Webマーケティングにおいて、Cookieを活用した柔軟な情報収集や機能提供は多くの企業が実施している重要な仕組みです。ただ、昨今ではGDPRや個人情報保護法などの法令、またユーザのプライバシー意識の高まりもあり、Cookieの利用には原則としてユーザの同意を得ることが必要になっています。
「Cookieの利用にユーザの同意を得る」という要件を満たすために、同意ボタンやCookie利用目的の表示、同意したユーザの情報を蓄積するために、Webサイトの機能改修をすでに実施されたり、現在まさに検討中という方も多くいらっしゃるかもしれません。
この記事では、Cookie利用に同意が必要となった背景や、同意を得る上で企業側が実施するべき要素を解説します。
なぜCookie利用に同意が必要なのか?
Cookieには、氏名や住所など個人を特定できる情報は含まれていないものの、個人を識別できる情報が含まれています。現在、Cookieを用いて個人を識別し、該当するユーザの閲覧履歴やWebサイト上での行動データを保存して分析する一連のマーケティング活動は、ユーザのプライバシー情報を扱っていることと同じと考えられるようになりました。
GDPRでは、ユーザのプライバシー保護を主な理由とし、Cookieを利用する場合、ユーザの同意を得ることを義務付けていますし、日本の改正個人情報保護法でも、一定の条件下ではユーザの同意を事前に得ることを求めています。
GDPRや個人情報保護法による規制
Cookieの利用に同意が必要な主な理由の一つは、GDPR(一般データ保護規則)や各国の個人情報保護法による規制です。これらの法律は、企業がユーザの個人データを収集、処理する際の義務や規則を規定しており、Cookieによるデータ収集と分析への活用も例外ではありません。
ユーザからの明示的な同意なしにCookieを収集し、個人データを分析に活用することは、これらの法律に違反する可能性があります。
ユーザのセキュリティ・プライバシー保護意識の向上
近年、各種報道でもCookie規制やGDPRに関連する情報を目にする機会が増えており、ユーザのセキュリティとプライバシーに対する意識が高まっています。
Cookieを通じて収集される情報には、個人情報は含まれていませんが、ユーザのブラウジングの習慣や趣味・嗜好を反映しており、個人を識別できるためプライバシーの侵害につながります。そのため、ユーザにCookieの利用について明確に知らせ、同意を得ることが、信頼と透明性を築く上で重要なポイントとなります。
Cookieによるデータ収集がプライバシーに与える影響についての考え方は、近年、大きく変化している領域です。安易に影響は小さいと考えずに、各法律の内容を正しく理解し、ユーザのプライバシー意識の向上を踏まえ、同意の取得を得ることが重要になります。
コンプライアンスを重視することは、ユーザの信頼を得つつ、法律違反やトラブルを避けることにも繋がります。
Cookie利用の同意に必要な要素とは
既に多くのWebサイトでは、ユーザにCookieの利用目的を明示し、Cookie利用に関する同意を取得するポップアップなどを表示しています。この機能は、同意管理プラットフォーム(Consent Management Platform)とも呼ばれますが、同意取得のボタンを表示させる以外に対応しなければならない要素について見てみましょう。
ユーザが同意したことを証明できる仕組み
Cookie利用に同意するボタンなどで、同意の意思を示したユーザについて、同意したことを証明できるように、ユーザごとにステータスを管理しておく必要があります。
GDPR 第7条 同意の条件
取扱いが同意に基づく場合、管理者は、データ主体が自己の個人データの取扱いに同意していることを証明できるようにしなければならない。
Cookieを利用していることと、利用目的を明確に伝える
WebサイトでCookieを利用する場合、その目的をユーザに明確に伝えることが求められています。サイト機能の向上、広告のパーソナライズ、分析のためのデータ収集など、具体的に開示する必要があります。専門用語を使用しない平易な文章で、Webサイトの閲覧者が内容を理解しやすくすることも重要です。
GDPR 第7条 同意の条件
別の事項とも関係する書面上の宣言の中でデータ主体の同意が与えられる場合、その同意の要求は、別の事項と明確に区別でき、理解しやすく容易にアクセスできる方法で、明確かつ平易な文言を用いて、表示されなければならない。そのような書面上の宣言中の本規則の違反行為を構成する部分は、いかなる部分についても拘束力がない。
