Cookieとは
Cookieの仕組み
サードパーティーCookieとは
Cookie規制とは
Cookie規制の流れ
GDPRとe-Privacy規則による法規制
日本の電気通信事業法による法規制
日本の個人情報保護法による規制
Cookie規制の対策
サードパーティーCookieへの依存の廃止
Cookieへの同意の取得
技術的な対策
Cookieとは
Cookieの仕組み
Cookie(クッキー)とは、ユーザーがウェブサイトを閲覧した場合に、そのユーザーが閲覧に使用したブラウザ(ChromeやSafariなど)に保存されるテキストデータのことを指します。このテキストデータは、キーワードとそのキーワードに紐づくテキストがペアで保存されており、辞書のような構成になっています(たとえばユーザーIDに紐づく形でログインパスワードやユーザーネームなどが保存されています)。
こうしたCookieの仕組みを利用することで、ウェブサイトはユーザーのブラウザに保存されたデータを自動的に取得することができ、ログイン情報の手入力を必要とせずに自動的にログインすることができる他、商品カートの中身を保存したり、閲覧履歴等を基に最適化されたコンテンツを表示することなどができます。
以上のような便利な機能の他、ウェブサイトとの通信の維持に必要なセッションIDの記録や読み出しもCookieを利用しているため、こうした必須Cookieも含めるとほとんどのウェブサイトはそれぞれのCookieを発行してユーザーのデータを管理しています。Cookieはこのようにウェブサイトの快適で安全な稼働に必要不可欠な仕組みですが、一方でユーザーが意図しないデータの保存やその読み出しが行われる場合があり、近年になって法規制が強化される傾向にあります。
サードパーティーCookieとは
Cookie規制が強化されるきっかけとなったCookieに、「サードパーティーCookie」と呼ばれる仕組みがあります。Cookieにより保存されたデータは、あるウェブサイトAで保存された場合、そのウェブサイトAだけで利用されることが原則です。このようなCookieを「ファーストパーティーCookie」と呼んだりします。
これに対して「サードパーティーCookie」とは、ウェブサイトAで保存された情報を別のウェブサイトBが利用するようなCookieのことを指します。たとえばフリマサイトで閲覧した商品の広告がニュースサイトの広告欄に表示されているような場合がこれに当たります(こうした広告を「リターゲティング広告」と呼びます)。こうした場合、ユーザーが閲覧しているウェブサイトのサーバーとは別のサーバー(広告サーバーなど)との間でCookieデータの送受信が行われています。
上記のようなサードパーティーCookieの場合、ユーザーが知らない間に、ユーザーが意図していたウェブサイト(ブラウザのURL欄に表示されているウェブサイト)とは別のウェブサイト(ブラウザのURL欄に表示されていないウェブサイト)との間でユーザーに関するデータが処理されることになり、これが個人情報の保護や通信の秘密の観点から問題視されるようになりました。
ユーザーの立場からしても、フリマサイトと全く関係がないはずのニュースサイトを見ているときに、フリマサイトでの商品履歴が表示されていることに不安を感じることがあるでしょう。こうした流れを受けて、SafariやChromeなどの主要なブラウザでは、サードパーティーCookieへのサポートを廃止する傾向にあります。
Cookie規制とは
Cookie規制の流れ
Cookie規制とは、上記のようなCookieを規制する法律を指し、とくにヨーロッパ圏におけるEUの法規制が最も厳格な規制として有名です。
EUの個人情報保護法であるGDPRでは、Cookieで使用するユーザーID等のインターネット識別子も個人情報とされており、Cookieを利用する場合、GDPRに基づく同意の取得や苦情処理の対応、個人情報の利用目的や保管期間などの一定の事項の通知が求められることとなります。また通信の秘密を保護する法律であるe-Privacy規則においても、ユーザーのブラウザに対するCookieデータの書き出しと読み込みに原則としてユーザーからの同意の取得を求めるなど、追加的な規制が施されています。
GDPRとe-Privacy規則による法規制
GDPRとe-Privacy規則はいずれもEUの法律ですが、グローバルなECサイトなど、EU加盟国(フランスやドイツなど)の住民の個人情報を取り扱う場合には、日本法人でも適用があります。
GDPRは個人情報の取り扱いに関する規制ですので、Cookieデータのブラウザからの読み込みとサーバーでの処理に当たり、以下の事項をあらかじめ開示しておく必要があります。
Cookieを取り扱う事業者の情報(所在地、名称、代表者)
連絡先
データの利用目的、データを取り扱う法的根拠(ユーザーの同意など)
取得するデータの項目
十分性認定に基づいてデータを日本に移転する旨
データのサーバーでの保管期間
開示・訂正・削除などの権利行使ができる旨
データの取り扱いに関する同意を撤回できる旨
監督機関に申立てができる旨
データの取得がサービスの提供に必要である場合、その旨
データの取得が任意である場合、その旨
上記のデータの取得ができなかった場合に発生するおそれがある事由
自動的意思決定を行う場合に、その意思決定のロジックとその決定により発生しうる結果
上記のGDPRによる規制に加え、e-Privacy規則は、Cookieデータのブラウザへの書き出しに関しても規制の対象としており、Cookieの利用は、ユーザーの同意があるか、またはセッションIDのようにその取り扱いが通信の維持やサービスの提供に必要不可欠であるか、またはウェブサイトの管理者自身が行う統計的分析のための利用以外は禁止されます。
