最近よく見かけるCookie同意バナーは必要？ホームページへの設置義務があるの？

こちらの記事も読まれています
CSRやSDGsの取り組みを展開し信頼性を生むホームページに。企業評価を高めましょう。

画像引用元：旭化成株式会社

インターネットの閲覧中、とあるサイトを訪問した時にこのようなCookie同意バナーを最近よく見かけるようになりましたね。例えば、下記のような文章が表示された経験はありませんか。

「このサイトはCookieを利用し一部のサイト機能を有効化しています。Cookieを使用することで、ユーザーが関心を持っているコンテンツの把握、個々のユーザーの関心のあるコンテンツや情報や広告の配信など、Web上でより良いサービスの提供が可能となります。また、………」
Cookie…？なんだろう、よくわからないな。けど、良いサービスを提供してくれるのね…そのような感じで詳しい情報を読まずにとりあえず「同意」ボタンを押している人も多いと思います。

私もそのクチです。
詳しく見ることもせず「同意」ボタンを押します。サイト閲覧の邪魔にもなりますので。

Cookie 同意バナーは、サイトで Cookie がどのように使用されているかを訪問者に知らせる通知です。 よくよく考えると怖いですよね？自分の情報が何に使われているのか確認もせず、同意ボタンを押して良い訳がありません。
ワンクリック詐欺のサイトとは違いますが「はい」を押すことによって本当に自分の利益になるのか？もしかすると不利益となる場合も無いとは言えないのです。

しかし、最近なぜよく見かけるようになったのでしょうか？今まではそういった情報は取得していなかったのか？

実は多数のWEBサイトが「同意」を得ずとも個々のユーザーの情報を取得しています。

これは日本の個人情報保護制度にも関係しています。
日本はプライバシー規制の後進国と言われていて、世界と比べて個人情報保護の規制は弱いのです。
個人情報保護法も少しずつ厳しくなってきておりますが世界と比べると、まだまだプライバシー保護規制の程度は弱いのです。そのためインターネット上のCookieによる各種情報の取得も同意を得ずとも取得できているのが現状となっています。※ユーザー側のブラウザ、端末の設定変更によって拒否することも可能

日本の個人情報保護法は令和2年（2020年）に改正され、Cookie関連の情報規制も一部盛り込まれた形で2022年4月1日から施行されています。
一方、海外だと欧州ではGDPR（EU一般データ保護規則（General Data Protection Regulation））が2016年に制定されています（これは耳にしたことがある方も多いのでは？）。
また、米国ではCCPA（米国 カリフォルニア州消費者プライバシー法（California Consumer Privacy Act））と呼ばれるカリフォルニア州法が2018年に制定されています。そのほかにも東南アジアや南米など世界のいたる所で、GDPRを踏襲するようなプライバシー規制関連の法律が次々と制定されています。

その結果、Cookieなどのオンライン識別子による情報取得にも、同意してからの取得などが必要となる場合や、データローカライゼーション規制（自国内で個人情報を管理する）などが推奨されるようになっているのが現状です。

この記事ではCookieとは何なのか？Cookie同意バナーは必要なのかを記事にまとめています。
※Cookie以外を示す点もありますが文中では「広域の意味でCookie、それに関連したもの」として記事を作成しています。今回は便宜的にCookie規制について説明しています

Cookie同意画面設置率は日本企業の7％程度しか対応していないのが現状です。米欧（欧州（87.98%）・米国（38.25%））に比べるとかなり遅れている日本の現状が浮き彫りになっていますね。
※クッキー同意確認、日本企業7%どまり　米欧に遅れ（日本経済新聞-2021年5月21日）

そもそもCookieとは何か？

インターネットを利用する際、その利便性を高める目的で導入・利用されたのがCookieの始まりです。どのような利便性かというと例えば、

• ユーザーの入力した情報を保存・記憶して次回以降の入力を省略することができる
• ユーザーの閲覧した情報、趣味嗜好をもとに、ユーザーにマッチした広告などを表示させる

