2σ Guide

広告配信業者との
共同利用とCookie同意の関係

共同利用、Cookie同意、個人関連情報、外部送信規律を分け、広告タグやSDKを導入する企業がどの順序で確認すべきかを整理します。

5つ 切り分ける規律
31条 個人関連情報の確認義務
2023.6.16 外部送信規律の施行日
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

広告配信業者との 共同利用とCookie同意の関係

共同利用、Cookie同意、個人関連情報、外部送信規律を分け、広告タグやSDKを導入する企業がどの順序で確認すべきかを整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
広告配信業者との 共同利用とCookie同意の関係
共同利用、Cookie同意、個人関連情報、外部送信規律を分け、広告タグやSDKを導入する企業がどの順序で確認すべきかを整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 広告配信業者との 共同利用とCookie同意の関係
  • 共同利用、Cookie同意、個人関連情報、外部送信規律を分け、広告タグやSDKを導入する企業がどの順序で確認すべきかを整理します。

POINT 1

  • 広告配信業者との共同利用と Cookie同意の全体像
  • 結論は、共同利用の表示とCookie同意を代替関係で見ないことです。
  • 共同利用
  • Cookie同意
  • 個人関連情報

POINT 2

  • 広告配信業者との共同利用と Cookie同意が混同される理由
  • 広告タグを貼るだけに見える処理でも、複数の法的評価が重なります。

POINT 3

  • Cookie同意と共同利用を読むための 基本用語
  • Cookie、広告ID、個人データ、個人関連情報を分けて理解します。
  • 広告IDはスマートフォン等で広告配信・効果測定に利用される識別子です。
  • 用語の違いを押さえることは、共同利用、委託、第三者提供、31条確認、外部送信対応のどれが問題になるかを判定する前提です。
  • 特に「提供元での性質」と「提供先での性質」が違うことを読み取ってください。

POINT 4

  • 広告配信業者との共同利用で 確認すべき機能と限界
  • 横断利用
  • 自己目的利用

POINT 5

  • 個人関連情報とCookie同意は 31条確認が中核になる
  • 1. Cookie ID・閲覧履歴等を広告配信業者へ連携:提供元では個人情報でない場合でも、個人関連情報に該当し得ます。
  • 2. 提供先で個人データとして取得されることが想定されるか:会員ID、広告ID、ログイン情報、購買データ、登録メールアドレス等との突合を確認します。
  • 3. 31条確認を検討:本人同意が得られていることの確認、同意文言、証跡保存、撤回方法を設計します。
  • 4. 実態を継続確認:契約、仕様、利用目的、広告配信業者の説明が変わると評価も変わります。

POINT 6

  • 外部送信規律とCookie同意は 共同利用とは別に検討する
  • 外部送信規律は、利用者端末から外部へ情報を送信させる際の透明性規律です。
  • 2022年改正で導入され、2023年6月16日に施行されました。
  • 重要なのは、個人データを共同利用するかどうかと、利用者端末から外部へ情報送信させるかどうかを別軸で見ることです。
  • 外部送信規律は、しばしば日本版Cookie規制と呼ばれます。

POINT 7

  • 広告配信業者との関係を 6類型で整理する
  • 契約名ではなく、データの利用実態から法的地位を分類します。
  • 実装が複数の類型をまたぐこともあるため、データフロー単位で評価する必要があります。
  • 次の比較一覧は、各類型の判断軸と主な対応をまとめたものです。
  • 自社の連携がどの行に近いかを読み取り、必要な表示、同意、契約、記録を積み上げてください。

POINT 8

  • 広告配信業者との共同利用と Cookie同意の実務判断手順
  • 1. データフローを描く:送信元、送信先、データ項目、送信タイミング、送信方法、保存期間、突合の有無を一覧化します。
  • 2. 各当事者での法的性質を判定する
  • 3. 法的地位を分類する:委託、共同利用、第三者提供、個人関連情報提供、直接取得、外部送信のどれに当たるかを整理します。
  • 4. 必要な対応を積み上げる
  • 5. 契約・表示・実装を一致させる

