2σ Guide

Cookie・広告ID・
行動ターゲティングの開示

個人関連情報、外部送信規律、海外規制、広告プラットフォーム規則、契約・監査を横断し、企業法務が説明可能な開示と同意管理を設計するための実務整理です。

31条個人関連情報の確認論点
2023年6月外部送信規律の施行
4層開示・選択設計の基本
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

Cookie・広告ID・ 行動ターゲティングの開示

Cookie表を置くだけでなく、取得、送信、利用目的、停止手段、社内統制まで説明できる状態を作ります。

動画を読み込み中…
2σ GUIDE ・ VIDEO
Cookie・広告ID・ 行動ターゲティングの開示
Cookie表を置くだけでなく、取得、送信、利用目的、停止手段、社内統制まで説明できる状態を作ります。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • Cookie・広告ID・ 行動ターゲティングの開示
  • Cookie表を置くだけでなく、取得、送信、利用目的、停止手段、社内統制まで説明できる状態を作ります。

POINT 1

  • Cookie・広告ID・行動ターゲティングの開示はデータ利用の説明責任です
  • Cookie表を置くだけでなく、取得、送信、利用目的、停止手段、社内統制まで説明できる状態を作ります。
  • 識別子の分類
  • 外部送信の説明
  • 運用統制

POINT 2

  • Cookie・広告ID・行動ターゲティングの開示で押さえる用語
  • 名称ではなく、誰が、何を、何の目的で、どの範囲のデータと結合するかを見ます。
  • Cookie
  • 広告ID
  • 行動ターゲティング広告

POINT 3

  • Cookie・広告ID・行動ターゲティングの開示と日本法の中核論点
  • 1. 識別子・行動履歴を棚卸し:Cookie ID、広告ID、閲覧URL、イベント情報、顧客リスト連携を確認します。
  • 2. 提供先が個人データとして取得する想定があるか:IDグラフ、会員情報、他サービスデータとの結合可能性を確認します。
  • 3. 同意・確認・記録・契約を整備:本人同意取得状況、同意画面、ログ、提供先表明、監査可能性を確認します。
  • 4. 外部送信と説明責任を別途確認:第三者提供に当たらない整理でも、通知・公表、停止手段、契約は確認します。

POINT 4

  • Cookie・広告ID・行動ターゲティングの開示で見落としやすい海外規制
  • EU・英国、カリフォルニア州、ブラウザ・プラットフォーム規則は、日本企業にも影響します。
  • オンライン識別子
  • 共有と広告
  • ブラウザとOS

POINT 5

  • Cookie・広告ID・行動ターゲティングの開示設計は4層で組み立てる
  • 1. プライバシーポリシー
  • 2. Cookieポリシー・外部送信ポリシー:タグ、Cookie、広告ID、SDKごとの送信情報、送信先、利用目的、停止方法を一覧化します。
  • 3. 同意管理・選択画面:必須、解析、広告、外部連携などの目的別に、同意、拒否、詳細設定、撤回を実行できるようにします。
  • 4. ベンダー別オプトアウト・広告設定への導線

POINT 6

  • Cookie・広告ID・行動ターゲティングの開示文例
  • 文例はそのまま使うのではなく、実際の送信先、取得情報、同意設計に合わせて修正します。
  • 読者は、自社の実装に近い場面を選び、送信先や停止方法を具体化する必要があります。
  • 当社は、本サイトの利便性向上、アクセス解析、広告配信および広告効果測定のため、Cookieその他の類似技術を利用します。
  • 閲覧ページ、利用日時、端末情報、Cookie ID等が当社または外部事業者に送信されることがあります。

POINT 7

  • Cookie・広告ID・行動ターゲティングの開示は社内運用で支える
  • 実装と開示の一致
  • 公開中サイト・アプリと開示表、実際に送信される情報と開示内容が一致しているかを確認します。
  • 同意前後の動作
  • 同意前に任意広告Cookieが発火していないか、拒否・撤回後にタグが停止するかを検証します。

POINT 8

  • Cookie・広告ID・行動ターゲティングの開示で起きやすい誤解
  • Cookieは個人情報ではないから開示不要
  • 個人情報に該当しない場合でも個人関連情報に該当し得ます。
  • プライバシーポリシーに書けば十分

まとめ

  • Cookie・広告ID・ 行動ターゲティングの開示
  • Cookie・広告ID・行動ターゲティングの開示はデータ利用の説明責任です:Cookie表を置くだけでなく、取得、送信、利用目的、停止手段、社内統制まで説明できる状態を作ります。
  • Cookie・広告ID・行動ターゲティングの開示で押さえる用語:名称ではなく、誰が、何を、何の目的で、どの範囲のデータと結合するかを見ます。
  • Cookie・広告ID・行動ターゲティングの開示と日本法の中核論点:個人関連情報、第三者提供、外部送信規律、広告業界ガイドラインを一体で確認します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