など。他にはショッピングサイトに入力したIDやパスワードなどの情報が次のログインの際に自動で入力されたり、さまざまなサイトをみている時に同じジャンルの広告が表示されたりなど。インターネット上での便利な体験や機能はその多くがCookieにより実現しています。
ID・パスワードを保存しておき入力の手間を省く、このような操作を実行している人は多いのではないでしょうか。Cookieはユーザーのさまざまな情報を記憶することが可能です。

• ユーザーのIDやパスワードなどの認証情報
• お買い物カゴに入れたアイテム
• 興味がありクリックした広告やその種類
• 自分が読んだ記事など

行動や趣味などにあわせ、マッチした情報を表示したり、認証情報を記憶したりすることができます。それだけを聞くと非常に便利だと感じますよね。

大きく2分類に分けると「1st Party Cookie（ファーストパーティクッキー）」と「3rd Party Cookie（サードパーティクッキー）」に区別され、違いとしては、

• 1st Party Cookie：基本的に、閲覧しているWEBサイト内のみで利用されるCookie
• 3rd Party Cookie：閲覧しているWEBサイトの他、複数のサイトをまたいで利用できるCookie

となります。そのほか、他社が取得したデータを指すものとしてセカンドパーティークッキーといった呼び方も。

1st Party Cookie（ファーストパーティクッキー）

ユーザーが訪問したWebサイトから発行されるCookieの事です。
主にホームページのログインするための情報や閲覧した履歴、お買い物かごの中の商品情報（ショッピングサイトなどの場合）を記録するために利用されていて、基本的にはそのサイトの内部のみで活用されています。

3rd Party Cookie（サードパーティクッキー）

現在訪問しているサイト以外から発行されたCookieを指します。
1st Party Cookieが１つのサイト内における情報収集を行う一方、3rd Party Cookieは複数のサイトをまたいでユーザーの行動データなどを収集します。
例えば、日用品販売DAY社のECサイトを利用した後、他のWEBサイト、例えばYahoo!などのポータルサイトなどに移動した際、DAY社の商品やサービスなどが広告として表示された経験があると思います。
広告に追跡されているように感じるこの事象…実は3rd Party CookieによりＷＥＢサイトをまたいで収集された情報を、関連性が高いと予想されるユーザーへ広告配信を行う「リターゲティング」と呼ばれる仕組みによるものです。

そして、広告配信のほかにも、WebサイトＢからWebサイトＣに移動したユーザー数を計測するなど、マーケティングに利用できるさまざまな行動データの収集に3rd Party Cookieが活用されています。

リターゲティングはサイトを離れたユーザーを追跡し、再度広告表示を行うための手法。一度興味を持ったユーザーをフォローすることが可能です。新規ユーザーよりも興味があるユーザーを追跡することでコンバージョン率を高めることも可能です。リマーケティングとも呼ばれるテクニックです。

Cookieの語源・由来

語源・由来は諸説あります。

1. 「セサミストリート」のクッキーモンスターがいつも食べているように、ウェブサーバーに食べられる（記憶・格納される）という意味で付けられたといった説
2. 単純に「ウェブサーバーに食べられる」の意味からクッキーと名付けられたとする説
3. 毎回違うメッセージを表示することから、おみくじ入りクッキーの「fortune cookie（フォーチュンクッキー）」を語源とする説

ネットスケープ社が同社のブラウザ『Netscape Navigator（ネットスケープナビゲーター）』に導入したのを機会として「Internet Explorer（インターネットエクスプローラー）」など、多数のWEBブラウザにもサポートされるようになりました。