まとめ

  • 広告配信業者との 共同利用とCookie同意の関係
  • 広告配信業者との共同利用と Cookie同意の全体像:結論は、共同利用の表示とCookie同意を代替関係で見ないことです。
  • 広告配信業者との共同利用と Cookie同意が混同される理由:広告タグを貼るだけに見える処理でも、複数の法的評価が重なります。
  • Cookie同意と共同利用を読むための 基本用語:Cookie、広告ID、個人データ、個人関連情報を分けて理解します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

広告配信業者との共同利用と
Cookie同意の全体像

結論は、共同利用の表示とCookie同意を代替関係で見ないことです。

広告配信業者とのデータ連携を「共同利用」と表示しても、Cookie同意が当然に不要になるわけではありません。反対に、Cookie同意バナーを置いたとしても、個人情報保護法上の共同利用、第三者提供、個人関連情報の提供、委託先管理、外国第三者提供、電気通信事業法上の外部送信規律への対応が自動的に完了するわけでもありません。

要点最初に確認すべきことは、誰が、どの情報を、どの時点で、どの目的で、どの法的地位で扱うのかです。データの流れを確定してから、共同利用公表、31条同意確認、Cookieバナー、外部送信ポリシー、委託契約、DPA、外国提供対応を組み合わせます。

次の一覧は、このページで扱う主要論点を四つの視点に整理したものです。広告配信の技術実装は部門をまたぐため、各視点がどの規律に関わるかを先に押さえることが、見落としを防ぐうえで重要です。各項目から、自社の連携がどこで同意、表示、契約、記録を必要とするかを読み取ってください。

Privacy

共同利用

個人データを複数主体で利用する制度です。共同利用者の範囲、データ項目、利用目的、管理責任者を本人が分かる形で示す必要があります。

Cookie

Cookie同意

31条同意、外部送信対応、EU・英国型の同意、自主的なプライバシー配慮など、何に対する同意かを分けて設計します。

Data

個人関連情報

Cookie IDや閲覧履歴が提供先で個人データ化される場面では、本人同意が得られていることの確認と記録が問題になります。

Telecom

外部送信規律

タグやSDKにより利用者端末から外部へ情報を送信させる場合、送信情報、送信先、利用目的の通知・公表などを検討します。

この整理は一般的な制度説明です。実際の結論は、広告配信ツール、タグ、SDK、サーバサイド連携、広告事業者の規約、海外法の適用可能性によって変わります。最終確認は2026年5月11日時点の情報を前提にしています。

Section 01

広告配信業者との共同利用と
Cookie同意が混同される理由

広告タグを貼るだけに見える処理でも、複数の法的評価が重なります。

Web広告では、サイト運営者が広告配信業者、DMP、DSP、SSP、アドネットワーク、アドエクスチェンジ、計測ベンダー、アクセス解析事業者、SNS広告事業者、リターゲティング広告事業者などと連携します。タグ設置、SDK組込み、Cookie ID、広告ID、端末識別子、IPアドレス、ユーザーエージェント、閲覧URL、リファラー、クリック履歴、コンバージョン情報の送信が典型です。

さらに、会員ID、顧客ID、ハッシュ化メールアドレス、購買履歴、問い合わせ履歴、属性情報を広告IDと照合し、広告配信業者が自社データと突合してオーディエンスセグメントを作ることもあります。広告効果測定、リターゲティング、類似ユーザー配信、広告不正対策、アトリビューション分析が含まれると、単なるCookie利用とは評価できません。

次の比較表は、同じ広告関連データでも、どの規律がどの情報に着目するかを整理したものです。実務で重要なのは、表の各列を一つの対応でまとめて処理しないことです。主な対象と典型的な問題を見比べることで、プライバシーポリシー、Cookieバナー、外部送信ポリシー、契約条項のどれを点検すべきかが見えてきます。

規律主な対象典型的な問題
個人データ第三者提供個人データ本人同意、オプトアウト、委託、共同利用、事業承継の整理
共同利用共同して利用する個人データ公表・通知事項、共同利用者の範囲、管理責任者
個人関連情報提供Cookie ID、閲覧履歴等が受領者で個人データ化される場面本人同意取得の確認、記録保存、提供先での突合可能性
外部送信規律利用者端末から外部へ送信される利用者情報通知・公表、同意、オプトアウト、対象事業者判定
海外法・業界規制・契約規制EU、英国、米国州法、広告プラットフォーム規約等GDPR、ePrivacy、CPRA、IAB TCF、プラットフォームポリシー

