Cookieの出番が増えた理由は?
“このサイトはCookieを使用しています。閲覧を続ける場合は、Cookieを有効にしてください”。
このような内容の表示は以前からありましたが、2020年を迎えた頃から接する機会が増えてきました。Cookie(クッキー)は、ネットショッピングやインターネット広告の運用、サーバーへの通信の負荷を分散する用途などに使われ、Webサービスに不可欠な技術の一つですが、いま転換点に差しかかっています。
その背景として、プライバシー保護に対するインターネットユーザーの意識の変化と、これを受けて世界各国で進みつつある法体制の整備が挙げられます。まずはCookieの機能について、簡単におさらいしておきましょう。
CookieはWeb空間の会員証
Cookieは、ユーザーがWebサイトにアクセスした記録を残すための技術です。Webブラウザの識別番号、アクセス日時、有効期限などのデータを、文字情報でWebサーバーから配信してクライアントPCに保存します。
サイト側では、次回のアクセスがあった際に、Cookieの内容から、このユーザーは、いつ、どのページを、何回閲覧したかといった状況を確認することができます。
出典:総務省 国民のための情報セキュリティサイト Cookieの仕組み
私たちの生活空間では、商業施設の会員証のようなものと考えれば良いでしょう。例えば、スポーツクラブで会員証を提示すると、会員IDなどの情報から利用できる設備と担当のインストラクターなどがすぐに分かりますが、会員証が無ければその都度、名簿を照会しなければなりません。これと同様に、WebサイトでもPCから渡されたCookieを見れば、そのユーザーのステータスや利用状況が把握できるのです。
Cookieの活用例として、まずオンラインショッピングが挙げられます。ショッピングサイトでは、お気に入りの商品の類似商品や口コミ、利用可能なポイント数などを見て回った後で、決済メニューに進むことも多いと思います。この場合、アクセス後は複数のコーナーを行き来することになりますが、サイト側でユーザーを特定するためのIDとして使っているのがCookieです。
もう一つは、個々ユーザーにとって最適なサービスの運営です。サイト側で把握できた利用履歴を元に、そのユーザーに適したサービスメニューの構成、嗜好に合いそうなコンテンツの表示、広告の配信などを行ないます。詳細は後述しますが、プライバシーに対する意識の変化と法制度の改正で、特に大きな影響を受けるのはこの分野です。
Cookieのタイプは2種類
Cookieには、「ファーストパーティ」と「サードパーティ」の2種類があります。
・ファーストパーティCookie 自身がアクセスしたサイトから発行されるCookie
・サードパーティCookie アクセスしたサイト以外から発行されるCookie
多くのWebサイトでは、主体となるコンテンツの他に囲み記事や広告などが配置されていますが、このスペースは通常、リンク先(外部のサーバー)にあるデータを呼び出して表示します。このとき、外部サーバーから発行されるのがサードパーティCookieです。
例えば、スポーツクラブのサイトを閲覧した際、スポーツクラブ(ファーストパーティ)からユーザーの識別などに使うCookieが発行されると同時に、サイトに埋め込まれたスポーツ用品や健康食品の広告を運営する事業者(サードパーティ)からもCookieが発行され、PCに保存されるような形です。
サードパーティCookieを複数のサイトで共有する仕組みがあれば、特定のユーザーがよく使うサイトやサービス、購入した商品などが把握できますから、適切なコンテンツの提示や広告配信につなげることができるのです。例えば、スポーツクラブのサイトでテニスコートを予約した後、他のサイトに移っても関連商品の広告が出るといったシーン。ユーザーの行動を追跡して最適な広告を提示するターゲティング広告という手法の一例ですが、これを経験した方も多いと思います。
法改正でCookieは曲がり角に
ここ1~2年、人々のプライバシーに対する意識の変化と法律の整備によって、Cookieの扱い方が変わってきました。大きな契機となったのが、EU(欧州連合)が2018年5月に発効した個人情報保護に関する規約「GDPR(General Data Protection Regulation):一般データ保護規則」です。
GDPRでは、IPアドレスやCookieも個人情報と見なします。Cookie自体は個人を特定できるデータではないのですが、周辺の情報と関連付けると個人情報になるからです。例えば、ショッピングサイトにアクセスしてきたブラウザのCookieを、そのサイトに登録してある商品の送付先(住所氏名)やクレジットカード情報とリンクさせることは難しくありません。
GDPRの規約では、個人情報の一部であるCookieを取得する場合、利用する目的、他の事業者への提供の有無、サイト運営者の連絡先などを明記した上で、ユーザーの合意を得る必要があります。Cookieを削除する要請があった場合は、応ずる機能も維持しなければなりません。