Cookieの規制が必要な理由

それでは何故Cookieの規制が必要になっているのか。
最大の理由はプライバシーの保護にあります。Cookieはインターネットを便利にする技術ですが、「行動を細かく監視する」という特性からユーザーのプライバシーを侵し過ぎているのでないかと懸念が広がっています。
世界には、すでにCookieの利用に対して厳しい取り決めを設けている地域もあり、適切な対応を怠ったことで重いペナルティを受ける事例も増えています。罰金による経済的な損失はもちろん、ユーザーと信頼関係を築くにあたりプライバシーへの配慮不足は深刻な障害となるため、特に個人情報を取り扱うウェブサイトを運営する企業にとってはCookie規制への対策は喫緊の課題となっています。

一方、日本国内で物議を醸した事件ではリクナビ問題やLINE問題などがありましたね。
その結果として規制強化の引き金になったとも言われています。
ご存知ない方は「◯◯問題」で検索してみてください。すぐ記事がでてきます。

では次に、Cookie規制における世界基準がどのように変わってきているのかを。

各国のCookieに関する法令・規制はどうなっている？

2018年に欧州で施行されたGDPR（EU一般データ保護規則）は、Cookieをはじめとするオンライン識別子を個人データの一つとして厳格に管理するような規定が設けられています。Cookie情報を取得する際にはユーザーから同意を得ることが強く求められ、取得目的を始めとする諸条件の開示が必須化されています。

また、2020年にアメリカのカリフォルニア州で施行されたCCPA（カリフォルニア州消費者プライバシー法）も、同じくCookieを法令の適用範囲としており、個人が法令を利用して企業にデータの情報開示・削除を請求できるよう規定が設けられております。

そのほかにも2022年11月1日に施行が予定されている中国個人情報保護法も注目・注意が必要になるでしょう。中国個人情報保護法はGDPRと規定内容が類似していて、Cookieの取り扱いについてもGDPR同様に積極的な配慮が必要になるとの予想がされています。
ということで、GDPRやCCPAについての簡易的な解説を次にご紹介します。

GDPR（EU一般データ保護規則（General Data Protection Regulation））

EU域内の個人データを守るために制定された法律。AIやITテクノロジーの進化・成長により個人情報悪用のリスクが高まっている状況を受けて2018年5月25日に施行されました。

GDPRの施行は「罰則対象が全世界に及ぶこと」「制裁金が数十億円単位と高額なこと」から、世界中に大きな衝撃を与えました。世界的なプライバシー保護の流れを加速させるきっかけとなったとも言える法律です。

罰金の例：GDPRに違反したと認定される罰金についてのレポートが公表される（NTTコムオンライン 2021年2月5日）

GDPRは「EU域内の個人（短期滞在者含む）」が対象。だが、

EU域内に滞在または居住中に取得された個人データが保護対象です。住人のみならず、出張などで短期間滞在した人にもGDPRが適用されます。

それに加えて取り締まり対象はEUに営業拠点がある企業だけではなく、EUからデータ移転を受けている、あるいはEU域外からEUに向けてサービスを提供している世界の事業者全般も該当します。英語版の自社サイトを運用し、EUからのWebアクセスがある程度存在するというだけでも適用される恐れがあります。

GDPRではオプトイン方式のCookie同意を展開する必要があり

サイトを訪問した時点では個人データやCookieを取得してはならないということで、オプトイン方式での対応が必要になります（ゼロ・クッキーロードとも言われます）。

例えば、上記はYahoo!フランスへアクセスした際の初期画面です。日本語のYahoo!サイトとは違い同意しないと先に進めない仕様になっています。フランス語だと分かりにくいので翻訳すると…

Cookieについての同意バナー、その詳細な内容が展開されています。こちらに同意、もしくは拒否しない限りサイトには訪問できない仕様です（オプトイン方式）。

GDPR以前はオプトアウト方式が一般的に設置されていました。「事前許可なしで情報取得、本人の求めがあれば停止」のパターンがオプトアウト方式です。

どのようなホームページが対象となるか

EU クッキー規制の対象 Web サイトはEU 市場向け商業目的の Web サイトで、必須Cookie以外のCookieを取得している場合、全てが対象となるとの事ですが、その中でも主に重点取締り対象となるサイトはEU市場を対象とした、

