プライバシーテック研究所

Cookieの同意取得の仕組みは?同意管理について分析してみた

2022.04.11

はじめに

あなたがサイトを訪れた時、こんなポップアップを見たことはないだろうか。

「すべてのCookieを受け入れる」ー。

なんのことだが分からずに、ただ「同意します」を押さないといけない感が出ており、なんとなく同意したという経験が少なからずあるはずだ。

今回は、すべてのCookieを受け入れなければいけないのか、Cookieの同意取得や同意取得が必要な背景、導入事例などについて解説していく。

そもそも「Cookie」とは?

Cookieとは、WebサーバーやJavaScriptからユーザーのブラウザへ送信・保存されるテキストファイルのことだ。CookieにはそれぞれIDが割り振られている。このCookieのIDを活用することによってWebサイトを閲覧したユーザーを識別でき、再訪問者かどうかを判断できる仕組みだ。そのため、Cookieは個人関連情報と位置付けられており、また「足あと」と表現することも多々ある。

Cookieはどうしてもあまり良くないイメージを抱きがちだが、ユーザーにも貢献している。SNSやWebサイトへ再訪問した時にログインの手間を省けたり、通販サイトで前回カートに入れた商品が残っていたりする。 また、この足あとはインターネット広告にとっても有用だ。Cookieからユーザーをターゲティングし、最適なネット広告を表示させることができる。そのため、Cookieは現代のインターネットサービスやネットマーケティングにおいて重要な役割を担っているといってよいだろう。

Cookieについては、下記ブログにてより詳しく解説している。

なぜCookie同意取得をしなければいけないのか

今まで、Cookieは個人情報ではないという扱いだったためか、収集したデータはユーザーが知らないところで、企業が自由に活用できていた。

しかし、Cookieはやりすぎた。

例えば、自動車サイトを見たら、自動車のネット広告が表示されたというように、今まで閲覧していたジャンルに近いジャンルのネット広告が表示されるようになった。これは3rd party Cookieが収集したユーザーの行動履歴をもとに、ユーザーの趣向に沿った広告が表示されるためだ。3rd party Cookieはユーザーの行動履歴を複数のWebサイトを横断して収集することから、「個人データではないか」という見方が強まっていた。

この結果、GDPR(一般データ保護規則)や改正個人情報保護法により、Cookieが個人情報相当とみなされて規制されるようになると、Cookieを利活用するためにはユーザーの同意を取得しなければいけなくなった。 Priv Labによれば2021年5月時点でCookieの同意取得を導入している日本の大企業はたった7%となかなか進んではいないが、喫緊の課題ということに間違いはない。

ここからユーザーからのCookie同意を得るためにWebサイトへ導入されるようになったのが、「Cookieの同意取得」だ。 Cookieデータ保持の可否はユーザーに委ねられ、ユーザー自らが選択できるようになった。ユーザーがCookie同意取得を許可(同意)すれば、従来どおりCookieで収集されたデータを利用して、マーケティング分析やネット広告の配信が可能だ。対してユーザーがCookie同意取得を拒否した場合は、Cookieを発行したウェブサイトはユーザーデータを保持できないため、Cookieを使用したデジタルマーケティングは行えなくなるという仕組みだ。

Cookie同意取得は何が正解なのか

Cookie規制により、同意取得バナーを表示しているWebサイトが近年増えている。しかし、バナーを表示したからといって全てが解決するというわけではない。 というのも、法令に遵守している同意取得バナーを表示させないと違法なるからだ。

  • 「サイトの閲覧=同意」のようにユーザーに取得可否の選択権がないもの
  • 「Cookie ウォール」と呼ばれる同意がないとサイト閲覧できないもの
  • 同意拒否ボタンの場所がわかりにくいもの
  • 同意拒否理由をきくもの

日本のWebサイトを見ると「拒否ボタン」がないバナーを導入している企業が多い。しかし、ユーザーに拒否権のないバナーは違法だ。 また、拒否手続きの手間を増やす手法も違法となるため、注意しなければならない。

対してオプトイン方式は、事前にデータ取得の同意可否を行う方式だ。NGバナーとは違い、オプトイン方式であれば「拒否ボタン」を表示できるなど、確実にユーザーに選択権がある。そのため、改正個人情報保護法はもちろん、Cookie規制が厳しいGDPR対策としても非常に有効だ。

Cookieの同意取得に最適な「CMP」とは

Cookie規制が進む中で「CMP(Consent Management Platform)」と呼ばれる技術に注目が集まっている。CMPとは、同意管理プラットフォームのことで、Webサイトに訪問したユーザーに向けて、オプトイン方式でCookieの同意取得のポップアップを表示できるツールだ。

ユーザーごとの同意取得状況を一元管理する機能や同意を拒否したユーザーのデータは記録しない機能も備わっている。CMPを導入すれば、Cookie規制に準拠しながらデジタルマーケティングを行うことが可能だ。

CMPの選び方

CMPの注目度がアップしたことで、現在多くの企業がCMPサービスを展開している。Cookie規制に準拠しながら、デジタルマーケティングを行うためには、CMPの正しい選び方を理解しておかなければならない。

CMPを選ぶポイント

  • シンプルなCookieバナーか
  • 海外法令への対応有無
  • ゼロCookieロードの対応有無
  • 他社システムとの連携有無
  • サポート体制の手厚さ

■シンプルなCookieバナーか

前述のとおり、ただバナー表示すればよいというわけではない。

同意してもらうためには、利用目的を明確する必要があるため、表示するバナーはユーザーに伝わりやすいシンプルなものを選ぶ必要がある。

■海外法令への対応有無

GDPRやCCPAの施行にともなって、不透明なトラッキングへの規制も進んでいる。
GDPRやCCPAといった海外法令に対応できるCMPであれば、規制に沿った同意取得も可能だ。