Cookie・広告ID・行動ターゲティングの開示はデータ利用の説明責任です

Cookie表を置くだけでなく、取得、送信、利用目的、停止手段、社内統制まで説明できる状態を作ります。

Cookie・広告ID・行動ターゲティングの開示は、ウェブサイトの下部に短い告知を置く作業にとどまりません。端末、ブラウザ、アプリ、広告ネットワーク、解析ツール、タグ、SDK、DMP、CDP、リターゲティング基盤を通じて、どの識別子や行動履歴が取得され、誰に送信され、何の目的で利用され、利用者がどのように選択や停止をできるのかを説明できる状態にすることです。

日本法では、Cookie等の端末識別子が常に個人情報になるわけではありません。ただし、個人情報に該当しない場合でも、通常は個人関連情報に該当し得ます。さらに、提供先が個人データとして取得することが想定される場合には、個人情報保護法31条の確認義務が問題となります。

このページ全体の主なポイントを整理した一覧です。何を開示するかだけでなく、なぜ企業法務が関与すべきか、読者はどの論点から優先して確認すべきかを読み取るための入口になります。

Point 01

識別子の分類

Cookie、広告ID、タグ、SDK、行動履歴、推測情報を、個人情報、個人データ、個人関連情報のどれに近いかで整理します。

Point 02

外部送信の説明

利用者端末から第三者等へ送られる情報について、送信先、送信情報、利用目的、停止方法を平易に示します。

Point 03

運用統制

タグ追加、広告連携、同意ログ、契約、監査、問い合わせ対応を、部門横断の管理対象にします。

この結論を短く言えば、Cookie・広告ID・行動ターゲティングの開示は、個人情報保護法、電気通信事業法、広告業界ガイドライン、海外法、アプリストア規則、ブラウザ仕様、ベンダー契約、内部統制を横断するデータガバナンスの表示面です。

基本姿勢個別の判断は、事業内容、利用技術、第三者提供の構造、対象国・地域、委託先・広告事業者の取扱い、画面設計、契約、ログ保存状況によって変わります。法的判断が必要な場合は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
Section 01

Cookie・広告ID・行動ターゲティングの開示で押さえる用語

名称ではなく、誰が、何を、何の目的で、どの範囲のデータと結合するかを見ます。

Cookie

Cookieとは、ウェブサイトがブラウザに保存させる小さな識別情報です。ログイン状態の維持、カート情報の保持、アクセス解析、広告効果測定、リターゲティングなどに用いられます。

次の比較表は、Cookieの代表的な分類と企業法務上の着眼点を対応させたものです。分類ごとに必要な開示や選択手段が変わるため、読者は「誰が発行するか」「目的が必須機能か広告・解析か」「保存期間や追跡可能性があるか」を確認してください。

分類意味企業法務上の着眼点
ファーストパーティCookie利用者が訪問しているサイトのドメインが発行するCookie自社利用でも、解析・広告目的なら開示や選択手段が必要になる場合があります。
サードパーティCookie訪問先とは異なる第三者ドメインが発行・利用するCookie広告配信、横断的トラッキング、外部送信、越境移転、第三者提供の検討が必要です。
セッションCookieブラウザ終了等で消える短期Cookie必須機能か、解析・広告目的かを区別します。
永続Cookie一定期間端末に残るCookie保存期間、再識別、追跡可能性の説明が重要です。
分析Cookieアクセス解析、UX改善、A/Bテスト等に使うCookie送信先、取得情報、目的、IP処理、利用者選択の整理が必要です。
広告Cookie広告配信、広告効果測定、リターゲティング等に使うCookie行動ターゲティングの開示の中心になります。

広告ID

広告IDとは、スマートフォン等の端末やOSが広告目的で提供する識別子です。iOSではIDFA、AndroidではAdvertising IDが代表例です。ユーザーがリセット、削除、制限できる設計を前提とする場合が多く、アプリ事業者はプラットフォーム規則にも従う必要があります。

行動ターゲティング広告

行動ターゲティング広告とは、利用者のウェブサイト閲覧、アプリ利用、検索、購買、閲覧時間、クリック、位置情報、広告接触、推定興味関心などの行動履歴を用いて広告を表示・最適化する手法です。広告の効果測定だけでなく、プロファイリングや他サービス横断利用の説明が問題になります。

タグ、ピクセル、SDK、DMP、CDP

タグやピクセルは、ページ閲覧、クリック、購入、フォーム送信などのイベントを外部事業者へ送信するコードです。SDKはアプリに組み込まれるソフトウェア部品で、広告配信、解析、クラッシュ解析、ログイン、決済、プッシュ通知などに用いられます。DMPやCDPは、行動履歴、会員情報、購買情報、広告接触履歴等を統合し、セグメント化や配信最適化に用いられる基盤です。

次の比較表は、Cookieや広告IDを評価するときに必要な個人情報保護法上の概念を整理したものです。読者は、単体で識別できるかだけでなく、会員IDやCRM、購買履歴などとの照合可能性によって評価が変わる点を読み取る必要があります。