そのためGoogle Analyticsのようなサードパーティーによる解析ツールを利用する場合や、ユーザーの趣味嗜好に応じたコンテンツをCookieを用いて表示する場合には、あらかじめユーザーの同意を得ておく必要があります。
日本の電気通信事業法による法規制
日本国内においては、CookieのうちサードパーティーCookieのみが規制の対象とされています。具体的には、電気通信事業法により、ユーザーのデータを第三者に送信することに関して、ユーザーにあらかじめ以下の事項を通知または公表しておくことが義務付けられています。
送信されるデータの項目
送信先の名称
送信元での利用目的(ウェブサイトの利用状況の解析など)
送信先での利用目的(統計データの品質向上など)
電気通信事業法はこれまで登録や届出の必要な事業者のみを対象としてきた法律でしたが、このいわゆる「外部送信規制」は、登録や届出の対象ではなかった事業者でも適用があることに注意が必要です。ただし会社のコーポレイトサイトや自社製品のみを取り扱うECサイト、個人のブログのように、メッセージジングサービスや検索サイト、プラットフォーム、情報提供メディアなどに該当しないウェブサイトにおいては、適用が免除されます。
またセッションIDのように通信の維持に必要なデータや、セキュリティの保護に必要なデータ、ユーザーが入力した情報の再入力を省略するためのデータ、ログイン認証の自動化のためのデータについては、これらを外部送信する場合においても、通知または公表の必要はありません。ただしGoogle AnalyticsやECサイトの運営ツールをはじめ多くの外部連携ツールは、上記以外の情報の送信を伴うことが考えられるため、外部送信規制の対象となることが多いでしょう。
日本の個人情報保護法による法規制
日本の個人情報保護法においては、EUにおけるGDPRとは異なり、インターネット識別子や位置情報等は、それが個人を識別できる程度の情報でない限りは、個人情報とはされないため、その取り扱いに関しては特段の規制はされていません。
ただし個人関連情報を第三者に提供する場合に、その第三者が他の情報と照合して個人を識別することができる場合(広告サーバーに蓄積されたデータと照合して個人を特定したデータに変換するような場合など)には、その旨の同意をユーザーからあらかじめ取得しておく必要があります。
Cookie規制の対策
サードパーティーCookieへの依存の廃止
上記のようなCookie規制の方向性を踏まえると、サードパーティーCookieについては、EUをはじめ国内法的にも外部送信規制が課され、さらにSafariやChromeなどの主要なブラウザにおいてもサポートが廃止される傾向にあることから、将来的には、技術的にも法的にも使用できなくなる可能性が高いと考えなければなりません。そのためリターゲティング広告などに集客を依存している場合や、コンバージョン率などのウェブサイトの利用状況の計測にサードパーティーCookieを利用している場合には、その販促スタイルや計測方法を再検討することが必要です。
Cookieへの同意の取得
Cookieの利用については、法的にはあくまで法定の事項の公表やユーザーの同意が要件とされていますので、これらを満たすためのインターフェイスを実装することにより対策することが可能です。
国内法的には、電気通信事業法が定める所定の事項について、「利用者が容易に知り得る状態」とすることが必要です。たとえばランディングページやヘッダーへのリンクの設置など、ユーザーがアクセスしたページから1クリックで遷移できるページに、外部送信に関する事項を掲載することなどがこれに当たります。ただしデータの送信元か送信先において、Cookieのデータ(ユーザーIDなど)を他の個人情報(氏名や各種番号など)と照合することが予定されている場合には、Cookieのデータも個人情報として取り扱う必要があるため、個人情報保護法に基づいて第三者提供記録の作成やユーザーによる外部送信の停止の請求への対応等も行う必要があります。
上記に加えてヨーロッパからのアクセスも考えられる場合には、所定の事項を公表するだけではなく、さらにユーザーから同意を事前に得る必要があります。このような場合には、チェックボックスの付いたポップアップの表示など、Cookieの処理に先立って、ユーザーからの能動的なアクションを求めることが必要です。
技術的な対策
現行のCookie規制においては、ユーザーのブラウザにCookieのデータを格納することや、そのデータをサードパーティー(ユーザーが閲覧しているURLと異なるURL)に送信させることが規制の対象とされているため、技術的には、こうしたCookieの仕組みを利用することなく同等の成果を実現することが可能であれば、それによりCookie規制の問題を回避することができます。
たとえば従来までユーザーのブラウザからサードパーティーに対してリクエストを送信していた処理について、ウェブサイトのサーバーでそのデータをハッシュ化(元の状態に復元できない匿名化のこと)し、ユーザーのブラウザを介することなく直接サーバー側からサードパーティーに送信する処理に置き換えることなどが考えられます。いわゆるコンバージョンAPIはこうした仕組みに当たります。この場合、送信するデータに個人情報が含まれる場合は、個人情報保護法における匿名加工情報の作成と提供に当たるため、その匿名加工情報に含まれる個人情報の項目や提供の方法などを公表する必要があります。
