待ったなし!cookie規制に早めに取り組もう

cookie規制について

インターネット広告で広く活用されてきたcookieに、プライバシー保護の観点から規制が入っています。最近ではWebサイトで「cookieに同意する」というダイアログをよく見かけるようになりました。なんだか自分にも関係がありそうですが、いったい何をすればいいのでしょう?

 

デジタルドロップ広報担当パンちゃんです!
今回はcookie規制について説明するよ。
この記事は約4分30秒で読めるよ♪

 

cookie規制とは

「cookie規制」とは、インターネット上で広告・マーケティング活動を行う、もしくは商品・サービスを販売する際に有用な技術であるcookieの取り扱いに制限を加え、ユーザのプライバシーを保護する一連の施策を指します。日本国内だけでなく、海外でも同様の動きがあります。

そもそも「cookie」ってなに?

cookieとは、WebサイトやWebサービスにアクセスした情報をWebブラウザに一時的に保存しておく小さな識別用のテキストファイルのことです。次回同じWebサイトを訪問した時、Webブラウザがcookieをサーバに送信すると、前回入力・設定した内容が再び表示されます。

例えば会員制のWebサイトを利用してユーザ名とパスワードを入力すると、次回アクセスした時には入力不要でログインできたりしますね。また、Eコマースでショッピングカートに商品を入れたまま忘れていて、次にアクセスした時にカートに商品が入ったままになっていることがありますね。それらは、アクセスした際に発行されたcookieをWebブラウザが保管しているからです。

cookieにはWebサイトの閲覧情報だけでなく、検索履歴や会員登録時の登録内容などフォームに入力した情報も保存することができます。そして、cookieにはあらかじめ保存期間が設定されており、一定期間が経過すると自動的に破棄されます。Webブラウザの設定ページで、手動で破棄することも可能です。

cookieには2種類ある

cookieには「ファーストパーティcookie(first party cookie)」と「サードパーティcookie(third party cookie)」の2種類があります。cookieそのものの内容にはほとんど差がありません。違いは、「cookieの発行元がどこのドメインか」です。

ファーストパーティcookieは、ユーザが直接アクセスしたドメインが発行します。つまり、「cookieを発行したドメイン」と「アクセスしたWebサイトのドメイン」は同じになります。また、ファーストパーティcookieは、Webブラウザごとに発行することになります。例えばログイン情報のcookieは他のWebブラウザには引き渡されないので、Webブラウザを変えた場合はあらためてログイン情報の入力が必要になります。

一方、サードパーティcookieは、ユーザが直接アクセスしたドメインとは異なるドメインが発行します。例えばWebページにトラッキングコードを仕込んだアドネットワークのバナー広告を表示させている場合、バナー広告が利用するcookieはアドネットワークを運営する事業者のドメインが発行することになります。つまり、「cookieを発行したドメイン」と「アクセスしたWebサイトのドメイン」が異なる、というわけです。また、WebページやWebブラウザを横断して利用することができるため、別のWebブラウザを使って別のWebページにアクセスしても同じ広告が表示されたりします。

サードパーティcookieが使えなくなる

cookie規制で問題になるのは、サードパーティcookieの方です。特にユーザの視聴行動を参照して表示する広告内容を変更する「リターゲティング広告(リマーケティング広告)」に大きな影響があります。例えばとあるWebサイトで気になる商品の仕様を調べていたら、別のWebサイトやアプリの広告枠にその商品の広告が表示された経験はありませんか?それがリターテゲィング広告です。

リターゲティング広告ではWebサイトにアクセスしてきた人にIDつきのcookieを発行するため、Webブラウザが変わっても、またはモバイルアプリからのアクセスだとしても、追跡して広告を表示させることが可能になります。