企業側では、マーケティング部門が「広告タグを貼るだけ」と捉え、法務部門が「個人情報ではないCookieだから個人情報保護法の問題ではない」と誤解し、プライバシーポリシーに「広告配信事業者と共同利用します」と書けば足りると考えることがあります。実際には、「共同利用か、同意か」ではなく、どの規律にどの法的根拠、透明性措置、同意取得、契約統制が必要かを分解して検討します。

Section 02

Cookie同意と共同利用を読むための
基本用語

Cookie、広告ID、個人データ、個人関連情報を分けて理解します。

Cookieは、Webサイトを閲覧した利用者のブラウザに保存される小さな識別情報であり、セッション管理、ログイン維持、カート機能、アクセス解析、広告配信、リターゲティング、A/Bテストなどに使われます。広告IDはスマートフォン等で広告配信・効果測定に利用される識別子です。どちらも単体で常に個人情報になるわけではありませんが、会員ID、氏名、メールアドレス、購買履歴、ログイン情報などと容易に照合できる場合は個人情報または個人データに該当し得ます。

次の一覧は、広告配信業者との連携で頻出する用語を、法的評価に関わるポイントに絞ってまとめたものです。用語の違いを押さえることは、共同利用、委託、第三者提供、31条確認、外部送信対応のどれが問題になるかを判定する前提です。特に「提供元での性質」と「提供先での性質」が違うことを読み取ってください。

用語内容実務上の注意点
Cookieブラウザに保存される識別情報会員情報等と結び付くと個人情報または個人データになり得る
広告ID・端末識別子スマートフォン等で広告配信・効果測定に使われる識別子行動、属性、購買履歴、会員情報等との結合が問題になる
タグ・ピクセル・SDK閲覧、クリック、コンバージョン、購入、フォーム送信などを計測する仕組み提供、直接取得、外部送信のどれに当たるかは実装で変わる
個人情報生存する個人に関する情報で、特定の個人を識別できるもの等Cookie ID単体では該当しない場合が多いが、容易照合性に注意する
個人データ個人情報データベース等を構成する個人情報第三者提供、共同利用、委託、外国提供など多くの規律の中心になる
個人関連情報個人情報、仮名加工情報、匿名加工情報に該当しない生存する個人に関する情報提供先で個人データ化される場合、31条の確認義務が問題になる
委託利用目的の達成に必要な範囲で外部事業者に取扱いを委ねること広告配信業者が自己目的で利用する場合、単純な委託とは整理しにくい
共同利用特定の者との間で個人データを共同して利用する制度共同利用者の範囲、目的、責任者、本人から見た透明性が重要
Cookie同意31条同意、外部送信対応、海外法上の同意、自主的同意などの総称として使われがちな言葉誰が、何の情報を、何の目的で、誰に対して同意するのかを明確にする

個人関連情報は「提供元では個人情報ではない」ことを前提にする概念です。提供先で既存の会員データや広告IDデータベースと突合され、個人データとして取得される場合、個人情報保護法31条の確認義務が問題になります。この点を共同利用の表示だけで処理しようとすると、制度の入口を取り違えるおそれがあります。

Section 03

広告配信業者との共同利用で
確認すべき機能と限界

共同利用は個人データ第三者提供規制に関する制度であり、万能な同意不要化ではありません。

個人情報保護法上、個人データを第三者に提供するには原則として本人同意が必要です。ただし、委託、事業承継、共同利用については、一定の条件の下で「第三者」に該当しないものとして扱われます。共同利用はその例外類型の一つであり、本人に対して共同利用の構造を透明化し、共同利用者の範囲と利用目的を明示し、管理責任者を定める制度です。

次の一覧は、共同利用の公表で最低限整理すべき事項と、広告配信業者との関係で問題になりやすい点を対比したものです。共同利用の表示は形式ではなく、本人が実質的に理解できることが重要です。どの項目が抽象的な表現に逃げやすいかを読み取ってください。

