GDPR対応と同じように、日本でも個人情報保護法改正に向けて、Cookie情報の開示など、サービス提供者はウェブサイトの改修が必要になる。それぞれ開示する情報の種類や方法が異なるため、すでに海外向けに対応しているところも、あらためて修正する必要があるとのことで、改正法施行に向けて忙しくなるところが多くなりそうだ。
今回の規制強化では、TwitterやFacebookといったSNSや、Google、Yahoo! Japan、楽天、Amazonなども大きな影響を受けるだろう。これらはウェブサービスを提供すると同時に広告エージェントでもある。 特に多方面に展開しているサービスの場合、広告事業とそれ以外の事業を完全に分離して情報提供も行わない、とでもしない限り、かなり大きな影響を受けると思われる。
一方で、オプトアウト方式を採用することで、リテラシーの低いユーザーは結局Cookieの設定を切り替えることもなく、情報を利用されるままになると予想される。弱者救済の意味も含めて、オプトイン方式を採用したほうがよかったように思える。
鎌田副部長は「個人的な見解」とした上で、個人情報として扱われる情報の定義が曖昧であることに危機感を示した。たとえば現状、法律上は実名などでなければ個人情報として扱われないが、ネットが普及している現在、ハンドルネームも立派に個人を識別できる人格情報として扱われてもいい、というわけだ。
また、分析技術の向上により、ターゲティング広告を目的としたサードパーティCookieでも、病歴、犯罪歴、思想信条といった、個人情報保護法で「要配慮個人情報」として扱われる情報が、提供先で個人を特定する推論に利用される可能性も高まっている。こうした情報への何らかの保護についても検討が必要ではないかと指摘した。
行動履歴や位置情報など、ユーザーを特定する技術によって、一見無料で提供されているように見えるサービスも実はしっかりプライバシーという対価を支払っているのが現状だが、サービスを提供する側も、受ける側も、お互いにプライバシーの価値について、これまで無頓着でいすぎたのかもしれない。個人情報保護法改正の内容が適切か否かも含めて、改正を機会に、インターネット上でのプライバシーに関する議論が深まることを期待したい。