コンバージョン率が高く費用対効果がよいリターゲティング広告は、非常に効果的な広告手法です。しかし、世界中でプライバシー意識の高まりがあり、GoogleのWebブラウザ「Chrome」ではサードパーティcookieのサポートを段階的に停止し、2023年には完全に廃止する予定です。また、AppleのWebブラウザ「Safari」では「ITP(Intelligent Tracking Prevention)」というサイトトラッキング防止技術を使って、サードパーティcookieを締め出してしまいました。

プライバシーへの配慮

では、なぜサードパーティcookieを規制するのでしょうか。それは、cookieを使ってユーザの行動を追跡することがプライバシーの侵害に関わるとされるからです。リターゲティング広告によって、「自分の行動がどこかから監視されている」「知らないうちに自分の個人情報が出回っている」と感じたことはありませんか。

海外の動き:GDPR

EUでは2018年5月25日から「EU一般データ保護規則(General Data Protection Regulation、略してGDPR)」がプライバシーの保護を目的に策定・施行されました。GDPRは、EUに加盟する27か国にアイスランド、ノルウェー、リヒテンシュタインを加えた欧州経済地域(EEA)を対象とし、EEA域内で取得した個人データをEEA域外に移転することを原則禁止しました。
GDPRにおける「個人データ」とは、「識別された、または識別可能な自然人に関する情報」と定義されています。例としては、氏名、住所、電話番号、メールアドレス、位置情報、オンライン識別子(IPアドレス、cookieなど)などが挙げられます。従業員IDのような一時的に付与される情報も含まれます。
GDPRによって、個人のデータ取り扱いにも変化が生まれました。個人は自身の個人データの削除を企業など収集したデータの管理者に要求できるようになり、同時に、個人は提供した個人データが事業者でどのように使われているかを知り、別のサービスに再利用できる(「データポータビリティ」)ようになりました。

GDPRの対象となる企業は、EEA域内に存在する企業だけではありません。 以下の場合は、GDPRの対象に該当します。

  • EEAに支店や営業所といったビジネスの拠点がある
  • EEAからアクセス可能なWebサイトを展開して商品・サービスを販売・提供している
  • EEA域内のユーザがアクセスしたWebサイト・Webサービスへの閲覧・検索履歴などを収集している

つまり、「日本に会社があるから関係ない」とは言えなくなってしまったのです。
GDPRでは、高額の制裁金が話題になります。違反によって科される制裁金は、2,000万ユーロ以下、もしくは全世界の年間総売上の4%以下のいずれか高い方となります。

海外の動き:CCPA

アメリカでも、2020年1月に「カリフォルニア州消費者プライバシー法(California Consumer Privacy Act、略してCCPA)」が施行されました。CCPAでは、保護の対象となる個人データはGDPRよりも広範囲にわたり、指紋や声紋といった生体情報、インターネットでの検索履歴・閲覧履歴なども含まれます。また、個人だけでなく世帯情報も保護範囲に含まれます。
CCPAでは、カリフォルニア州民や世帯の個人情報を収集している事業者が対象となります。そのためそれらを満たしているのであればGDPR同様日本企業であっても事業者とみなされますが、CCPAの対象となる事業者は「2,500万ドルを超える年間収益がある」「5万人以上のカリフォルニア州住民の個人情報を処理する」「年間収益の50%以上を個人情報の販売によって得ている」のいずれかに該当する法人という制限があります。

日本国内の動き

2022年4月1日に施行された「改正個人情報保護法」では、個人情報の開示、訂正(追加や削除を含む)に関する条項が追加され、個人が個人情報に対して持つ権利が大幅に強化されました。

同時に、個人関連情報の第三者提供に関する制限が追加されました。例えば会社Aでは個人が特定できないデータでも、第三者である会社Bが会社Aからそれを入手し加工することによって個人情報に変換できると認められる場合には、会社Aは個人に対して事前に個人情報取得の同意を得る義務、会社Bは会社Aから提供されたデータが事前に個人から個人情報取得の同意を得ているのかを確認する義務が生じます。