公表・通知事項広告配信での確認点不十分になりやすい例
共同利用する旨どのデータを複数主体で使うのか「提携先と共同利用します」の一文だけ
共同利用される個人データの項目会員ID、購入履歴、広告接触履歴、応募履歴などの具体性「お客様情報」とだけ書く
共同利用者の範囲広告配信業者、グループ会社、共同キャンペーン参加者を特定できるか「当社が提携する広告事業者」とだけ書く
利用する者の利用目的広告配信、効果測定、リターゲティング、オーディエンス拡張、不正対策の有無「広告配信のため」とだけ書く
管理責任者名称、住所、法人代表者名等を確認できるか管理責任者が不明

共同利用が比較的検討しやすいのは、共同キャンペーン、グループ会社間の共通会員基盤、小売業者とメーカーの共同販促、プラットフォーム運営者と出店者の共同サービス提供など、共同利用者の範囲と目的を具体化しやすい場面です。利用者にとっても、なぜ複数主体が同じデータを使うのかを説明しやすい構造であることが前提になります。

次の注意一覧は、広告配信業者を共同利用者と位置付ける前に特に警戒すべき場面を整理したものです。これらは共同利用の表示だけで処理すると、法務、レピュテーション、当局対応のいずれでも問題化しやすいため重要です。各項目から、広告配信業者の独自利用と本人から見た透明性がどこで崩れるかを確認してください。

横断利用

多数の広告主から収集したデータを広告ネットワーク全体でプロファイリングする場合、共同利用の目的内に収めにくくなります。

自己目的利用

他社広告主向け配信、類似ユーザー生成、広告在庫最適化、プラットフォーム改善に利用する場合、独立した利用主体としての評価が問題になります。

範囲の変動

共同利用者が随時変動し、本人が容易に把握できない場合、共同利用者の範囲を実質的に示したとはいいにくくなります。

実態不明

サイト運営者が広告配信業者のデータ利用実態を把握していないまま共同利用と表示している場合、説明と実装が一致しません。

直接取得

広告配信業者がタグ経由で独立した管理者として情報を取得している場合、共同利用の枠組みだけでは説明できないことがあります。

個人データ化

Cookie IDや広告IDが提供先で会員データと突合される場合、個人関連情報や第三者提供の検討が必要になります。

Section 05

外部送信規律とCookie同意は
共同利用とは別に検討する

外部送信規律は、利用者端末から外部へ情報を送信させる際の透明性規律です。

電気通信事業法上の外部送信規律は、利用者がWebサイトやアプリを利用する際、利用者端末から外部サーバへ利用者に関する情報が送信されることについて、利用者が確認できる機会を確保するための規律です。2022年改正で導入され、2023年6月16日に施行されました。広告タグ、アクセス解析タグ、SNSプラグイン、アフィリエイトタグ、ヒートマップツール、A/Bテストツール、動画配信ツール、レコメンドエンジン、チャットボット、アプリSDKなどが検討対象になり得ます。

次の比較表は、共同利用の公表と外部送信対応が同じものではないことを示しています。重要なのは、個人データを共同利用するかどうかと、利用者端末から外部へ情報送信させるかどうかを別軸で見ることです。表の左右を見比べ、共同利用の表示だけでは外部送信対応が終わらない場面を読み取ってください。

状況共同利用の公表外部送信対応
個人データを広告配信業者と共同利用する必要タグ・SDK等による外部送信があれば別途必要
Cookie ID等を外部送信するが、個人データの共同利用はない通常は共同利用ではない対象事業者なら必要
広告配信業者がタグ経由で直接情報取得する共同利用とは限らないサイト運営者側で検討が必要
サーバサイドで会員ID・購買情報を送信する第三者提供、委託、共同利用等を検討端末外部送信とは別にプライバシー説明・同意等を検討

外部送信規律は、しばしば日本版Cookie規制と呼ばれます。しかし、EUのePrivacy型の包括的Cookie同意義務とは異なり、日本法だけを前提にすると、すべての広告Cookieについて事前同意バナーが常に必要という単純な結論にはなりません。対応方法としては、通知・公表、同意取得、オプトアウト措置等があり得ます。

次の一覧は、外部送信ポリシーやCookieポリシーで整理しておくべき情報をまとめたものです。送信される情報、送信先、利用目的、停止方法が曖昧だと、利用者が何を確認すべきか分かりません。各列から、タグやSDKの台帳とポリシー表示をどう一致させるかを読み取ってください。