GDPRの罰則規定は、2000万ユーロ(約26億円)もしくは年間売上の4%という厳しいもので、EUの域内に居住する人に向けたサービスなら、本社機能がどこにあっても適用されます。企業の規模も問いません。世界中からアクセスを受けるサイトはもちろん、日本の中小企業が国内向けに開設したサイトでもEU域内からの利用がある場合は、GDPRに沿った対応が求められることになるのです。
米国でも「CCPA(California Consumer Privacy Act):カリフォルニア州消費者プライバシー法」が、2020年1月に施行されました。細部は異なりますが、Cookieを取得する際は同意が必要、削除要請に対応、目的の開示義務など、個人情報保護を重視する姿勢はGDPRと同様です。このようなWeb利用時におけるプライバシー保護の動きは、ここ1~2年の間に世界中に拡がってきたと見ていいでしょう。
個人情報保護法にも反映
国内では2020年6月に個人情報保護法が一部改正され、Webサイトで個人情報を扱うときの対応が追記されました。まずGDPRやCCPAと異なる部分ですが、Cookie自体は個人情報とはみなさない点です。他の情報と組み合わせると個人を特定できる「個人関連情報」という用語が新たに定義され、Cookieはその一つとして扱われます。
運営面で変わった点は、「個人関連情報」のCookieが「個人情報」になる場合は、同意の取得が義務化されたことです。例えば、商業施設のサイトがネット広告を提供するサードパーティの事業者からCookieを受け取り、自社で保持するデータとリンクさせて個人情報として利用する場合、あるいは自社で取得したCookieを外部に提供し、そこで個人を特定できる情報が生成される場合は、Cookieの取得に際してユーザーの許諾を得ていなければなりません。
出典:朝日デジタル 改正個人情報保護法でのCookieを利用する際の規制
許諾が必須か否かは、Cookieを取得する目的と利用方法、リンクさせる情報の性質などを加味し、各サイトの運営形式に応じて判断することになりますが、原則的にはCookieが他のデータと結びついて個人を特定できる場合は、必要になると考えていいでしょう。
対応が立ち遅れた国内サイト
Cookieの利用をめぐっては、2019年に就職情報サイトが学生のサイト利用時に取得したデータを加工し、契約企業に販売していたことが問題視されました。今回の個人情報保護法の改正には、このような利用方法に一定の歯止めをかける狙いもあったとされています。
GDPRとCCPAの存在は少しずつ周知が進み、個人情報保護法の一部改正も2019年から概要は伝えられていましたが、GDPRの施行を契機に一気に対策が進んだ欧州と米国に比べると、国内サイトの対応は遅れ気味のように思われます。
国内市場に特化した小規模サイトはGDPRの罰則規定を受ける可能性は低いこと、改正個人情報保護法の施行には少し時間がある点(6月の公布後2年以内)を差し引いても、プライバシー保護に対する意識の高まりは先進国に共通する流れであり、日本企業も同じ土俵にあると捉えた方がいいでしょう。
トレンドに呼応した施策を
Cookieの活用に関しては、法的な規制とは別にWebブラウザを提供する事業者の対応にも注意が必要です。GoogleやAppleなどの主要ベンダーの製品は、すでにサードパーティCookieを規制できる機能を搭載しており、Googleは2020年1月、閲覧履歴を追うトラッキング用のCookieのサポートを2年以内に打ち切ると宣言しています。
Webブラウザ 「Google Chrome」のCookieの設定メニュー
このような状況を加味すると、数年後にはサードパーティCookieを活用したコンテンツ配信や広告展開は難しくなり、マーケティング分野でのCookieの利用方法は変わらざるを得ないでしょう。法制度に沿った対応を進めるとしても、サイトを開設している企業には、許諾とデータの削除に応じる仕組みの導入と運用に負荷がかかる点も軽視できません。
もちろん、新しい流れを見据えた対策も進んでいます。
例えば、利用者の同意取得や削除要請などの操作を一元的に管理する「CMP(Consent Management Platform):同意管理プラットフォーム」というシステムも提案され、欧米の企業を中心に導入が進んでいます。また、ブラウザから得られる情報だけで利用者を識別する「Finger Print」と呼ぶ技術も、開発と導入が進みつつあります(この場合もCookieを取得しないだけでGDPRなどの規制は受ける)。
当然のことですが、GDPRとCCPA、そして個人情報保護法も、Cookieなどのオンライン識別子の利用方法を規制するもので、情報の取得自体を禁じているわけではありません。この点に改めて着目すると、新しい展開、例えばCookieの取得と利用目的、利用方法を積極的に開示することで、ユーザーとサイト間の新しい信頼関係とサービスを構築していくというアプローチも考えられるでしょう。
いずれにしても、Webサイトの運営に携わっている皆さまは、この分野の動きに注視しながら、次の展開を模索しなければならない時期に来ているようです。
Cookieの出番が増えた理由は?
