2021.09.02
Cookieバナーって必要?Webサイトにおける同意取得(CMP)について解説!
近年個人情報への意識も変わり、Cookieやトラッキングが今後どう変わっていくのか注目が集まっています。実際に日本でも2022年4月より改正個人情報保護法が施行され、Cookieを含む個人関連情報の第三者提供には、本人同意の取得が必要になります。
そこで今回は改正個人情報保護法にも関係する、Cookieバナーについてご紹介します。合わせて世界的に影響のあるGDPR(EU一般データ保護規則)の面からも、Cookieバナーや同意取得について解説していきます。
- 2022年4月施行の改正個人情報保護法では、個人関連情報の第三者提供の際に本人の同意取得が義務付けられる
- EUの個人情報保護規制GDPRでは、Cookieの取得自体に同意が必要
- 改正個人情報保護法対策やGDPR対策には、オプトイン形式のCookieバナー導入がおすすめ
- Cookieバナーは情報を不正使用しない企業の表明としても重要
2022年4月から改正個人情報保護法が施行!
世界中で個人情報保護に関する法律や規制が設けられている中、企業における個人情報への意識も高まっています。日本では2022年4月から、改正個人情報保護法が施行。Cookieをはじめとした「個人関連情報」の第三者提供の際、提供先で個人データとして取り扱われる可能性がある場合は、本人の同意取得が義務付けられました。
またEU加盟国の個人情報規則であるGDPR(EU一般データ保護規則)では、Cookie情報の取得自体に同意が必要です。世界的に影響のあるGDPRでCookie規制が強化されていることからも、今回の改正後に日本でもさらにCookieを含む個人関連情報の規制が厳格化される可能性は高いといえます。そのため現在は施行前ですが、現時点から将来を見据え対策を打つことで、今後の対応もスムーズになるでしょう。
日本企業のCookieバナー導入率はわずか7%!?
個人関連情報の第三者提供における本人の同意取得方法は、個人情報保護委員会のガイドラインで紹介されており、主な方法として、書面やメールでの受領、Webサイトでのボタンクリックなどが例として挙げられています。
その中でも、Cookie利用におけるスタンダードな同意取得方法が、Cookieバナーです。Cookieバナーとは、ユーザーがWebサイトに流入した際に表示されるポップアップです。またバナーには「Cookieの用途」や「Cookie利用に関する同意」が記されています。
Priv Tech社(プライバシーテック会社)の調査によると、日本企業のバナー表示率は1割弱にとどまっており、この点からも日本企業のプライバシー領域の対応が、後れをとっていることがわかります。
日本の大企業のうち、自社サイト上で閲覧履歴データ「クッキー」の利用の同意を取り付ける画面を表示させている企業の割合が、半年間で2ポイント強しか増えず7%にとどまったことが分かった。PR会社ベクトル傘下のPriv Tech(東京・港)がまとめた。英国を中心とする欧州(87.98%)や米国(38.25%)の企業と比べ、個人情報保護の対応への遅れが鮮明だ。
日本経済新聞 「クッキー同意確認、日本企業7%どまり 米欧に遅れ」
Cookieバナー実装によるメリットとは?
