Cookieによる情報取得に関して同意を求めるポップアップが、多くのページで実装されるようになりました。（GDPRではなく）改正個人情報保護法の観点で、Cookieの扱いに関して調べたことをまとめます。正しいのかは確信がないけれど。

私の中の結論としては「個人情報保護法においては」Cookieによる個人関連情報の取得に関してユーザー同意は必要ないだろう、ということです。一方で、結局GDPRにも対応するんだったら、そっちを調べた方が良いでしょう。GDPRについてはCookieに関するユーザー同意は必要なので。

Cookieの扱い
- 個人関連情報
個人関連情報を取得する際に同意が必要なのか
Cookieにより取得した情報の第三者提供
結論
ちなみに
- Google Analyticsの利用規約
- Google Analyticsはファーストパーティクッキーを使う
参考文献

Cookieの扱い

まずCookieで扱う情報が個人情報になるのか、です。もちろんCookieで氏名やメールアドレスを扱っている場合、特定の個人を容易に識別できる場合があるわけですから、一般には個人情報として扱うべきということになるでしょう。

メールアドレスだけでも個人情報に該当しますか。｜個人情報保護委員会

では、Google Analytics等のCookieで扱う情報はどうなるのでしょうか。例えばGoogle Analyticsで利用されるCookieにはさまざまなものがありますが、__gaなどはユーザを識別する値が設定されます。

Google アナリティクスによるウェブサイトでの Cookie の使用 | Analytics for Web (ga.js) | Google for Developers

個人情報保護委員会ではQ8-1で、個別判断にはなるものの、このようなCookieは（個人情報に該当しない場合は）「個人関連情報」に該当する旨の回答をしています。

個別の事案ごとに判断することとなりますが、Cookie等の端末識別子について、個人情報に該当しない場合には、通常、当該端末識別子に係る情報端末の利用者に関する情報として、「個人に関する情報」に該当し、個人関連情報に該当することとなると考えられます。また、家族等の特定少数の人が情報端末を共用している場合であっても、通常、情報端末の共用者各人との関係で、「個人に関する情報」に該当し、個人関連情報に該当することとなると考えられます。

Cookie等の端末識別子は個人関連情報に該当しますか。家族等で情報端末を共用している場合はどうですか｜個人情報保護委員会

個人関連情報

では、個人関連情報とは何かという話になるのですが、これは個人情報保護法の第二条で次のように定義されています。

この法律において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。

個人情報の保護に関する法律 | e-Gov法令検索

このように定義されると「個人情報」や「仮名加工情報」等の定義がないとわかりません。一応、以下にこれらの定義を示しますが、まぁやっぱり法律用語は読み解くのが難しいですね。

用語	定義	補足
個人情報	生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一　当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。）で作られる記録をいう。以下同じ。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二　個人識別符号が含まれるもの	この内容が「第一項」の「第一号」および「第二号」になります
仮名加工情報	次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。一　第一項第一号に該当する個人情報　当該個人情報に含まれる記述等の一部を削除すること（当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。二　第一項第二号に該当する個人情報当該個人情報に含まれる個人識別符号の全部を削除すること（当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。
匿名加工情報	次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。一　第一項第一号に該当する個人情報当該個人情報に含まれる記述等の一部を削除すること（当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。二　第一項第二号に該当する個人情報当該個人情報に含まれる個人識別符号の全部を削除すること（当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。

ただ、仮名加工情報や匿名加工情報は、加工前は個人情報です。私が理解する限り、元が「個人情報」ではない「生存する個人に関する情報」は、個人関連情報と言って良いでしょう。

「個人関連情報」って具体的には何よ、という疑問に対しては、個人情報の保護に関する法律についてのガイドライン（通則編）に回答があります。

【個人関連情報に該当する事例（※）】

事例1）Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴

事例2）メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等

事例3）ある個人の商品購買履歴・サービス利用履歴

事例4）ある個人の位置情報

事例5）ある個人の興味・関心を示す情報

（※）個人情報に該当する場合は、個人関連情報に該当しないことになる。例えば、一般的に、ある個人の位置情報それ自体のみでは個人情報には該当しないものではあるが、個人に関する位置情報が連続的に蓄積される等して特定の個人を識別することができる場合には、個人情報に該当し、個人関連情報には該当しないことになる。

個人情報の保護に関する法律についてのガイドライン（通則編）｜個人情報保護委員会

個人関連情報を取得する際に同意が必要なのか

従って、個人情報保護法に関してCookieによる情報取得にユーザの同意が必要なのか、という問いは「個人関連情報を取得する際にユーザの同意が必要なのか」という問いになるでしょう。