“このサイトはCookieを使用しています。閲覧を続ける場合は、Cookieを有効にしてください”。
このような内容の表示は以前からありましたが、2020年を迎えた頃から接する機会が増えてきました。Cookie(クッキー)は、ネットショッピングやインターネット広告の運用、サーバーへの通信の負荷を分散する用途などに使われ、Webサービスに不可欠な技術の一つですが、いま転換点に差しかかっています。
その背景として、プライバシー保護に対するインターネットユーザーの意識の変化と、これを受けて世界各国で進みつつある法体制の整備が挙げられます。まずはCookieの機能について、簡単におさらいしておきましょう。
CookieはWeb空間の会員証
Cookieは、ユーザーがWebサイトにアクセスした記録を残すための技術です。Webブラウザの識別番号、アクセス日時、有効期限などのデータを、文字情報でWebサーバーから配信してクライアントPCに保存します。
サイト側では、次回のアクセスがあった際に、Cookieの内容から、このユーザーは、いつ、どのページを、何回閲覧したかといった状況を確認することができます。
出典:総務省 国民のための情報セキュリティサイト Cookieの仕組み
私たちの生活空間では、商業施設の会員証のようなものと考えれば良いでしょう。例えば、スポーツクラブで会員証を提示すると、会員IDなどの情報から利用できる設備と担当のインストラクターなどがすぐに分かりますが、会員証が無ければその都度、名簿を照会しなければなりません。これと同様に、WebサイトでもPCから渡されたCookieを見れば、そのユーザーのステータスや利用状況が把握できるのです。
Cookieの活用例として、まずオンラインショッピングが挙げられます。ショッピングサイトでは、お気に入りの商品の類似商品や口コミ、利用可能なポイント数などを見て回った後で、決済メニューに進むことも多いと思います。この場合、アクセス後は複数のコーナーを行き来することになりますが、サイト側でユーザーを特定するためのIDとして使っているのがCookieです。
もう一つは、個々ユーザーにとって最適なサービスの運営です。サイト側で把握できた利用履歴を元に、そのユーザーに適したサービスメニューの構成、嗜好に合いそうなコンテンツの表示、広告の配信などを行ないます。詳細は後述しますが、プライバシーに対する意識の変化と法制度の改正で、特に大きな影響を受けるのはこの分野です。
Cookieのタイプは2種類
Cookieには、「ファーストパーティ」と「サードパーティ」の2種類があります。
・ファーストパーティCookie 自身がアクセスしたサイトから発行されるCookie
・サードパーティCookie アクセスしたサイト以外から発行されるCookie
多くのWebサイトでは、主体となるコンテンツの他に囲み記事や広告などが配置されていますが、このスペースは通常、リンク先(外部のサーバー)にあるデータを呼び出して表示します。このとき、外部サーバーから発行されるのがサードパーティCookieです。
例えば、スポーツクラブのサイトを閲覧した際、スポーツクラブ(ファーストパーティ)からユーザーの識別などに使うCookieが発行されると同時に、サイトに埋め込まれたスポーツ用品や健康食品の広告を運営する事業者(サードパーティ)からもCookieが発行され、PCに保存されるような形です。
サードパーティCookieを複数のサイトで共有する仕組みがあれば、特定のユーザーがよく使うサイトやサービス、購入した商品などが把握できますから、適切なコンテンツの提示や広告配信につなげることができるのです。例えば、スポーツクラブのサイトでテニスコートを予約した後、他のサイトに移っても関連商品の広告が出るといったシーン。ユーザーの行動を追跡して最適な広告を提示するターゲティング広告という手法の一例ですが、これを経験した方も多いと思います。
法改正でCookieは曲がり角に
ここ1~2年、人々のプライバシーに対する意識の変化と法律の整備によって、Cookieの扱い方が変わってきました。大きな契機となったのが、EU(欧州連合)が2018年5月に発効した個人情報保護に関する規約「GDPR(General Data Protection Regulation):一般データ保護規則」です。
GDPRでは、IPアドレスやCookieも個人情報と見なします。Cookie自体は個人を特定できるデータではないのですが、周辺の情報と関連付けると個人情報になるからです。例えば、ショッピングサイトにアクセスしてきたブラウザのCookieを、そのサイトに登録してある商品の送付先(住所氏名)やクレジットカード情報とリンクさせることは難しくありません。
GDPRの規約では、個人情報の一部であるCookieを取得する場合、利用する目的、他の事業者への提供の有無、サイト運営者の連絡先などを明記した上で、ユーザーの合意を得る必要があります。Cookieを削除する要請があった場合は、応ずる機能も維持しなければなりません。
