討・実施しないとな」という志の低いレベルでの話ではないことを心から祈っております。