• 物・サービスを販売する 「 e コマースサイト」
• 製品・サービスを紹介する 「ブランドサイト」
• ターゲティング 広告で収益を得る 「情報サイト」

などです。上記以外に EU 市場向けと判断される要因は（地理的適用ガイドラインより）、Web サイトが欧州言語で記述されている、もしくは欧州の通貨で決済ができたら明らかに欧州向けといった要因や、英語のみのサイトなどは適用対象かの判断が難しいが、実質欧州向けにサービス提供しているならユーザー数にもよるが対象とみるのが安全な模様です。

同意の必要がないCookieもあります。
商用オンラインサービスの機能を実装するために必要なCookie（必須Cookie）については、同意を取得する必要は無しです。例えば下記のようなCookieです。

• ウェブサイトの表示言語やフォントを記憶・買い物カゴに入れたアイテムを記憶する
• 利用者のサービスログイン状態を記憶する
• セキュリティアップデートの状態を監視する
• 詐欺的な利用を防止する
• アクセス負荷分散

必須Cookieではないターゲティング広告、アクセス解析やMA（マーケティングオートメーション）ツールなどで利用するCookie利用には同意が必要となります。GDPRは1st Party Cookie、3rd Party Cookieによる違いでの関係性は無く、取得するデータにより同意が必要に。同意要件も細かく設定されていて一部を掲載すると

• クッキー等によるデータ処理の 目的・方法・開示先・期間等について明確かつ包括的な情報提供を利用者に行ったうえで取得した同意であること
• 利用者が自由に与えた同意であること、つまりサービスを利用するために同意の選択を強要していないこと・データ処理の一つ一つの 目的ごとに同意を取得すること
• 曖昧ではない、肯定的な行為 （例えばチェックボックスやチェックボックスのクリック、スライドスイッチのドラッグ、画面のスワイプ等）により取得した同意であること
• クッキーを実際に設定するまでに 事前に同意 を取得すること
• 同意を取得したことを Webサイト管理者が証明できること
• いつでも容易に同意を撤回 できること

上記のような同意要件があります。かなり細かく設定されていますね。
同意を得るにもユーザーを騙すような表示はNGで、このあたりも注意が必要です。
例えば拒否ボタンが見つからない…同意ボタンのみが強調されている…など、こういった表現はダークパターンとも呼ばれていて罰則の対象となる場合があります。

CCPA（米国 カリフォルニア州消費者プライバシー法（California Consumer Privacy Act））

「GDPR並みの影響がある」と言われているCCPA（カリフォルニア州消費者プライバシー法：California Consumer Privacy Act）。カリフォルニア州民の個人データを守るための法律として2020年1月1日に施行（2020年7月1日から効力が発生）されています。
CCPAもGDPRと同じように全世界への適用可能性があるのです。
制裁金も莫大な金額になるなど、GDPRと非常に似通った性質を持っています。困ったことにGDPRの対策だけではCCPAに対応できない場合もあり、早急な対策が必要になっています。

CCPA は識別子や閲覧情報を広告目的で第三者提供する場合、オプトアウトを提供する義務ターゲティング広告についてオプトアウト方式の画面 (13 歳～ 15 歳の子供に関してはオプトイン方式の画面)を適切に設置していないサイトに対し、多くの執行事例が出ています。

カリフォルニア州の住民（納税者）の個人データが保護対象でGDPRと異なり、短期滞在者は含まれず。取り締まり事業者の定義はかなり複雑ですが、カリフォルニア州民の個人データを取得し下記のいずれかを満たすことで適用となります。

• 年間総収入が「2,500万ドル」以上
• 5万件以上の「カリフォルニア州民の個人データ」を取得あるいは処理
• 「カリフォルニア州民の個人データ」の販売による収入が年間収入の50%以上