概念概略Cookie・広告IDとの関係
個人情報生存する個人に関する情報で、特定の個人を識別できるもの等会員ID、メールアドレス、氏名、ログイン情報等と容易に照合できる場合、Cookie等も全体として個人情報になり得ます。
個人データ個人情報データベース等を構成する個人情報CRM、会員DB、購買DB、広告配信DB等に格納された識別可能な情報が該当し得ます。
個人関連情報生存する個人に関する情報で、個人情報、仮名加工情報、匿名加工情報に該当しないものCookie等の端末識別子、閲覧履歴、広告ID、位置情報等が該当し得ます。
注意「個人情報ではないから何も書かなくてよい」という理解は危険です。個人関連情報、外部送信、広告業界自主基準、海外法、プラットフォーム規則、消費者保護、レピュテーションリスクの観点では、個人情報該当性だけで結論が出ません。
Section 02

Cookie・広告ID・行動ターゲティングの開示と日本法の中核論点

個人関連情報、第三者提供、外部送信規律、広告業界ガイドラインを一体で確認します。

Cookie等は個人関連情報になり得る

個人情報保護委員会は、Cookie等の端末識別子について、個人情報に該当しない場合には通常、個人に関する情報として個人関連情報に該当すると説明しています。家族等の特定少数が端末を共用している場合でも、通常は共用者各人との関係で個人に関する情報に該当し得ます。

また、Cookie等の端末識別子は、他の情報と容易に照合して特定個人を識別できる場合、その情報と合わせて全体として個人情報に該当します。会員ID、メールアドレス、電話番号、購買履歴、問い合わせ履歴、広告配信ID、CRM、CDP、DMPとの結合可能性を評価する必要があります。

個人関連情報の第三者提供

個人情報保護法31条は、個人関連情報の第三者提供を一定の場合に規律します。重要なのは、個人関連情報の第三者提供一般ではなく、提供先が個人データとして取得することが想定される場面に規律がかかる点です。

次の判断の流れは、Cookieや広告IDを外部事業者へ連携するときの確認順序を表しています。どの段階で同意、確認、記録、契約が問題になるかを見落とさないために重要であり、読者は分岐ごとに自社の実装とベンダー利用目的を照合してください。

個人関連情報と外部連携の確認順序

識別子・行動履歴を棚卸し

Cookie ID、広告ID、閲覧URL、イベント情報、顧客リスト連携を確認します。

提供先が個人データとして取得する想定があるか

IDグラフ、会員情報、他サービスデータとの結合可能性を確認します。

想定あり
同意・確認・記録・契約を整備

本人同意取得状況、同意画面、ログ、提供先表明、監査可能性を確認します。

想定なし
外部送信と説明責任を別途確認

第三者提供に当たらない整理でも、通知・公表、停止手段、契約は確認します。

同意取得は掲載だけでは足りない

ウェブサイト上で個人関連情報の第三者提供に関する同意を取得する場合、本人に示すべき事項を単に掲載するだけでは足りず、それらの事項を示したうえで、ボタンのクリック等を求める方法が必要とされています。少なくとも、第三者名、対象情報、個人データとしての取得可能性、取得後の利用目的、拒否・撤回の影響、撤回・停止方法を理解できる形で示すべきです。

タグ設置と提供の整理

自社サイトに第三者タグを設置し、その第三者がタグを通じて閲覧履歴を取得する場合、サイト運営者がその閲覧履歴を取り扱っていないのであれば、運営者から第三者へ閲覧履歴を提供したものではなく、第三者が直接取得したものと整理される場面があります。ただし、これを「タグなら自社に責任がない」と読むのは危険です。

広告配信設定、コンバージョンイベント、会員ID連携、ハッシュ化メール連携、顧客リスト連携、サーバーサイドタグ、API連携等を通じて自社がデータを取り扱う場合、単純な直接取得とは評価できない可能性があります。契約、広告プラットフォーム規約、共同利用、委託、第三者提供、国外移転、安全管理、説明責任も別途検討が必要です。

提供先の適正取得と虚偽申告リスク

提供先が個人関連情報を個人データとして取得する場合、偽りその他不正の手段による取得は禁止されます。提供先が個人データとして利用する意図を秘す、同意取得済みであると虚偽申告する、提供元による同意取得代行が不適切と知り得たのに取得する、といった場面はリスクになります。

広告・データ連携の契約では、提供先が個人データとして取得するか否か、本人同意取得方法、同意文言、画面、ログ、タイムスタンプ保存、目的外利用・再提供・ID結合の制限、外国第三者への移転、監査・報告・違反時停止・削除、苦情・本人請求・当局対応の協力、記録作成・保存義務を確認する必要があります。

電気通信事業法の外部送信規律

外部送信規律は、ウェブサイト運営者のサーバーから利用者端末に記録されている情報を外部へ送信させる指令が送られ、その指令に基づき利用者端末から第三者等のサーバーへ情報が送信される場面で、利用者に確認できる機会を与える制度です。2022年改正により追加され、2023年6月16日に施行されました。

外部送信に関する開示表では、利用者が「誰に、何が、何のために送られ、どう止められるか」を確認できることが重要です。次の表は、その表に入れるべき項目を整理したもので、読者は各列を自社のタグ・SDK一覧と照合して、空欄や曖昧な目的がないかを確認してください。