改正個人情報保護法では、提供先で個人データとして取り扱われると想定される第三者提供時を除き、Cookieバナーを表示しなくても法的な問題はありません。しかしCookieバナーの導入率は、2021年に入ってから増加傾向にあります。というのも以下3つの観点で、Cookieバナーを実装することによって、企業が得られるメリットがあるからです。
Cookieバナー実装のメリット
- 第三者提供の管理
- ユーザーの信頼獲得
- 日本以外での個人情報保護規制の対策
改正個人情報保護法では、企業はユーザーから個人データに関する開示請求がきた場合、迅速に対応しなければならず、その際に同意を得ていることでいざ開示請求があっても、企業は正しく個人関連情報を扱っていることが証明できます。
また近年、Cookieやトラッキングへの注目が高まっています。リターゲティング広告を筆頭に、過剰に表示される広告に嫌悪感を抱くユーザーも少なくありません。そこで、Cookie取得とその利用目的を明らかにし、ユーザー側に選択の自由を与えることによって、ユーザーからの信頼獲得に貢献するというメリットもあるでしょう。
さらにEUなどでビジネスを展開している場合は、当然GDPRが適用されます。また展開していない場合も、規制が厳しくなっている傾向を考えると今後のためにGDPRへの対策をしておいて損はありません。
Cookieバナーを導入する際のおすすめの方法
Cookieバナーを導入する際は、サイトに訪問をした最初のタイミングでCookieを取得することに同意を行うオプトイン形式が良いとされています。現行法ではオプトアウト形式でも問題ありませんでしたが、改正法では拒否の主導権がユーザー側にあるオプトイン形式が推奨されているからです。オプトイン形式でCookieバナーを導入すると、ユーザーがWebサイトに流入して最初にバナーが表示されます。
またオプトイン形式であれば確実にユーザーに選択権があるため、Cookie規制の厳しいGDPRにも準拠できます。しかし諸外国に比べ、Cookieバナーの導入率をはじめ、個人情報関係の対策が後れをとっている日本では、まだオプトアウト形式が多い傾向にあります。今後さらにCookieへの規制が厳しくなる可能性があるため、早い段階で個人情報の扱いなどを見直すことが重要です。オプトイン形式の導入はGDPRや改正個人情報保護法対策として有効なため、おすすめの方法といえます。
GDPRでCookieバナーに求められる要件?
WebサイトにCookieバナーを表示していても、それが必ずしもGDPRの要件を満たしているとは限りません。ここではGDPRでNGとされているCookieバナーの形式と、求められる要件をみていきます。
NGなCookieバナー
GDPRではユーザーの同意を強制する以下のような形式のCookieバナーを禁止しています。
Cookieバナーは、処理目的・取得内容・開示先・処理時間などを明記し、ユーザーに十分な情報を提供する必要があります。そもそも選択の余地・機会がない、同意しないと閲覧できない、拒否手続きを故意に面倒にするなどの方法は違法にあたるだけでなく、企業の信頼も損ねてしまいます。
自社のコーポレートサイトやサービスサイト、その他運営しているサイトが信頼性の高いサイトであることを示すためにも、Cookieバナーの禁止項目を押さえておきましょう。
GDPRで求められる要件
Cookie同意取得において、法令の遵守はもちろん重要な要件の1つです。それに加えユーザー感情への配慮も重要です。そもそもCookieやトラッキングなどの取り扱いについて、不安を感じているユーザーがほとんどです。
そのためCookie同意取得にあたり、ユーザーの不安などネガティブな感情に配慮し、安心を与えることが前提として求められます。そうした配慮が結果的に、企業が運営する各種サイトの閲覧・利用といったように、企業の事業運営にポジティブに作用する可能性が高いといえます。
また処理目的や取得内容、開示先といった十分な情報をユーザーに提供し、情報を不正利用しない旨を表明した上で、同意の選択肢を与えることが重要です。そのためCookieウォールなどで、無理やり同意を取得する方法はもってのほかです。あくまでもユーザーファーストな対応が求められています。
Cookieバナー表示のためのサービスは?
2020年9月、GoogleはCookie同意取得に関する「同意モード」の実装を発表しました。これにより、広告目的のCookieやGoogleアナリティクスがユーザーの同意に基づいて制御可能になりました。しかし同意モードでCookieバナーが表示されるわけではないため、Cookieバナーは自社で実装する必要があります。そこでおすすめのサービスが、CMP(同意管理プラットフォーム)です。
CMPについて
CMP(Consent Management Platform)とは、ユーザーの同意を管理できるツールです。またCMPは、Cookieバナーを表示して同意取得するだけでなく、ユーザーの同意取得状況を管理します。
そして同意したユーザーと拒否したユーザーを振り分け、拒否したユーザーのデータ収集や記録を停止。さらに拒否ユーザーが再訪問した際に同意すれば、同意内容の意思を変更することも可能です。改正個人情報保護法対策としても、企業はWebサイトに流入したユーザーの同意有無を一元的に管理しておくことが前提として求められます。
まとめ
本記事では、Cookieバナーの概要や実装するメリットについて、改正個人情報保護法による変更点やGDPRの要件などの観点で解説しました。今後さらに個人情報の扱いに対する規制が厳しくなる傾向にあるため、CMPの導入など、早い段階で対応することが重要です。
執筆者
中川路 寛
KAN NAKAKAWAJI
セールス&マーケチーム所属。ブログ執筆などのマーケ施策を担当。