CookieによりWebサイト閲覧者の行動を把握することは、従来から行われている一般的な情報収集の手法です。しかし、近年では個人情報保護に関する意識の高まりや、GDPRによる明確な個人情報の取扱いルールが制定されたことにより、自由にCookieを活用して情報収集することは困難になりました。
Cookieの種類によっては、Cookieが即時に削除され、文字列情報がそもそも保存されない、もしくは、情報を保持する時間が著しく短くなるなど、主要ブラウザのベンダ各社によって、Cookieに関するあらゆる制限も設けられています。
一方でCookieの活用が難しくなったからと言って、利用者の情報を正しく収集せず、十分な分析を行わないとすれば、利用者への魅力的な提案が難しくなってしまいます。利用者の利便性を損ねることは、結果的にマーケティングの成果を大きく低下させてしまうことにも繋がるでしょう。
この記事では、GDPRによりCookieが受けている影響とこれらの現状を踏まえて企業がとるべき対応について考えます。
目次
GDPRとCookieの関係
GDPRによって、Cookieの利用に規制が設けられていますが、GDPRとCookieの間にはどのような関係性があるのでしょうか。
Cookieが保持する情報
Cookieは、ログインIDやメールアドレス、IPアドレス、Webサーバとの接続情報などを記録することができます。
GDPRでは、これらの情報は保護するべきプライバシー、すなわち「個人データ」であると定めているため、GDPRの規則は、Cookie自体の収集や活用に大きな影響を及ぼします。改正個人情報保護法と異なり、データを取得した先でID等を用いてデータ同士を突合し、個人を特定できるか否か(仮名加工情報、等)などの分類はしておらず、CookieやIPアドレス単体で保護対象としている点がポイントです。
GDPRは、個人データの収集、移転、保管等、データの取扱い全般を規定した規則であり、罰則による想像を絶する金額の制裁金を科す裁定が、今現実のものとなっています。
Cookieが保持する情報そのものが保護の対象となっていることが、Cookieそのものの収集や利用が規制される大きな理由となっています。
個人データ取得時の同意が義務?GDPRがCookieに与える影響
GDPRによって、Cookieの利用にはどのような影響があるのでしょうか。
ここでは、GDPRがCookieの利用に与える影響を見ていきましょう。
Cookieの利用については、ユーザの同意が必要
Webサイトのユーザ情報に関して、Cookieを利用する場合は、ユーザの同意を得ることが必須となります。これにより、同意したユーザに対してのみCookieを利用することができますが、Cookieを利用する旨の通知とその同意のプロセスを煩わしいと感じてしまうユーザも存在しており、その場で離脱してしまうリスクが高まることも懸念されます。
要求があった場合、情報の削除が行える仕組みが必要
一度同意したユーザであっても、ユーザ情報の削除を申請できる仕組みを導入する必要があります。特定のユーザからの申請を受付け、該当するデータを正確に抽出し、削除するシステムを構築することは、人的コストや構築自体が難しいといった課題が考えられます。
GDPRに違反した場合には制裁金の可能性がある
万が一、GDPRに違反していることが発覚した場合、巨額の制裁金が課せられる可能性があります。
・違反の程度が経度な場合、1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の2%のいずれか高い方
・違反の程度が重度な場合、2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の4%のいずれか高い方
引用:日本貿易振興機構「一般データ保護規則(GDPR)」実務ハンドブック(入門編)
プライバシー保護の観点から、Cookieが保持する情報は、慎重な取扱いが求められています。Cookieは、Webサイトを公開している企業や運営者側のデータではなく、そのアクセスを行ったユーザ、すなわち「データ主体」のものである、という考えがその根底にあります。
ユーザ本人が自身のデータを利用させることについて同意し、さらにユーザ本人がその意思にもとづいてコントロールできる環境が保証されていることが求められています。
ご存知でしたか?GDPR以外のCookie規制
ところで、今では当たり前になっている主要ブラウザ各社によるCookieの利用制限を最初に始めたのはどこかご存知でしょうか?それは、Apple社が提供する「Safari」でした。
規制のない時代、プラットフォーマーのやりたい放題の状況に待ったをかけた格好です。その後、プライバシー保護の機運の高まりを受け、各社が追従する形となりました。
今では、Safariの他、ChromeやFirefoxといった主要ブラウザを提供している各社は、それぞれCookieの利用について、独自のベンダー制限を設けています。
ここでは、サードパーティクッキー、ファーストパーティクッキーのベンダー規制についても、すこし触れてみましょう。
サードパーティクッキーの実質的な廃止
主要ブラウザはサードパーティクッキーの使用を制限または廃止しています。
Apple社のSafariでは、ITP(Intelligent Tracking Prevention)と呼ばれるトラッキング防止機能を搭載しており、デフォルトの設定ではサードパーティクッキーを即時廃棄しています。
Google Chromeにおいても、サードパーティクッキーに対して同様の対応が進んでおり、2024年での廃止を予定しています。
ファーストパーティクッキーの有効期限の短縮
一部のブラウザは、ファーストパーティクッキーの有効期限を短く設定しています。
Safariではファーストパーティクッキーの有効期限を24時間に限定しており、期限が過ぎた場合、データが廃棄されます。言い換えると、データ上では24時間を経過するたびに、新規ユーザがWebサイトを訪問しているように見えることになります。
Cookieの利用時はGDPRに準拠し、安全なアクセス解析を
GDPRによるCookieへの規制は、ここまで見てきたように、Webサイトを訪れたユーザの情報収集を困難にさせる内容も含まれています。その一方で、現代のビジネス環境において、顧客やWebサイトにアクセスしたユーザの情報を分析し、自社のサービスに興味を抱いてもらうための施策や顧客との適切なコミュニケーションに生かし、結果的にコンバージョンや売上を向上させていくことは、顔が見えないインターネット上での接客であるがゆえに極めて重要です。
制限がまだ比較的ゆるやかなファーストパーティクッキーを有効に活用することは、すなわちオウンドメディアの重要性が増しているとも言えます。「規則を遵守しながら精度の高いアクセス解析を実現する」ことが、今後、多くの企業にとって必要な対応となるでしょう。これを実現するためにはアクセス解析の仕組みをGDPR対応に適した形にする必要がありますが、システムの変更には多大なコストや人的リソースが必要です。
RTmetricsは、GDPRへの対応と高精度な情報収集を同時に実現するアクセス解析ツールです。個人情報やプライバシー保護の世界的な潮流が各国に広がりを見せる環境においても、利用者のプライバシーを保護し、企業のマーケティング活動を力強く支援します。
ぜひご検討下さい。