項目説明例
外部送信先事業者名、サービス名、場合によりグループ会社名
送信される情報Cookie ID、広告ID、IPアドレス、閲覧URL、リファラー、日時、端末情報、イベント情報等
自社の利用目的アクセス解析、広告効果測定、広告配信、コンバージョン測定、不正防止等
送信先の利用目的広告配信、広告効果測定、サービス改善、プロファイリング、他サービス横断利用等
停止方法Cookie設定、オプトアウトリンク、アプリ設定、広告IDリセット・削除、CMP等
備考保存期間、国外送信、共同利用、委託、必須または任意、同意要否

広告業界ガイドライン

JIAAの行動ターゲティング広告ガイドラインやデータ取扱基本原則は、法令の最低限を超えて、情報非対称性への配慮、利害の乖離への配慮、社会的責任、消費者の選択権、必要最小限のデータ取得、推論情報の適切な取扱い、説明責任、安全保護措置、未成年者・子どもの保護などを示しています。

実務上の結論条文だけを満たすのではなく、利用者の合理的理解と選択をどう設計するか、広告ビジネスの収益性とプライバシー期待をどう調整するかが、企業法務上の中心課題になります。
Section 03

Cookie・広告ID・行動ターゲティングの開示で見落としやすい海外規制

EU・英国、カリフォルニア州、ブラウザ・プラットフォーム規則は、日本企業にも影響します。

海外ユーザー、海外子会社、海外向け広告、アプリ配信が関わる場合、日本法だけでは足りないことがあります。次の一覧は、主要な海外・プラットフォーム論点を並べたものです。読者は、対象ユーザーの所在、広告配信地域、アプリストア規則、ブラウザ仕様の変更が自社の開示に影響するかを読み取ってください。

EU・英国

オンライン識別子

Cookie識別子、IPアドレス、広告ID、ピクセルタグ、デバイスフィンガープリント等は、プロファイル作成や個人識別に用いられ得るオンライン識別子として扱われる可能性があります。

California

共有と広告

CCPA/CPRAでは、複数サイトにまたがるオンライン活動から得られた個人情報に基づくクロスコンテキスト行動広告について、売却または共有のオプトアウト権が問題になります。

Platform

ブラウザとOS

ChromeのサードパーティCookie方針、Privacy Sandbox、iOSのATT、Androidの広告ID設定など、技術仕様と規約が開示・同意設計に影響します。

EU・英国

EU GDPRおよび英国UK GDPRでは、Cookie識別子、IPアドレス、広告ID、ピクセルタグ、デバイスフィンガープリント等が個人識別に結びつくオンライン識別子として扱われ得ます。英国のPECRでは、Cookieに限らず、端末に情報を保存する、または端末内情報にアクセスする技術に広く規律が及びます。

同意は、自由に与えられ、具体的で、情報に基づき、明確な肯定的行為を伴う必要があります。特に行動トラッキングに用いられるプライバシー侵襲性の高いCookieでは、明確かつ具体的な同意が重要です。

米国カリフォルニア州

CCPA/CPRAでは、個人情報の売却または共有をオプトアウトする権利が問題になります。日本企業が米国向けEC、SaaS、アプリ、広告キャンペーンを行う場合、Cookieバナーの同意だけでなく、Do Not Sell or Share My Personal Informationの導線、Global Privacy Control、子どものデータ、サービスプロバイダ契約、データ処理契約等を確認することがあります。

ブラウザ・プラットフォームの変化

ChromeのサードパーティCookieをめぐる方針は変動しています。Googleは2025年4月、ChromeにおけるサードパーティCookieのユーザー選択について現在のアプローチを維持し、新たな独立したプロンプトは展開しないと発表しました。さらに2025年10月には、Privacy Sandboxの一部技術について廃止方針を示しています。

更新前提「ChromeではサードパーティCookieが全面廃止されるから対応不要」「Privacy Sandboxだけ見ればよい」といった固定的な判断は避けるべきです。技術仕様は変わっても、行動履歴を用いた広告・測定・プロファイリングに関する説明責任は残ります。
Section 04

Cookie・広告ID・行動ターゲティングの開示設計は4層で組み立てる

プライバシーポリシー、詳細表、同意管理、停止導線を役割分担させます。

Cookie・広告ID・行動ターゲティングの開示は、1枚のプライバシーポリシーだけで完結しにくい領域です。次の時系列は、利用者が概要から詳細、選択、停止方法へ進める4層構造を表します。読者は、各層の役割が重複していないか、逆にどこかが欠けていないかを確認してください。

第1層

プライバシーポリシー

個人情報・個人関連情報の取扱い全体を説明し、Cookie等の利用目的、第三者提供、共同利用、委託、国外移転、本人請求、安全管理、問い合わせ窓口を包括的に記載します。