個人情報保護法では、GDPRやCCPAと異なりIPアドレスやcookieなどのオンライン識別子は個人情報に該当しないとされています。しかし、上述のようにデータを加工することで個人情報として活用できる状態になる可能性があるのであれば、GDPRやCCPAと同様の扱いを考慮した方がよいでしょう。そのため、日本語で書かれたWebサイトでもcookieポリシーの表示と同意を求めるWebサイトが増えています。

違反した場合の賠償金額を勘案すると、2022年現在ではGDPRを遵守した個人情報の取り扱いをすることが、WebサイトやWebサービスの運営で生じるリスクを軽減できるアクションと言えるでしょう。

cookieポリシーとは

cookieポリシーの表示例

ここまでcookieとcookieに関する規制の説明をしてきました。EUやアメリカからのアクセスを想定しているWebサイトでは、個人データの収集を目的とするcookieの利用に関して同意を求めるようになりました。それが、「cookieポリシーの表示と同意」ダイアログです。

cookieによる個人データ利用への同意を求める一般的な方法として挙げられるのは、最初にWebサイトにアクセスした時に表示される「cookieの利用への同意」ボタンです。また、大抵の場合、同意ボタンの近くには「詳細」「cookieポリシーについて」など、cookieの利用法に関するページへの導線が設定されています。

cookieポリシーページでは、おもに下記を説明しています。プライバシーポリシーと似たようなもの、と考えればなんとなくイメージしやすいでしょうか。

  • cookieとは
  • cookieの種類と利用目的
  • cookieの管理方法(無効・削除手段)
  • cookieポリシーに関するお問い合わせ先

同意しない場合はどうなるの?

たまにcookie利用に関して「同意する」の他に「同意しない」ボタンやそのまま閉じる「×」マークが表示されることがあります。「同意しない」ボタンをクリックしても、Webページの閲覧自体は可能です。ただし、Webサイト内の巡回情報が記録されなくなるので、「あなたへのおすすめ」「過去の閲覧履歴」といったcookieを利用したWebページの表示が利用できなくなる、という不便が生じます。また、訪問のたびにcookieポリシーに関するダイアログが表示されます。

まとめ

cookie規制は、プライバシー意識の高まりを受けて進められています。その影響は特に広告・マーケティング業界において大きく、一部のWebブラウザではリターゲティング広告が実質的に機能しなくなりました。それ以外にも、効果測定の精度が下がる、コンバージョンが正確に計測できなくなる、といった問題が発生しています。

個人情報の利活用はインターネット上でビジネスを展開するだけでなく情報を配信する時にも不可欠ですが、常にプライバシーの問題を孕みます。取り扱いには十分に注意し、各種法令に反しないよう常に心がけましょう。

 

cookie規制の影響を受けるWebサイトやWebサービスは案外多いんだ。不安があったら、デジタルドロップに相談してみよう♪

 

あわせて読みたい関連記事

Threads(スレッズ)とは?使い方の基本からビジネス活用のヒントを紹介!【事例あり】 コンテンツ制作

Threads(スレッズ)とは?使い方の基本からビジネス活用のヒントを紹介!【事例あり】

Metaによる新たなテキスト型SNS「Threads(スレッズ)」はTwitterに代わるSNSとして注目されています。 すさまじいスピードで普及したスレッズですが、「ビジネスで活用する方法は?」と疑問を持っている方もい […]

UXデザインの魅力と効果的な取り入れ方!ユーザーの満足度を高めるためのポイント Web制作

UXデザインの魅力と効果的な取り入れ方!ユーザーの満足度を高めるためのポイント

目次1 UXデザインとは?2 UXデザインの実践方法2.1 ユーザーニーズの把握2.2 ユーザビリティの向上2.3 シンプルで分かりやすいデザイン2.4 情報の整理と整頓2.5 柔軟性と拡張性のあるデザイン3 ビジネスに […]