項目記載の方向性
ツール名広告配信タグ、アクセス解析ツール、SNS広告ピクセル等を具体化する
送信先広告配信事業者名、解析事業者名などを確認できる形にする
送信される情報Cookie ID、広告ID、IPアドレス、閲覧URL、リファラー、クリック情報、購買イベント等を整理する
自社の利用目的広告配信、広告効果測定、アクセス解析、サービス改善等を分ける
送信先の利用目的広告配信、効果測定、レポート作成、広告不正対策等を確認する
オプトアウト・停止方法ブラウザ設定、広告事業者の停止ページ、CMP設定等を整理する
個人データ化の有無会員情報等と紐付く場合は内容と同意取得方法を示す
外国移転の可能性外国事業者や外国サーバ利用がある場合の説明を検討する
Section 07

広告配信業者との共同利用と
Cookie同意の実務判断手順

データフロー、法的性質、法的地位、必要対応、実装整合性の順に確認します。

実務では、単一の対応で全てを済ませようとせず、段階ごとに確認します。最初に、ブラウザ、アプリ、サーバ、タグマネージャー、広告配信業者、解析事業者、DMP、CDP、CRM、MAツール、クラウド基盤の間で、どの情報がどこへ流れるかを図式化します。

次の時系列は、広告関連データ連携を導入・見直しする際の標準的な確認順序を示しています。順番が重要なのは、後の表示や同意文言が、前段の事実認定に依存するためです。各段階で、どの証跡や社内台帳が必要になるかを読み取ってください。

Step 1

データフローを描く

送信元、送信先、データ項目、送信タイミング、送信方法、保存期間、突合の有無を一覧化します。

Step 2

各当事者での法的性質を判定する

同じCookie IDでも、自社では個人関連情報、広告配信業者では個人データ、解析事業者では統計情報ということがあります。

Step 3

法的地位を分類する

委託、共同利用、第三者提供、個人関連情報提供、直接取得、外部送信のどれに当たるかを整理します。

Step 4

必要な対応を積み上げる

共同利用の公表、第三者提供同意、31条確認、委託契約、外部送信ポリシー、Cookieバナー、外国提供、記録保存を組み合わせます。

Step 5

契約・表示・実装を一致させる

契約書、プライバシーポリシー、Cookieポリシー、外部送信ポリシー、CMP画面、タグ設定、データ連携仕様、社内台帳を照合します。

次の比較一覧は、分類に応じて積み上げる主な対応を整理したものです。重要なのは、一つの対応を広く読み替えないことです。たとえばCookieバナーがあることと、共同利用の公表事項が満たされていることは別問題であると読み取ってください。

必要対応該当し得る場面
共同利用の公表個人データを共同利用する場合
第三者提供同意個人データを独立利用する広告配信業者へ提供する場合
31条同意確認個人関連情報を提供先が個人データ化する場合
委託契約・監督広告配信業者が委託先の場合
外部送信ポリシータグ・SDK等により利用者端末から情報送信される場合
Cookieバナー・CMP同意型運用、海外法対応、31条同意代行、ユーザー選択設計
外国提供対応外国にある第三者への個人データ提供等がある場合
記録保存第三者提供、31条確認、同意ログ、CMPログが必要な場合

法務レビューで見つかりやすい不整合には、契約では委託と書いているが規約では自己目的利用が認められている、プライバシーポリシーでは共同利用と書いているが外部送信ポリシーでは送信先が表示されていない、CMPで拒否できるのにサーバサイドAPIは拒否後も送信している、同意文言に提供先で個人データとして取得することが書かれていない、タグマネージャー上の新規タグを法務・プライバシー担当が把握していない、といったものがあります。

Section 08

Cookie同意と共同利用の表示文を
どう設計するか

表示例は、そのまま流用するよりも、自社のデータフローに合わせて修正することが前提です。

共同利用の表示では、共同利用者の範囲、項目、目的、責任者を特定する必要があります。広告配信業者が自己目的利用を行うか、共同利用目的を超えるか、本人が容易に共同利用者を確認できるかが重要です。

次の比較一覧は、表示文・同意文言で明示すべき要素を整理したものです。重要なのは、「Cookieの利用に同意する」という抽象的な表現にとどめないことです。列ごとに、誰に、何が、何の目的で渡り、提供先でどのように扱われるかを読み取れるか確認してください。