第2層

Cookieポリシー・外部送信ポリシー

タグ、Cookie、広告ID、SDKごとの送信情報、送信先、利用目的、停止方法を一覧化します。

第3層

同意管理・選択画面

必須、解析、広告、外部連携などの目的別に、同意、拒否、詳細設定、撤回を実行できるようにします。

第4層

ベンダー別オプトアウト・広告設定への導線

広告プラットフォーム、OS、ブラウザ、業界団体、各広告事業者の設定ページへ誘導し、自社側で停止できる範囲も明確にします。

第2層の詳細表では、ツールや目的ごとに、送信先、送信情報、自社利用目的、送信先利用目的、停止方法を横並びで確認できることが重要です。次の表は標準的な記載項目を整理したもので、読者は必須機能、解析、広告、アプリ広告で説明粒度が変わる点を読み取ってください。

区分ツール・サービス送信先送信される情報自社の利用目的送信先の利用目的停止方法
必須セッション管理Cookie自社セッションID、ログイン状態ログイン維持、セキュリティなしサービス利用に必要なため停止不可の場合あり
解析アクセス解析ツール解析事業者Cookie ID、IPアドレス、閲覧URL、端末情報、イベント情報利用状況分析、UI改善サービス提供、分析、場合により自社サービス改善Cookie設定、オプトアウトページ
広告広告配信タグ広告プラットフォームCookie ID、広告ID、閲覧URL、クリック、購入イベント、端末情報広告配信、効果測定、リターゲティング広告配信、広告効果測定、プロファイリング等同意管理ツール、広告設定、各社オプトアウト
アプリ広告広告SDK広告ネットワーク広告ID、端末情報、アプリ利用イベントアプリ内広告配信、効果測定広告配信、広告測定、不正防止OS設定、アプリ内設定、広告IDリセット・削除

同意管理・選択画面で入れる要素

  • 必須、解析、広告、外部連携など目的別に分ける
  • 各カテゴリの説明を平易にする
  • 送信先・目的・停止方法への導線を設ける
  • 同意、拒否、詳細設定を視認しやすくする
  • 事前チェック済みの任意Cookieを避ける
  • 同意撤回を容易にする
  • 同意ログを保存する
  • モバイル画面でも読めるようにする
  • 対象国に応じた言語に対応する

停止導線は、各社設定への丸投げでは足りません。自社のサイト・アプリで何が送信されているのか、自社がどの目的で利用するのか、自社側で停止できる範囲はどこまでかを明確にする必要があります。

Section 05

Cookie・広告ID・行動ターゲティングの開示文例

文例はそのまま使うのではなく、実際の送信先、取得情報、同意設計に合わせて修正します。

次の一覧は、利用者に示す文言の代表例を、利用場面ごとに整理したものです。なぜ重要かというと、同じCookie関連文言でも、告知、外部送信、個人関連情報の第三者提供、アプリ広告IDでは説明すべき情報が異なるからです。読者は、自社の実装に近い場面を選び、送信先や停止方法を具体化する必要があります。

1

Cookieバナー

当社は、本サイトの利便性向上、アクセス解析、広告配信および広告効果測定のため、Cookieその他の類似技術を利用します。閲覧ページ、利用日時、端末情報、Cookie ID等が当社または外部事業者に送信されることがあります。広告目的のCookie等の利用に同意する場合は同意を、目的別に選択する場合は設定を選択してください。

告知選択
2

外部送信ポリシー冒頭

当社は、本サイトおよび本アプリにおいて、アクセス解析、広告配信、広告効果測定、セキュリティ、不正利用防止、サービス改善のため、タグ、Cookie、広告ID、SDK等を利用します。これに伴い、利用者の端末から当社または外部事業者に対し、閲覧URL、Cookie ID、広告ID、IPアドレス、端末情報、イベント情報等が送信されることがあります。

外部送信
3

個人関連情報の第三者提供

当社は、広告配信および広告効果測定のため、Cookie ID、広告ID、閲覧履歴、購入・申込イベント、端末情報等の個人関連情報を、広告事業者に提供することがあります。提供先は、これらの情報を提供先が保有する利用者情報と照合し、本人が識別される個人データとして取得する場合があります。

同意確認
4

アプリの広告ID利用

当社アプリでは、広告配信、広告効果測定、リターゲティング、不正防止のため、広告IDその他の端末識別子を利用することがあります。iOSではAppTrackingTransparencyに基づく許可が必要となることがあり、Androidでは広告IDを端末設定によりリセットまたは削除できる場合があります。

アプリOS設定
修正前提文例は、実際の送信先、送信情報、提供先の利用目的、停止方法、同意ログの保存方法に合わせて調整する必要があります。包括的な表現だけでは、利用者が具体的なデータ利用を理解できない場合があります。
Section 06

Cookie・広告ID・行動ターゲティングの開示は社内運用で支える

法務、マーケティング、IT、セキュリティ、内部監査が分断されると開示漏れが起きやすくなります。

データの流れを棚卸しする

正確な開示を作るには、最初にデータの流れを把握する必要があります。サイト・アプリごとのタグ、Cookie、SDK、API連携、送信先事業者名、サービス名、契約主体、送信される情報、送信タイミング、保存期間、利用目的、自社が取得・閲覧・再利用する範囲、送信先が自社目的で利用する範囲、送信先が個人データとして取得する可能性、国外移転、オプトアウト・同意撤回、契約条項、DPA、SCC、ログ、同意記録、設定変更履歴を確認します。