世界中が対象となりますがGDPRとの違いは小規模の事業者は適用されない点ですね。
但し、それはあくまでも現時点での規制条件であり、プライバシー保護規制は日々強化されています。注意が必要でしょう。

その他　中国、ブラジル、インドなど

代表的なGDPR、CCPA規制以外にも、他の国々、地域のクッキー規制などがあり、それぞれ細かな違いがあります。
IIJ（株式会社インターネットイニシアティブ）さんでは世界のプライバシー保護規制対応を支援する情報を発信しています。より詳しい情報の取得やCookie同意バナーについて詳しく知りたい方は下記をご参考にどうぞ。

• 世界のプライバシー保護規制対応を支援するサイト BizRis
• OneTrustクッキー同意管理バナー

ブラウザによる対応状況

このような国内、海外のCookie規制の流れを受けて世界で最も利用されているブラウザであるGoogle Chromeでは、2022年までに3rd Party Cookieのサポートを停止すると発表（その後2023年後半までの廃止予定へと延期されています）。Cookie廃止後の代替案として「プライバシーサンドボックス」と呼ばれる技術を発表していて、試験運用も開始されています。

Cookieに代わるプライバシーサンドボックスとは？

広告事業を収益の主とするGoogleにとっては、Web広告の重要な役割である3rd Party Cookieを廃止することは苦渋の決断であったと予想されています。プライバシー強化の傾向が強くなっている現状を考えると適切な判断なのでしょうね。
また、特に日本国内のユーザー比率が高いブラウザ「Safari」は、すでにITPと呼ばれる技術により3rd Party Cookieを完全にブロックする仕様となっています。

最近のスマートフォン、例えば私のiPhone11だと、デフォルトでChromeもSafariもサイト越えトラッキングはブロック仕様となっています。余談ですが3rd Party Cookieがブロックされ、広告運用会社は対応に追われているのです。

Cookie同意バナーについて。日本、国内向けサイトでは必要なのか？

日本の2020年改正個人情報保護法では、今回の改正法において、Cookieなどの単体では個人情報に該当しない識別子は「個人関連情報」と定義されています。 これは「個人情報」ではないため、データ取得にあたって本人の同意は必要ないということですす。つまり、Cookie同意バナーなどの設置は急がずとも良し、と捉えてよいのではないでしょうか。

しかし、改正個人情報保護法が施行され「Cookieの収集およびCookieに保存された情報の第三者への提供には本人の同意を得ることが必須」となっております。
個人関連情報取扱事業者が個人関連情報を第三者に提供し、さらに第三者が個人関連情報を個人データとして取得することが想定される場合は同意取得が必要となります。

Cookie同意バナー記事のまとめ

海外向けサイトを展開する企業にとっては未設置の場合、今後さらなる規制強化も想定しCookie同意バナーの設置を検討するべきでしょう。
しかし単純にCookie同意バナーを設置するだけではなく、文言や表示方法など、法律的・専門的な知識や対応が必要です。

国内向けサイトにおいては現状、第三者提供に該当しない場合罰則等はありません。
ですが今後のさらなる規制強化を想定し、事前準備を進めておくことが理想的だと思います。

Cookie同意バナーまでは必要ないとしてもCookieに対するポリシー・扱い方など、サイトへの表示を検討するべきです。第三者提供の有無に関わらず、企業の社会的責任としてプライバシー保護・その対応が求められていますので。

また、改正個人情報保護法が施工され個人情報利用に対しての利用停止・消去権の強化も加えられています。
プライバシーポリシーの見直しも必要なサイトが多いな、と感じています。自社サイトの見直しをしてみませんか？
例えば東京電力ホールディングスさんは施工実施にあわせ基本方針・手続き等のコンテンツを更新していました。こちらも参考になさってください。

• 東京電力ホールディングス株式会社－個人情報の取扱いに関する基本方針

• 東京電力ホールディングス株式会社－個人情報の開示、訂正、利用停止、利用目的の通知等の手続きについて