場面明示すべき要素注意点
共同利用の表示共同利用データの項目、共同利用者の範囲、目的、管理責任者、問い合わせ窓口「提携先と共同利用することがあります」だけでは不足しやすい
個人関連情報提供の同意Cookie ID、広告ID、閲覧履歴、クリック履歴、購入イベント情報、提供先での個人データ化提供先が個人データとして取得することを文言に含める
外部送信ポリシーツール、送信先、送信情報、自社の利用目的、送信先の利用目的、停止方法利用者がどの情報がどこへ何のために送信されるか分かる必要がある
不適切な表示サービス向上のためCookieを使用、詳しくはプライバシーポリシーを確認、提携先と共同利用広告配信業者への送信、個人データ化、共同利用者、送信先・目的が不明になる
表示上の注意「Cookieを拒否してもサービス利用に影響はありません」という記載は、実際にログイン維持、カート、セキュリティ、不正防止、決済、広告計測、レコメンド等に影響がある場合には不正確です。必須Cookie、機能Cookie、分析Cookie、広告Cookieを区別して説明する必要があります。

表示例は一般的な設計の参考にとどまります。実際には、自社のデータフロー、広告配信業者の規約、対象ユーザー、海外法の適用可能性、同意ログの保存方法、撤回後の停止方法に応じて修正する必要があります。

Section 09

広告配信業者との契約と
社内ガバナンスの確認点

広告配信データは継続的に処理されるため、契約条項と運用統制の両方が必要です。

契約・規約レビューでは、広告配信業者が受領データをどの目的で利用できるか、自社広告配信・効果測定だけか、広告配信業者のサービス改善、他社広告主向け配信、オーディエンス拡張、不正対策、機械学習モデル訓練にも使われるかを確認します。独自利用がある場合、委託ではなく、第三者提供、共同利用、個人関連情報提供、直接取得のいずれかを検討します。

次の一覧は、契約・規約で重点的に見る条項をまとめたものです。広告配信データは大量かつ継続的に扱われるため、目的、同意、再委託、安全管理、証跡のどれかが抜けると運用全体が崩れやすくなります。各項目から、広告配信業者に何を確認し、契約に何を落とし込むべきかを読み取ってください。

1

データ利用目的

自社広告配信・効果測定に限られるか、サービス改善、他社広告主向け利用、機械学習モデル訓練まで含むかを確認します。

目的
2

同意取得責任

誰が同意を取得し、同意ログを保存し、撤回後の送信停止を担保するかを契約で明確にします。

同意
3

外部送信情報の提供

送信情報、送信先、利用目的、保存期間、第三者提供、外国移転、停止方法について最新情報の提供義務を課すことが望ましいです。

表示
4

再委託・サブプロセッサ

クラウド、計測パートナー、海外関連会社の範囲、通知方法、異議申立て、監査、データ所在地を確認します。

再委託
5

安全管理措置

アクセス制御、暗号化、ログ管理、権限管理、脆弱性対応、インシデント通知、データ削除、監査証跡を確認します。

安全管理
6

監査・証跡

共同利用、31条確認、第三者提供同意、CMP同意、オプトアウト、タグ変更の証跡を保存します。

証跡

次の役割一覧は、社内で誰が何を担うべきかを整理したものです。広告配信業者との共同利用とCookie同意は法務部門だけでは完結しないため、部門ごとの責任を明確にすることが重要です。表から、タグ追加やポリシー更新をどの部門の承認と連動させるべきかを読み取ってください。

部門・職種主な役割
法務担当・企業内弁護士法的分類、契約審査、同意文言、共同利用公表、第三者提供判断
個人情報保護・プライバシー担当データマッピング、PIA、プライバシーポリシー、外部送信ポリシー
マーケティング部門広告目的、タグ導入要件、広告配信業者との実務連絡
情報システム・セキュリティ部門タグ管理、SDK管理、アクセス制御、ログ、脆弱性対応
購買・ベンダーマネジメント契約管理、委託先評価、再委託管理
内部監査運用状況の点検、CMP設定、タグ棚卸し、証跡確認
経営層・CLO・CCOリスク許容度、ガバナンス方針、重大インシデント対応

特に重要なのは、マーケティング部門によるタグ追加を、法務、プライバシー、セキュリティのレビューなしに進めないことです。タグマネージャーの権限管理、タグ台帳、導入前チェック、定期棚卸し、外部スキャンを運用に組み込むことが望まれます。