GDPRの罰則規定は、2000万ユーロ(約26億円)もしくは年間売上の4%という厳しいもので、EUの域内に居住する人に向けたサービスなら、本社機能がどこにあっても適用されます。企業の規模も問いません。世界中からアクセスを受けるサイトはもちろん、日本の中小企業が国内向けに開設したサイトでもEU域内からの利用がある場合は、GDPRに沿った対応が求められることになるのです。
米国でも「CCPA(California Consumer Privacy Act):カリフォルニア州消費者プライバシー法」が、2020年1月に施行されました。細部は異なりますが、Cookieを取得する際は同意が必要、削除要請に対応、目的の開示義務など、個人情報保護を重視する姿勢はGDPRと同様です。このようなWeb利用時におけるプライバシー保護の動きは、ここ1~2年の間に世界中に拡がってきたと見ていいでしょう。
個人情報保護法にも反映
国内では2020年6月に個人情報保護法が一部改正され、Webサイトで個人情報を扱うときの対応が追記されました。まずGDPRやCCPAと異なる部分ですが、Cookie自体は個人情報とはみなさない点です。他の情報と組み合わせると個人を特定できる「個人関連情報」という用語が新たに定義され、Cookieはその一つとして扱われます。
運営面で変わった点は、「個人関連情報」のCookieが「個人情報」になる場合は、同意の取得が義務化されたことです。例えば、商業施設のサイトがネット広告を提供するサードパーティの事業者からCookieを受け取り、自社で保持するデータとリンクさせて個人情報として利用する場合、あるいは自社で取得したCookieを外部に提供し、そこで個人を特定できる情報が生成される場合は、Cookieの取得に際してユーザーの許諾を得ていなければなりません。
出典:朝日デジタル 改正個人情報保護法でのCookieを利用する際の規制
許諾が必須か否かは、Cookieを取得する目的と利用方法、リンクさせる情報の性質などを加味し、各サイトの運営形式に応じて判断することになりますが、原則的にはCookieが他のデータと結びついて個人を特定できる場合は、必要になると考えていいでしょう。
対応が立ち遅れた国内サイト
Cookieの利用をめぐっては、2019年に就職情報サイトが学生のサイト利用時に取得したデータを加工し、契約企業に販売していたことが問題視されました。今回の個人情報保護法の改正には、このような利用方法に一定の歯止めをかける狙いもあったとされています。
GDPRとCCPAの存在は少しずつ周知が進み、個人情報保護法の一部改正も2019年から概要は伝えられていましたが、GDPRの施行を契機に一気に対策が進んだ欧州と米国に比べると、国内サイトの対応は遅れ気味のように思われます。
国内市場に特化した小規模サイトはGDPRの罰則規定を受ける可能性は低いこと、改正個人情報保護法の施行には少し時間がある点(6月の公布後2年以内)を差し引いても、プライバシー保護に対する意識の高まりは先進国に共通する流れであり、日本企業も同じ土俵にあると捉えた方がいいでしょう。
トレンドに呼応した施策を
Cookieの活用に関しては、法的な規制とは別にWebブラウザを提供する事業者の対応にも注意が必要です。GoogleやAppleなどの主要ベンダーの製品は、すでにサードパーティCookieを規制できる機能を搭載しており、Googleは2020年1月、閲覧履歴を追うトラッキング用のCookieのサポートを2年以内に打ち切ると宣言しています。
Webブラウザ 「Google Chrome」のCookieの設定メニュー
このような状況を加味すると、数年後にはサードパーティCookieを活用したコンテンツ配信や広告展開は難しくなり、マーケティング分野でのCookieの利用方法は変わらざるを得ないでしょう。法制度に沿った対応を進めるとしても、サイトを開設している企業には、許諾とデータの削除に応じる仕組みの導入と運用に負荷がかかる点も軽視できません。
もちろん、新しい流れを見据えた対策も進んでいます。
例えば、利用者の同意取得や削除要請などの操作を一元的に管理する「CMP(Consent Management Platform):同意管理プラットフォーム」というシステムも提案され、欧米の企業を中心に導入が進んでいます。また、ブラウザから得られる情報だけで利用者を識別する「Finger Print」と呼ぶ技術も、開発と導入が進みつつあります(この場合もCookieを取得しないだけでGDPRなどの規制は受ける)。
当然のことですが、GDPRとCCPA、そして個人情報保護法も、Cookieなどのオンライン識別子の利用方法を規制するもので、情報の取得自体を禁じているわけではありません。この点に改めて着目すると、新しい展開、例えばCookieの取得と利用目的、利用方法を積極的に開示することで、ユーザーとサイト間の新しい信頼関係とサービスを構築していくというアプローチも考えられるでしょう。
いずれにしても、Webサイトの運営に携わっている皆さまは、この分野の動きに注視しながら、次の展開を模索しなければならない時期に来ているようです。