Column

昨今のCookie規制（3rd Party Cookieの廃止等）を受け、デジタルマーケティングの現場では、従来のCookieを利用したブラウザ計測を補完する手段として、Conversions API（以下、CAPI）の導入が進んでいます。

 

しかし、このCAPI導入に際して、「既存のCookieポリシーに一行追記しておけば大丈夫」と考えていませんか？ 実は、その認識のまま導入を進めると、個人情報保護法における「第三者提供」の観点で法令違反となるリスクがあります。

 

今回は、実務でよくある「CAPI導入時の法務相談」の事例をもとに、どのような対応が必要なのかを解説します。

 

1. よくある誤解：「Cookieと同じような仕組みだからCookieポリシーを少し変えれば済む」

---

まずは、よくある相談の背景を見てみましょう。企業側は以下のように考えがちです。

 

＜企業の認識＞

CAPIでやることは「広告計測」であり、従来のcookieを用いた広告計測と目的は変わらない。

だから、既存のCookieポリシーに「CAPI（サーバー経由）利用」と追記しておく程度の対応でOKなはずだ。

 

一見、筋が通っているように見えます。しかし、ここには法的な落とし穴があります。この理屈は、「電気通信事業法の外部送信規律（Cookie規制）」と「個人情報保護法における第三者提供」を混同してしまっているのです。

 

2. CAPIは「Cookie」ではない

---

 

CAPIと従来のCookie計測は明確に別物として扱われます。

その理由は、「送信される情報の質」と「行為の法的性質」が異なるからです。

 

① そもそも「Cookie」と「CAPI」の技術は異なる

Cookieポリシーは通常、ユーザーのブラウザ（端末）に保存される識別子（Cookie）や、そこから送信される情報について記載するものです。 一方、CAPIは「自社サーバーにある顧客情報（メールアドレスや電話番号などをハッシュ化したデータ）」を、自社が主体となって広告媒体社のサーバーへ送信する行為です。これはCookieの話ではないため、Cookieポリシー欄に追記対応すること自体が、そもそも場所違いで不適切となります。

 

② 「個人情報の第三者提供」に該当する可能性が高い

ここが最大のリスクです。 従来のCookie計測も広義にはデータ送信をしていますが、CAPIの場合、企業が保有する確実な個人データ（メールアドレス等）をハッシュ化して広告媒体社のサーバーに送信します。 これは、法的には「個人データの第三者提供」に当たり得ます。

個人情報保護法において、個人データを第三者に提供する場合、原則として「本人の同意」が必要です。 また、特に海外プラットフォーマーへのデータ提供（外国にある第三者への提供）となる場合には、国内において第三者提供する場合とはまた異なった観点からの検討が必要なことも注意が必要です。

 

3. 具体的に必要なアクション：プライバシーポリシーの改定と同意取得

---

 

では、CAPIを適法に導入するためには何が必要なのでしょうか。単なる「ポリシー」の追記ではなく、以下の2点のアクションが求められます。

 

アクション①：プライバシーポリシー本体の改定・新設
Cookieポリシーではなく、プライバシーポリシー（個人情報保護方針）本体、あるいは「個人情報の取り扱いについて」といったポリシーの見直しが必要です。具体的には、「第三者への提供」に関する条項等において、少なくとも以下の要素を含める必要があります。また、海外プラットフォーマーへのデータ提供（外国にある第三者への提供）となる場合には、この点を加味した記載も行う必要がある点に留意が必要です。

ⅰ 　提供先のプラットフォーマー名（●●.inc 等）

ⅱ 　提供する情報の項目（ハッシュ化されたメールアドレス、電話番号等）

ⅲ　提供の目的（広告配信の最適化、計測等）

 

アクション②：明確な同意取得（オプトイン）の検討

LP（ランディングページ）や会員登録フォームにおいて、以下のような対応を検討すべきです。

チェックボックスの設置： 「入力された情報（氏名、メールアドレス等）をハッシュ化した上で、広告配信等のために提携事業者に提供することに同意する」といった旨のチェックボックスを設ける。

別ページでの詳細説明： 同意取得の際、リンク先として前述の詳細なプライバシーポリシーや、「データ活用の詳細」といった別ページを用意し、透明性を確保する。

 

4. まとめ：技術の変化は法務リスクの変化

 

---

「Cookie規制対策としてのCAPI」という文脈だけで捉えると、つい「Cookieポリシーの話」として処理してしまいがちです。しかし、技術的な仕組みが変われば、適用される法律の解釈も変わります。

 

・Cookie計測 ≒ 電気通信事業法（外部送信規律）への対応が主眼

・サーバーサイド計測（CAPI） ≒ 個人情報保護法（第三者提供）への対応が主眼

 

この違いを理解せず、安易に「Cookieポリシーへの一行追記」で済ませてしまうと、知らないうちに違法状態に陥る可能性があります。

マーケティング担当者は、CAPI導入を検討する際、「技術的な実装」だけでなく「法的な同意取得フローの変更」もセットで工数に見込んでおく必要があります。そして法務担当者は、それが単なるCookieの話ではないことを理解し、第三者提供の観点から厳格なチェックを行うことが、企業の信頼を守ることに繋がります。

デジタルマーケティングの進化は早いですが、それに伴うプライバシー保護の要請も高度化しています。透明性の高いデータ活用こそが、結果としてユーザーの信頼を得て、持続可能なマーケティング活動につながるのです。