Section 10

広告配信業者との共同利用と
Cookie同意のFAQ

典型的な誤解を一般情報として整理します。個別事情により結論は変わります。

Cookieは個人情報ではないため、法律対応は不要ですか

一般的には、Cookie ID等は提供元で個人情報に該当しない場合でも、個人関連情報に該当し得るとされています。ただし、提供先で個人データとして取得されるか、利用者端末から外部へ情報送信させるか、広告IDや会員情報との突合があるかによって結論が変わる可能性があります。具体的な対応は、データフローと契約資料を整理したうえで弁護士等の専門家へ相談する必要があります。

共同利用と書けば、広告配信業者への提供は整理できますか

一般的には、共同利用には、共同利用者の範囲、データ項目、利用目的、管理責任者を本人が容易に知り得る状態に置くなどの要件があるとされています。ただし、個人関連情報の提供規制や外部送信規律は、共同利用の公表だけで当然に解決するものではありません。具体的な対応は、広告配信業者の独自利用や実装方式を確認したうえで専門家へ相談する必要があります。

Cookie同意バナーを置けば、共同利用の公表は不要ですか

一般的には、Cookie同意バナーが何の同意を取得しているかによって評価が変わるとされています。個人データを共同利用する場合には、共同利用に必要な公表・通知事項を別途満たす必要があります。ただし、同意画面、プライバシーポリシー、外部送信ポリシーの設計によって整理は変わり得るため、具体的には資料を整理して専門家へ相談する必要があります。

広告配信業者はすべて委託先と考えてよいですか

一般的には、広告配信業者が自社の広告ネットワーク全体でデータを利用する場合、他社広告主向けに利用する場合、独自にプロファイルを作成する場合には、純粋な委託先とは評価しにくい可能性があります。ただし、契約、規約、実装、利用目的によって結論は変わります。具体的な分類は、広告配信業者の自己目的利用の有無を確認したうえで専門家へ相談する必要があります。

ハッシュ化すれば個人情報ではなくなりますか

一般的には、ハッシュ化メールアドレスや電話番号であっても、提供先が同じ方式で会員データと照合できる場合には、個人識別性が残る可能性があるとされています。ハッシュ化は安全管理措置として有用な場合がありますが、法的な非個人情報化を当然に意味するものではありません。具体的には、照合可能性、復元可能性、提供先のデータベース、契約上の制限を確認する必要があります。

外部送信規律は第三者Cookieだけの規制ですか

一般的には、外部送信規律はCookieに限られず、利用者端末から外部へ利用者に関する情報を送信させる仕組みを対象にし得るとされています。広告ID、端末情報、閲覧URL、SDK送信、タグ送信なども問題となる可能性があります。ただし、対象サービスか、送信情報が何か、通知・公表や同意等のどの方法で対応するかは個別事情で変わります。

次の重要ポイントは、日本法だけでなく海外法や改正動向を確認する理由をまとめたものです。広告配信とCookie同意は、地域、広告プラットフォーム、利用者層によって要求水準が変わるため重要です。ここから、国内対応だけで完了と見ない姿勢が必要だと読み取ってください。

海外法・規約・改正動向も同時に確認する

EU・英国ではePrivacy規制やGDPR、米国州法ではターゲティング広告や販売・共有、広告プラットフォーム規約では通知・同意・禁止データが問題になります。2026年4月7日に公表された改正法案や制度改正方針も、個人関連情報、課徴金、本人関与、不適正利用の実務に影響し得ます。

Section 11

広告配信業者との共同利用と
Cookie同意の実務チェックリスト

導入前、契約、運用の三段階で確認します。

チェックリストは、広告タグ、SDK、API、サーバサイド連携の導入前だけでなく、契約締結時、運用中のタグ追加、規約変更、CMP設定変更のたびに見直すことが重要です。特に拒否・撤回後の送信停止や、外部送信ポリシーと実装の一致は、導入後に崩れやすい論点です。

