お久しぶりのブログ投稿になります。今回は、よく制作時にもご質問いただく「Cookie(クッキー)」に関しての基礎知識や自社webサイトでの対策について記事にします。
「Cookieってキャッシュのやつだよね〜」
「最近何か法律で変わったよね??」
「自社でやらなきゃいけないことって何?」
そんな方のためにも、自分たちの理解向上のためにも書いていきます。
ここでは簡単な基礎知識と、4月に改訂された改正個人情報保護法について、最後にCookieに関するよくある質問をQ&A形式で掲載してます。最後までお付き合いください!
目次
Cookieって何?
まずは、話を進めていく前に簡単にCookieについておさらいしておきましょう。要点だけ簡単にまとめておりますので、さくっと読み進められると思います。
Cookieの基礎知識
Cookieとは、WEBサイトを閲覧したときに、訪問者が訪れたWebサイトや入力したデータ、閲覧に利用した環境などの情報が記録されたファイルのことで、これを利用すると2度目以降に同じWebサイトを閲覧した際に入力なしでログインできたり、ECサイトなどでの商品購入時に個人情報の入力を省くことができます。
Cookieとキャッシュの違い
Cookieとよく並べられるのがキャッシュです。Cookie(クッキー)とキャッシュは、どちらもWebブラウザに保存される履歴の一つですが、Cookieはユーザーのユニークデータを保存し、キャッシュは一度アクセスしたWebページを保存するものです。
| Cookie | キャッシュ | |
| 特徴 | Webサイトへのログイン情報やECサイトでの行動、アクセスユーザーのユニーク情報などを識別するために利用される仕組み | 一度アクセスしたWebページそのものをブラウザに保存する仕組み |
| 利用用途 | WebサイトやSNSなどのログイン認証、ECサイトでのカート追加商品の維持、GAなどのアクセス解析・マーケティング時のデータとして利用 | 主にWebページを閲覧するユーザーにとってメリットが大きく、ブラウザがキャッシュとしてWebサイトデータを保存しておくことで、情報をサーバーから呼び出す手間を省き、高速に表示できる |
Cookieの種類
CookieにはファーストパーティーCookieとサードパーティーCookieと呼ばれる2種類があり、それぞれ違った役割を持っています。大きな違いはどこから発行されたCookieかということで、利用用途も違います。
| 種類 | ①ファーストパーティーCookie | ②サードパーティーCookie |
| 特徴 | ユーザーがアクセスしているwebサイトのドメインから発行されるCookie | ユーザーがアクセスしているWebサイトのドメイン以外から発行されるCookie |
| 利用用途 | 閲覧履歴やログイン状態の維持のために利用 | ユーザーが閲覧した複数のwebサイトから行動履歴を収集し、広告配信などに利用 |
| GA利用Cookie | ◯ | × |
改正個人情報保護法について
Cookieについて基本的な情報をご理解いただいたところで、次に最近お客様からも質問が多く、Cookieとも関連のある「改正個人情報保護法」について説明します。
改正個人情報保護法とは
2022年4月に施行された改正個人情報保護法では、個人情報取扱事業者の義務として、個人情報の不適正な利用の禁止が定められました(個人情報保護法19条)。 旧法では、個人情報の不適正な利用の禁止、つまり、違法・不当な行為を助長・誘発するおそれがある方法によって個人情報を利用することが、明文で禁止されていませんでした。
改正ポイント
改正個人情報保護法について触れたので、簡単に改正ポイントをまとめておきます。詳細は、ググってみてください!