■ゼロCookieロードの対応有無

「ゼロCookieロード」とは、ユーザーの同意を得る前にCookieによるデータ収集を一時停止する手法だ。同意取得前にCookieの利用が始まると、同意なしに個人データを収集したと見なされてしまう。
このような事態を避けるためにも、「ゼロCookieロード」に対応しているCMPを選ぶとよい。

■他社システムとの連携有無

他社システムと連携できるCMPを選べば、収集した個人データを効率よくマーケティングに活用できる。個人データ管理の手間を省くためにもシステム連携できるCMPを選ぶとよいだろう。

■サポート体制の手厚さ

しっかりとサポート体制があれば、トラブルが発生した時にも迅速に対処・メンテナンスを行ってくれる。サポート体制の手厚さもCMPを選ぶ際には欠かせないポイントだといえる。

CMPを手がけている企業について

ここでは、CMPを手がけている企業について見ていく。

Ensighten(アメリカ・カリフォルニア州)

Ensightenは2009年に設立されたアメリカ・カリフォルニア州に本社がある企業だ。
EnsightenはWebサイトを常に監視し、あらゆるスクリプトをレポーティングする機能が搭載されている。Cookieのコンセントマネジメント機能も標準装備されており、各国の法令に準拠した対応が可能だ。

■インターネットイニシアティブ(東京都)

インターネットイニシアティブは「OneTrust」と呼ばれるCMPを提供している。導入企業は世界で約5,000社ともいわれており、豊富な実績を持つ企業だ。
1つのスクリプトを作成すれば、ユーザーの言語設定をもとに適切な言語へ切り替える機能が備わっており、対応言語は100ヵ国以上ともいわれている。世界展開している企業とは相性が良いツールだといえるだろう。

■Priv Tech(東京都)

Priv Techは「Trust 360」と呼ばれるCMPを提供している。デジタルマーケティングとプライバシー尊重の両立を目指しており、ゼロCookieロードや他社システムとの連携、わかりやすいツール設計が魅力だ。
企業の規模や目的などの状況によって適したプランを選択でき、IT人材が乏しい企業の場合、導入方法の提案やツール設定の代行も依頼できる。

Cookie同意取得の導入事例

ここでは、日本におけるCookie同意取得の導入事例についてみていく。

■西日本旅客鉄道

西日本旅客鉄道では、顧客データの利活用を含むデジタル化への推進のさなか、GDPRへの対応に迫られた。
GDPRへの対応にともなって、CMP導入によるCookie同意取得バナーの表示も決定。ただ、今のところ同意取得のバナー使用は、グループ企業でまちまちな状況となっている。
西日本旅客鉄道の公式サイトでの同意取得バナーの表示は、2ドメインにとどまっているのが現状だ。ただ、新たなマーケティング施策で、新サイトを立ち上げる時は追加でバナー表示を行う予定があるなど、必要に応じて拡充予定だとしている。

■三菱電機

三菱電機は、GDPRには自社開発したCookie制御を欧州向けサイトに実装して乗り切った。
しかし、イギリスの規制では「ゼロCookieロード」が不可欠となり、自社開発では時間やコストがかかることから、ゼロCookieロードに対応したCMPを導入してC対応したそうだ。
三菱電機では、国別にCMPを管理しており、各地域の規制に合わせて柔軟かつ簡単に実装できるようになっている。グローバル展開している企業は参考にできる事例だといえるだろう。

Cookie同意取得の承諾はコントロールされている?

しかし、Cookieの同意取得には問題を孕んでいる。
NewYorkTimesのDealBookによれば、「Cookie同意を押していても、ユーザーは同意している感覚はない」とも書いている。実際、同意取得のためのバナーは大きく、ホームページに訪れたユーザーの邪魔をする。
またTechCrunchによれば、Cookie同意はされやすいように工作されているという。現に、EU privacy campaigner の Max Schrems氏によれば、「納得して同意している人はたったの3%」という。どれほど、Cookie同意取得は「同意」ボタンを押しやすいように工夫されており、ユーザーに対して押さなければ前に進めない状況となっている。

日本企業のCookie同意取得の導入率は7%から伸びたのか?

では日本はどうだろうか。 Priv Techによれば、日本の大企業のうちCookie同意取得を導入しているのは、2021年5月現在でたった7%だった(ただ改正個人情報保護法施行される1年前のデータなので古い)。
また同社の調べによれば、GDPRの施行によってCookie規制が厳しい欧州での導入率は約87.9%、アメリカでも約38.2%であるという。 ちなみに日本でも2022年4月から個人に紐づけて第三者にデータを渡す場合にはCookieの同意取得を義務付ける改正個人情報保護法が施行された。
Cookieの同意取得を導入していない企業は早急に対策しなければならない。

まとめ

  • Cookie同意取得バナーとはWebサイトにアクセスした時に「すべてのCookieを受け入れる」などの記載とともに表示されるポップアップのこと
  • Cookie取得バナーが必要になったのはCookieが個人データと定義されたユーザーにCookieの取得目的・諸条件の開示、取得同意が義務付けられたから
  • Cookieの取得承諾は事業者側でコントロールされている状況にある
  • 2021年5月現在、Cookie同意取得バナーを導入している日本の大企業は全体の7%と浸透率が非常に低く、2022年4月の改正個人情報保護法に向けて早急な対策が求められている

参考文献

Cookie利用同意取得、国内企業いまだ7%-改正個人情報保護法の施行迫る(2021年3月)

英データ保護当局のICO、Cookie規制に本腰を入れはじめる

リクナビ事件から3年、新しい「本人同意」は個人データ活用をどう変えるか

How Cookie Banners Backfired

Cookie Benchmark study