導入前チェック

  • 導入する広告タグ、SDK、API、サーバサイド連携を一覧化したか。
  • 送信される情報の項目を確認したか。
  • 送信先事業者と再委託先を確認したか。
  • 送信先で個人データとして取得される可能性を確認したか。
  • 広告配信業者の自己目的利用の有無を確認したか。
  • 委託、共同利用、第三者提供、個人関連情報提供、直接取得の分類を行ったか。
  • 外部送信規律の対象サービスかを確認したか。
  • プライバシーポリシー、共同利用公表、外部送信ポリシー、Cookieポリシーを更新したか。
  • CMPや同意ログの設計を確認したか。
  • 拒否・撤回後にタグ・API送信が停止するかテストしたか。

契約チェック

  • 広告配信業者のデータ利用目的が明確か。
  • 自己目的利用の有無が契約上明記されているか。
  • 再委託・外国移転・サブプロセッサが管理されているか。
  • 同意取得責任と証跡保存責任が定められているか。
  • インシデント通知義務が定められているか。
  • データ削除・返還・利用停止の義務があるか。
  • 監査権または説明資料提供義務があるか。
  • 広告配信業者の標準規約と個別契約が矛盾していないか。

運用チェック

  • タグ台帳を更新しているか。
  • 新規タグ追加に法務・プライバシー承認が必要か。
  • 外部送信ポリシーが実装と一致しているか。
  • CMPのカテゴリ分類が実態と一致しているか。
  • 同意撤回後の送信停止が技術的に担保されているか。
  • 広告配信業者の規約変更を定期的に確認しているか。
  • 社内監査でタグ・SDKの棚卸しを行っているか。
  • 問い合わせ・開示等請求・苦情対応の手順があるか。
Section 12

広告配信業者との共同利用と
Cookie同意のまとめ

共同利用とCookie同意は対立概念ではなく、別々のリスクに対応する部品です。

広告配信業者との共同利用とCookie同意の関係は、単なるCookieバナーの設置問題ではありません。企業法務上は、個人データの共同利用、個人関連情報の提供、外部送信規律、委託先管理、第三者提供同意、広告プラットフォーム規約、海外法、社内ガバナンスを横断する複合論点です。

次の重要ポイントは、このページの結論を実務対応に落とし込むための確認事項です。共同利用、31条、外部送信、契約、統制の役割を取り違えないことが重要です。各項目から、自社のCookie同意バナーだけで不足する論点を読み取ってください。

最初にデータフロー、最後に表示・同意・契約・統制を合わせる

共同利用はCookie同意の一般的代替手段ではありません。Cookie IDや閲覧履歴は、提供先で個人データ化されると31条対応が必要になり得ます。広告タグによる直接取得でも外部送信規律と透明性対応が問題になります。

  • 共同利用は、個人データの第三者提供規制に関する制度です。
  • Cookie IDや閲覧履歴は、提供元で個人情報でなくても、個人関連情報として31条対応が必要になる場合があります。
  • 個人関連情報の提供規制では、個人データの共同利用と同じ例外を当然には使えません。
  • 広告タグによる直接取得であっても、外部送信規律と透明性対応は別途問題になります。
  • Cookie同意バナーは、どの法的要件を満たすための同意なのかを明確に設計する必要があります。
  • 広告配信業者を委託先、共同利用者、第三者、独立取得者のどれとして扱うかは、契約名ではなく、データ利用実態によって判断します。
  • 法務、プライバシー、マーケティング、情報システム、セキュリティ、内部監査が共同で、タグ台帳、外部送信ポリシー、同意管理、契約統制を運用する必要があります。

企業が取るべき実務対応は、まず広告関連データフローを可視化し、次に各情報の法的性質と各当事者の役割を分類し、最後に共同利用公表、31条同意確認、外部送信ポリシー、Cookieバナー、契約条項、同意ログ、タグ統制を組み合わせることです。

Reference

参考資料

公的機関・中立的資料を中心に、制度理解のための資料名を整理します。

個人情報保護法・ガイドライン

  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドラインに関するQ&A」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」
  • e-Gov法令検索「個人情報の保護に関する法律」

外部送信規律・電気通信事業法

  • e-Gov法令検索「電気通信事業法」
  • 総務省「外部送信規律FAQ」
  • 総務省「外部送信規律について」
  • 一般財団法人日本情報経済社会推進協会「改正電気通信事業法における外部送信規律とは」

制度改正動向

  • 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」
  • 個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律案の閣議決定について」
  • 内閣法制局「個人情報の保護に関する法律等の一部を改正する法律案」