個人情報保護法において、個人情報を扱う事業者を「個人情報取扱事業者」と呼ぶのですが、同様に個人関連情報を取り扱う事業者を「個人関連情報取扱事業者」と呼びます。

２　この章及び第六章から第八章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。 - 一　国の機関 - 二　地方公共団体 - 三　独立行政法人等 - 四　地方独立行政法人

（略）

７　この章、第六章及び第七章において「個人関連情報取扱事業者」とは、個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの（第三十一条第一項において「個人関連情報データベース等」という。）を事業の用に供している者をいう。ただし、第二項各号に掲げる者を除く。

個人情報の保護に関する法律 | e-Gov法令検索

個人情報取扱事業者がユーザーから個人情報を取得するにあたり同意を取る必要があるのは、第１８条が根拠でしょう。

第十八条　個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

個人情報の保護に関する法律 | e-Gov法令検索

では、個人関連情報取扱事業者に対する同様の条項が存在するかというと存在しません。結果として、Cookieによる個人関連情報の取得に関しては、同意を取る必要はなさそうです。

Cookieにより取得した情報の第三者提供

ここで課題になるのがGoogle Analytics等、個人関連情報を他事業者に提供する場合です。

個人関連情報を第三者に提供することには第三十一条による制限がかかります。この条文では、個人関連情報を提供する先である第三者が、当該の情報を「個人データとして」取得することが想定される場合は本人同意を得なければならないことが記載されています。 Google Analyticsはこの三十一条の対象となるのでしょうか。

個人関連情報取扱事業者は、第三者が個人関連情報（個人関連情報データベース等を構成するものに限る。以下この章及び第六章において同じ。）を個人データとして取得することが想定されるときは、第二十七条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。

一　当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。

二　外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。

個人情報の保護に関する法律 | e-Gov法令検索

これに関しては、個人情報保護委員会のFAQに興味深い回答があります。

Q8-10 A社が自社のウェブサイトにB社のタグを設置し、B社が当該タグを通じてA社ウェブサイトを閲覧したユーザーの閲覧履歴を取得している場合、A社はB社にユーザーの閲覧履歴を提供したことになりますか

A8-10 個別の事案ごとに判断することとなりますが、A社がB社のタグにより収集される閲覧履歴を取り扱っていないのであれば、A社がB社に閲覧履歴を「提供」したことにはならず、B社が直接にユーザーから閲覧履歴を取得したこととなると考えられます。このため、B社がそのタグを通じて閲覧履歴を取得することについて、法第31条第１項は適用されないと考えられます。

なお、個人情報取扱事業者であるB社は、閲覧履歴を個人情報として取得する場合には、偽りその他不正の手段によりこれを取得してはならず（法第20条第１項）、また、個人情報の利用目的を通知又は公表する必要があります（法第21条第１項）。

これはまさにGoogle Analyticsのようなユースケースに関する質問であり、回答は「閲覧履歴を取り扱っていないなら、閲覧履歴の提供には当たらない」となっています（ただし個別判断が必要）。

結論

私の中の結論としては、個人情報保護法においては、Cookieによる個人関連情報の取得に関してユーザー同意は必要ないだろう、ということです。

ちなみに

Google Analyticsの利用規約

Google Analyticsの利用規約では、法律に基づいて、同意を得る必要があれば同意をとってね、というのが立て付けのようです。

お客様は、ユーザーのデバイス上で Cookie やその他の情報を保存およびアクセスすることについて、かかるアクティビティが本サービスに関連して発生し、その情報の提供とユーザーからの同意が法律で義務付けられている場合には、かかるアクティビティについてユーザーに明確かつ包括的な情報を提供し、同意を得るための商業上合理的な努力を払うものとします。

Terms of Service | Google Analytics – Google (最終更新: 2023 年 5 月 15)

Google Analyticsはファーストパーティクッキーを使う

Google Analyticsはファーストパーティクッキーを使っており、Cookie情報は直接Googleに行きません。

ユニバーサルアナリティクスでは、analytics.js JavaScript ライブラリまたは gtag.js JavaScript ライブラリを使用できます。どちらのライブラリも、以下の目的でファーストパーティ Cookie を使用します。

Google アナリティクスによるウェブサイトでの Cookie の使用 | Google アナリティクス 4 プロパティ | Google for Developers

Cookieで取得した情報は、URLパラメータとしてGoogleに送信されるようです。