Cookie利用を拒否、Cookie利用の同意を撤回できる仕組み
Cookieの同意ボタンと同様に、「同意しない」ボタンも表示する必要があります。Webサイトはユーザが容易に同意や拒否を選択できる明確なオプションを提供しなければなりません。
また、GDPRではユーザが以前行った同意を撤回する権利を保持していることが明記されています。そのため、同意の時と同じように、撤回も簡単な操作で行える必要があります。
GDPR 第7条 同意の条件
データ主体は、自己の同意を、いつでも、撤回する権利を有する。同意の撤回は、その撤回前の同意に基づく取扱いの適法性に影響を与えない。データ主体は、同意を与える前に、そのことについて情報提供を受けるものとしなければならない。同意の撤回は、同意を与えるのと同じように、容易なものでなければならない。
これらの機能をWebサイトに組み込むことは、GDPRの要件を満たすだけでなく、ユーザに対して透明性と信頼を提供する上で重要です。ユーザのプライバシーを尊重し、法的責任を果たすためには、これらの要件を適切に取り扱うことが不可欠です。
ご存知でしたか?同意が不要なCookie
Cookieを利用するにはユーザの同意が必要ですが、「Strictly necessary cookies」と呼ばれるCookieは、ユーザの同意を得ずに利用が可能です。
Strictly Necessary Cookiesとは
直訳すると「厳密に必要なクッキー」は、Webサイトにおける基本機能を提供する、特定のリソースへのアクセスを保持するなど、Webサイトが必要最低限の動作をする上で必要不可欠なCookieのことを指します。Strictly Necessary Cookiesの用途の例としては、以下のとおりです。
・セッション管理
ユーザのセッション管理を行い、サイト内の情報を保持します。
・ログイン情報の管理
ユーザがサイトでログインをした際の認証情報を管理します。
・カートの内容を保存
ECサイトでカートに投入した商品を保存し、再訪問時にカートに商品が保持された状態を提供し、ユーザの購入をサポートします。
Cookieのカテゴリ分けと利用目的の明示
最近は、Cookieを利用目的にカテゴリ分けし、カテゴリごとに利用目的を表示し、カテゴリごとに同意を取得する仕組みを目にする機会も増えてきました。Cookieの利用目的のカテゴリ分けの例としては、以下のような分類があげられます。
・厳密に必要なCookie(Strictly Necessary Cookies)
Webサイトの動作上、必要不可欠なCookie
・パフォーマンスCookie(Performance Cookies)
Webサイトの利用状況について情報を収集するCookie(アクセス解析、サイトのパフォーマンス計測など)
・機能性Cookie(Functionality Cookie)
Webサイトにおけるユーザの選択や操作を記憶し、利便性を向上させるためのCookie(閲覧済の動画やコンテンツ、カスタマイズ可能な環境設定の保存など)
・ターゲティングCookie(Targeting Cookie)
広告主や第三者が広告表示に関連して設定するCookie(ターゲティング広告、パーソナライズ広告、ソーシャルメディアの共有など)
いちユーザの立場としては、カテゴリごとにCookie利用の同意・拒否を選択するのは、多少煩雑な面もあります。しかし、利用目的が明示されていることで、どの範囲まで自身のプライバシーを守るか、ユーザが自分で判断し、意志表示できる点はメリットと言えるでしょう。
ユーザの利便性向上やパフォーマンス測定など、Webサイトの動作に必須ではないCookieは、Strictly Necessary Cookiesには含まれず、目的の通知と同意の取得が必要です。どのようにユーザに通知し、同意を得るか、ユーザの利便性も考慮しながら、検討することが大切です。
安全にCookieを活用するなら外部サービスの検討も
Cookieを活用する際は、利用者の同意を得るだけではなく情報の提示や同意したユーザの管理、Cookieで扱うデータの分別など、付随する様々な検討事項が存在します。単純にWebサイトに同意ボタンを設置するだけであれば容易に対応できますが、必要な要件を確実に網羅するためには、外部サービスの活用も選択肢のひとつとなるでしょう。
システム改修の負担軽減はもちろん、法的な要件や制限を見落としてしまい、将来的にトラブルに発展するといったリスクを軽減することにも繋がります。
ユーザのプライバシーを守り、自社にとって有益なWebサイト運営を行うために、最適なCookie規制への対応を検討しましょう。