タグ管理の統制

次の表は、タグやSDKを追加・変更するときに入れるべき統制を整理したものです。マーケティング部門が先に実装し、法務が後追いで修正する運用では開示漏れや過剰送信が起きやすいため、読者は申請から監査までの各列に責任者と証跡があるかを確認してください。

統制内容
事前申請新規タグ・SDK・広告連携は、目的、送信先、送信情報、利用期間を申請します。
法務・プライバシー審査個人情報、個人関連情報、外部送信、越境移転、契約を確認します。
技術審査実際に送信されるパラメータ、個人情報混入、不要イベントを確認します。
承認手続きマーケティング、IT、法務、セキュリティの承認後に本番反映します。
定期監査タグスキャン、ブラウザ検証、SDKリスト照合、契約更新確認を行います。
変更管理ベンダー仕様変更、キャンペーン追加、サーバーサイドタグ導入時に再審査します。

契約・ベンダー管理

広告事業者、解析事業者、DMP、CDP、アプリSDK事業者との契約では、委託先か第三者か共同利用先か、送信データを自社目的で利用するか、他社サイト・アプリのデータと結合するか、広告IDやハッシュ化メール等をIDグラフに組み込むか、個人関連情報を個人データとして取得するか、同意取得主体、同意ログ保管、利用停止・削除要求、サブプロセッサー、国外移転、再委託、セキュリティ事故時の通知・協力義務、プラットフォーム規約違反時の責任分担を確認します。

内部監査の観点

次の一覧は、内部監査で確認したい代表的な観点です。開示文書だけでなく実際の通信や設定と照合する点が重要であり、読者は公開中サイト・アプリ、同意前後の動作、広告プラットフォーム設定、契約、権限管理が一致しているかを読み取ってください。

実装と開示の一致

公開中サイト・アプリと開示表、実際に送信される情報と開示内容が一致しているかを確認します。

同意前後の動作

同意前に任意広告Cookieが発火していないか、拒否・撤回後にタグが停止するかを検証します。

アプリと広告設定

アプリSDKが広告IDを取得していないか、広告プラットフォーム設定が承認範囲を超えていないかを確認します。

顧客リスト広告

ハッシュ化メール等の顧客リスト広告が承認済みか、契約や同意ログと整合しているかを確認します。

国外送信と保管

外国事業者への送信・保管が開示され、契約や安全管理措置と対応しているかを確認します。

権限と変更管理

タグ管理システムの権限、退職者管理、ベンダー変更、キャンペーン追加が管理されているかを確認します。

Section 07

Cookie・広告ID・行動ターゲティングの開示で起きやすい誤解

短い思い込みが、同意、外部送信、契約、海外法の見落としにつながります。

次の一覧は、実務でよく見られる誤解と、そのリスクを整理したものです。どの誤解も一見すると簡便ですが、実際には法令、規約、技術仕様、説明責任が重なります。読者は、自社の判断が一文だけの単純化になっていないかを確認してください。

Cookieは個人情報ではないから開示不要

個人情報に該当しない場合でも個人関連情報に該当し得ます。外部送信規律、業界ガイドライン、海外法、広告プラットフォーム規則も別に確認します。

プライバシーポリシーに書けば十分

送信先、送信情報、利用目的、停止方法、同意取得の要否、第三者が個人データとして取得する可能性を具体的に示す必要があります。

タグは広告会社の直接取得なので無関係

第三者提供と評価されない場面でも、外部送信規律、説明責任、契約責任、広告設定、顧客データ連携、自社収益目的との関係は残ります。

同意ボタンを置いたので安全

目的、対象情報、提供先、取得後の利用目的、撤回方法が分かりやすく示されていなければ、同意の実効性が問題になります。

ハッシュ化すれば個人情報ではない

ハッシュ化メール、電話番号、会員ID等は、照合可能性、辞書攻撃可能性、提供先での照合目的により、個人情報・個人データ・個人関連情報の問題が生じ得ます。

海外法は海外企業だけの問題

日本企業でも、EU・英国・米国カリフォルニア州等の居住者にサービスを提供する場合、現地子会社運営や海外広告配信を行う場合、現地法が問題となり得ます。

Section 08

Cookie・広告ID・行動ターゲティングの開示FAQ

一般的な制度説明として整理し、個別事案の結論は具体的な実装や証拠関係で変わる前提を置きます。

Q1. 日本ではCookie同意バナーは必須ですか。

一般的には、日本の個人情報保護法は、EUのePrivacy型の非必須Cookieには原則同意という制度と同じではないとされています。ただし、個人関連情報を第三者が個人データとして取得することが想定される場合には、本人同意が得られていること等の確認が必要になる可能性があります。電気通信事業法の外部送信規律、海外ユーザーの有無、広告・解析の実装によって結論が変わるため、具体的な対応は弁護士等の専門家へ相談する必要があります。