- 本人の権利保護が強化される
- 事業者の責務が追加される
- 企業の特定分野を対象とする団体の認定団体制度が新設される
- データの利活用が促進される
- 法令違反に対する罰則が強化される
- 外国の事業者に対する、報告徴収・立入検査などの罰則が追加される
結局何が変わったの?(Webサイト運用者目線)
「結局何が変わったの?」「Cookieって個人情報?」という意見が多いかと思います。そういう相談を多くお受けしています。
今回のブログのテーマに沿って話をまとめますと、改正個人情報保護法によって、Cookieが規制対象になります。
新たに設けられた「個人関連情報」の定義によると、個人関連情報とは、「生存する個人に関する情報のうち、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」のことを言い、Cookieは、それ単体では特定の個人を識別することはできないものの、特定の個人に関する情報であることから、個人関連情報に該当すると今回の保護法では解釈されています。
既存webサイトへの影響
Cookieが改正個人情報保護法の対象になりましたが、全てのCookieが当てはまるわけではありません。自社が取得するCookieのデータを第三者に提供する場合に、顧客のIDなどを通して提供先が保有している他の個人情報と紐づけたり、提供先が保有する個人関連情報に他の情報を追加して個人データとして活用したりするときなどに規制対象になります。先程の章で説明したサードパーティーCookieがこのCookieに当たります。具体例として、ECサイトを運用する企業が、レビューサイトやポータルサイトを運用する事業者から、行動履歴などを含むサードパーティーCookieデータを受領し、このCookie IDを自社のシステムに保管されている個人データと突合したうえで利用するような場合などが考えられます。
GA(Googleアナリティクス)への影響
Google アナリティクスのCookieは先程説明した通り、一般的にファーストパーティーCookieに分類され、日本の改正個人情報保護法では規制対象外となっています。そのため、GAのみを導入したWebサイトでの「Cookie利用承認・同意ボタン」の設置は必須ではありません。
しかし、GDPR(EU一般データ保護規則)では「GoogleがGoogleアナリティクスで得た情報を自身の目的で利用することを明らかにしている」という理由で、同意確認が必要なCookieとされています。そのためヨーロッパのほとんどのWebサイトでCookie同意確認が求められます。
事例として、EU市場を対象にモノ・サービスを販売するWebサイトや製品・サービスを紹介するWebサイトは、たとえ場所が日本であってもGDPR規制対象となりますので注意が必要です。
Cookieに関するよくある質問と回答
ここでは、実際にご相談を受けたCookieに関する質問と回答をQ&A方式で掲載しておきます。今まで説明してきた内容の要約のような形になりますので、同じ質問を受けた際にコピペで使用すると良いかもしれません。お受けする質問が増えたらこちらの記事を随時更新していきたいと思います!
2022年4月に施工された改正個人情報保護法により、GA埋め込みに対するCookieの利用承認は必須となるのでしょうか?
結論からいうと、今年の4月に施工された改正個人情報保護法により、Google アナリティクスのCookie利用のために「cookieの使用に同意」ボタンを設置しなければいけないわけではありません。GAで使用されるファーストパーティーCookieは日本の改正個人情報保護法でも規制対象外となります。
うちのサイトにはCookie同意ボタンをつけた方がいいのでしょうか?
御社のWebサイトでCookieを利用してお客様の情報を利用しているかどうかによります。同意ボタン設置の意義としては、「こちらの都合でお客様の個人情報となりうる情報を使用しても良いですか?拒否したら使用しません」ということなので、弊社では特に利用する予定もないのにボタンを押させる行為はユーザビリティが悪いと考えます。同意ボタン設置の判断材料としては、ECサイトや会員限定サイト、レビューサイトやポータルサイトなどで、ユーザーのユニーク情報を保持したり、他社に提供する可能性のある事業体の方は詳しい方へのご相談をお勧めします。
Cookie同意ボタンって、とりあえず押せるボタンであればいいんですか?
ダメです。お客様のCookie情報が実際に利用されているかどうかはユーザー側にはわかりにくいですが、後に問題となりうる要因になります。「同意前にCookieを取得する」ことや、「同意しなくても取得される状況」は必ず避けるべきです。また、「閲覧を継続するならばCookieの取得に同意したと判断する」といった文言も、ユーザーが「同意する」を選択していない場合、たとえそういった文言があったとしても「みなし同意」という扱いにあたり、改正法で求められている本人の同意を取得したとはいえません。設置するのであれば、詳しい制作会社や同意バナーソリューションを提供しているサービスの利用をお勧めします。
まとめ
今回はCookieに関してブログ記事にまとめました。法律で決められている部分の話もあるので、しっかりとした知識を身につけ、対応していくことが大事だと思います。
Cookieに関してのご相談や不明点があれば、弊社TechPRまでお問い合わせください。
ではまた、次のブログ記事でお会いしましょう!