Q2. Google Analyticsや広告タグは使ってよいですか。

一般的には、利用自体が当然に禁止されるものではないとされています。ただし、どの情報が送信されるか、送信先が何に使うか、自社の利用目的は何か、外部送信規律の対象か、個人関連情報の第三者提供に該当するか、国外移転・委託・共同利用・第三者提供の整理、同意・オプトアウト・IP処理・データ保持期間によって評価が変わります。具体的な導入可否や設定は、資料を整理したうえで専門家へ相談する必要があります。

Q3. 中小企業の普通のホームページでも対応が必要ですか。

一般的には、会社概要だけの静的サイトでも、アクセス解析、広告タグ、SNSボタン、動画埋め込み、地図、チャット、ヒートマップ等を入れていると、外部事業者への情報送信が発生する場合があります。外部送信規律の適用対象性はサービスの性質により検討が必要ですが、利用者への透明性確保という観点から、Cookie・外部送信の棚卸しと簡潔な開示が望ましい場面があります。

Q4. Cookie名を全部列挙しなければなりませんか。

一般的には、法令上、常にCookie名の全列挙が唯一の正解とまではいえないとされています。重要なのは、利用者が送信される情報の内容、送信先、利用目的を理解できることです。ただし、内部管理上はCookie名、発行ドメイン、保存期間、目的、カテゴリを一覧化しておくことが望ましく、ユーザー向けにも主要Cookieやサービス単位で具体的に説明する必要性が高い場合があります。

Q5. 広告IDは個人情報ですか。

一般的には、広告ID単体では、事案により個人情報ではなく個人関連情報と評価される場合があります。しかし、会員ID、購買履歴、端末情報、アプリ利用履歴、位置情報等と結合され、特定個人を識別できる場合には個人情報に該当し得ます。また、iOSやAndroidのプラットフォーム規則では、広告IDの利用やトラッキングについて独自の許可・開示・ユーザー選択が求められる場合があります。

Q6. 行動ターゲティングを停止すると、広告が消えますか。

一般的には、広告そのものが完全に消えるわけではなく、行動履歴に基づく広告配信やリターゲティングが停止・制限され、文脈広告や一般広告に変わる場合が多いとされています。開示では、広告表示がなくなるという表現ではなく、興味関心に基づく広告配信が制限されるなど、利用者が誤解しにくい表現にする必要があります。

Section 09

Cookie・広告ID・行動ターゲティングの開示と2026年改正動向

成立前の法案を確定法として扱わず、更新できる仕組みを先に整えます。

2026年4月7日、個人情報保護委員会は「個人情報の保護に関する法律等の一部を改正する法律案」が閣議決定され、第221回特別国会に提出されたことを公表しました。公表資料では、デジタル技術の急速な進展に伴い、個人情報を含むデータ利活用需要が高まる一方で、違法な取扱いによる権利利益侵害リスクも高まっていることが背景とされています。

次の強調事項は、改正動向を見るときの読み方を示しています。成立前の内容を確定法として扱わないことが重要であり、読者は、今後も変化し得る論点に対して開示、同意、ログ、契約、監査を更新できるかを確認してください。

確定法ではなく、更新可能な体制として備える

個人を直接識別しない識別子、連絡可能性、プロファイリング、オプトアウト、課徴金、データ利活用と保護の均衡に関する議論が強まる可能性を見込み、開示表と同意ログを柔軟に改訂できる状態にします。

Section 10

Cookie・広告ID・行動ターゲティングの開示を90日で整える実行計画

現状把握、法的分類と開示改訂、運用統制の順番で進めます。

次の時系列は、30日、60日、90日以内に実施する作業の順番を表しています。短期間で開示を整えるには、いきなり文言修正から入るのではなく、実装と契約を把握してから、法的分類と運用統制へ進むことが重要です。読者は、自社の現在地に応じて未着手の項目を確認してください。

最初の30日

現状把握

全サイト・全アプリ、タグ、Cookie、SDK、API、広告連携、送信先、送信情報、利用目的、保存期間、契約、同意画面、プライバシーポリシー、実際の通信を確認します。

次の60日

法的分類と開示改訂

個人情報、個人データ、個人関連情報、匿名加工情報、統計情報を分類し、第三者提供、外部送信規律、海外ユーザー、Cookie・外部送信ポリシー、同意・拒否・撤回画面、ベンダー契約を整えます。

90日以内

運用統制へ移行

タグ追加の事前承認、同意ログ・設定変更ログの保存、マーケティング部門向け研修、四半期ごとのタグ監査、問い合わせ対応、新規キャンペーン・新規SDK導入時のPIAチェックリスト、経営層への定期報告を開始します。

Section 11

Cookie・広告ID・行動ターゲティングの開示チェックリスト

開示文書だけでなく、実装、契約、ログ、同意前後の動作まで確認します。

次の表は、開示を公開する前後に確認したい実務項目です。各行は、法務だけでなくIT、マーケティング、セキュリティ、内部監査が共同で確認すべき事項であり、読者は「はい」と答えられない項目を優先的な改善対象として読み取ってください。

チェック項目確認の視点
全タグ・SDKの一覧化自社サイト・アプリの全タグ・SDKを把握しているか
送信先の把握Cookie ID、広告ID、IPアドレス、閲覧履歴、イベント情報の送信先を把握しているか
利用目的送信先の利用目的と自社の利用目的を確認しているか
個人データ取得可能性送信先が個人データとして取得する可能性を確認しているか
同意・確認・記録個人関連情報の第三者提供に関する同意、確認、記録を整理しているか
外部送信規律対象サービスか、通知・公表・同意・オプトアウトのどれで対応するかを検討しているか
ポリシー記載送信情報、送信先、利用目的、停止方法を記載しているか
同意前後の検証同意前に任意の広告・解析タグが発火せず、拒否・撤回後に停止するかを確認しているか
アプリ対応ATT、広告ID、SDK規約を確認しているか
海外ユーザーGDPR、UK GDPR/PECR、CCPA等を確認しているか
ベンダー契約目的外利用禁止、再提供制限、削除、監査、事故対応を入れているか
運用統制タグ追加・変更の事前承認と内部監査・定期レビューの仕組みがあるか
Section 12

Cookie・広告ID・行動ターゲティングの開示に関わる専門職の役割

部門ごとの責任を明確にし、文書修正だけで終わらせない体制にします。

次の表は、開示と運用に関わる主な役割を整理したものです。なぜ重要かというと、Cookie・広告ID・行動ターゲティングの開示は法務文書だけでなく、実装、契約、監査、経営判断を伴うからです。読者は、自社内で誰がどの責任を持つか、空白になっている役割がないかを確認してください。

役割主な責任
弁護士・外部専門家法令適用、第三者提供、越境移転、同意設計、契約、当局対応の判断
企業内弁護士・法務担当社内調整、規程化、契約審査、広告・IT部門との連携
個人情報保護・プライバシー担当データマッピング、PIA、開示、同意管理、本人請求対応
コンプライアンス担当社内ルール、研修、違反時対応、経営報告
IT・セキュリティ担当タグ・SDK実装、通信検証、アクセス制御、ログ保存
マーケティング担当利用目的、広告施策、ベンダー選定、キャンペーン管理
内部監査担当実装と開示の整合性、承認手続き、ログ、委託先管理の監査
経営者・取締役プライバシーリスクを経営リスクとして監督し、リソースを配分
公認会計士・内部統制専門家J-SOX、統制証跡、委託先統制、広告費・データ利用統制の確認
弁理士・知財担当データ・広告技術・商標・ライセンスとの接点確認
社労士・労務担当従業員向け解析・監視ツール、採用広告、社内システムCookieの確認
Section 13

Cookie・広告ID・行動ターゲティングの開示の結論

透明性、選択可能性、最小化、説明責任を設計に組み込みます。

Cookie・広告ID・行動ターゲティングの開示は、ウェブ担当者だけの作業でも、法務部だけの文書修正でもありません。広告技術、プライバシー法、電気通信規律、消費者への説明責任、プラットフォーム規約、契約、内部統制、監査、経営判断が交差する領域です。

次の3つの項目は、企業が取るべき基本姿勢を整理したものです。読者にとって重要なのは、広告効果とプライバシー保護を対立概念として扱うのではなく、信頼されるデータ利活用の条件として読み取ることです。

見える化

どの情報が、誰に、何のために送られるか

タグ、SDK、広告連携、顧客リスト連携をデータの流れとして把握します。

説明可能性

利用者が理解できる言葉で示す

送信先、送信情報、目的、選択肢、停止方法を平易に説明します。

統制

承認、契約、ログ、監査、更新管理の対象にする

タグ・SDK・広告連携を継続的な管理対象として扱います。

Cookie・広告ID・行動ターゲティングの開示は、ユーザーにとっては自分の行動履歴がどう使われるかを知る入口であり、企業にとってはデータ利活用の信頼性を支える基盤です。

Reference

参考資料

日本法・公的資料

  • 個人情報保護委員会「Cookie等の端末識別子は個人関連情報に該当しますか。家族等で情報端末を共用している場合はどうですか」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)3-7 個人関連情報の第三者提供の制限等」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)3-7-2-3 同意取得の方法」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドラインに関するQ&A Q8-10」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)3-7-5-3 提供先の第三者による適正取得」
  • 一般財団法人日本情報経済社会推進協会(JIPDEC)「講演レポート『改正電気通信事業法における外部送信規律とは』」
  • 個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律案の閣議決定について」

広告業界・プラットフォーム資料

  • 一般社団法人日本インタラクティブ広告協会(JIAA)「行動ターゲティング広告ガイドライン」
  • 一般社団法人日本インタラクティブ広告協会(JIAA)「データ取扱基本原則」
  • Apple Developer「User Privacy and Data Use - App Store」
  • Google Play Console Help「Advertising ID」
  • Google Privacy Sandbox「Next steps for Privacy Sandbox and tracking protections in Chrome」
  • Google Privacy Sandbox「Update on Plans for Privacy Sandbox Technologies」

海外法・規制当局資料

  • Information Commissioner's Office「What are identifiers and related factors?」
  • Information Commissioner's Office「Cookies and similar technologies」
  • California Office of the Attorney General「California Consumer Privacy Act (CCPA)」