デジタルマーケターズサミット 2020 Winter セミナーレポート（詳細版） 今さら聞けないクッキー規制対応のポイント

欧州や米国をはじめ、世界各国におけるクッキーへの規制強化の動きが始まっています。日本でも今後の個人情報保護法の改正でクッキー規制が始まる運びとなっています。

本ブログでは、クッキー規制の概要と対応策について分かりやすく解説いたします。

目次

1. はじめに　
2. 用語解説
3. クッキーとプライバシー
4. 時系列整理で全体像を把握
5. EUのクッキー規制の詳細
6. EU以外のクッキー規制
7. 各国クッキー規制への対応方法
8. ツールご紹介

1. はじめに

欧州や米国をはじめ、世界各国におけるクッキーへの規制強化の動きが始まっています。日本でも今後の個人情報保護法の改正でクッキー規制が始まる運びとなっています。本ブログでは、去る2月１９日にステーションコンファレンス東京で行われたインプレス/Web担当者Forum主催デジタルマーケターズサミット2020 Winterでの弊社講演「今さら聞けないクッキー規制対応のポイント」でお話した内容の詳細をレポートとしてお届け致します。

2. 用語解説

先ず本題に入る前に、クッキー規制関連のお話をするうえで、頻繁に出てくる用語を解説します。

オプトインとオプトアウト

例えば、情報取得に同意するというBoxに予めチェックが入っておらず、ユーザーが明示的にチェックする必要があるものをオプトイン形式、と呼んでいます。一方で、初めからBoxにチェックが入っていて、同意をしない場合に外すことができる、というものをオプトアウト形式と呼んでいます。

また、デフォルトではクッキーを設定せず、ユーザーから同意を取得した後にクッキーを設定することをオプトイン、デフォルトではクッキーを設定するが、ユーザーにこれを拒否する権利を与えることをオプトアウトと呼びます。

eプライバシー指令

EUの指令で、Webサイトやモバイルアプリ等のオンラインサービスでクッキーをはじめとする電子通信端末装置の読み書きへの規制が明記されています。指令自体は、EU加盟各国に立法義務を与えるものであり、これに沿ってEU加盟各国（およびEEAに加盟するアイスランド、ノルウェー、リヒテンシュタイン）が制定施行する国内法により事業者に義務が課せられます。

GDPR

General Data Protection Regulationの略で、「個人データ」の「処理」と「移転」に関する法律となり、こちらはEU加盟各国の立法措置を待たず、そのまま法律として事業者に義務を課し、個人に権利を与えるものです。

3. クッキーとプライバシー

先ず、何故いま、クッキーの規制が強化されてきているのでしょうか？その背景について説明します。クッキーを使用することにより、個人のブラウザを特定したうえで、そのブラウザが他にどのようなサイトにアクセスしていたか等の集計データをとり、プロファイルし、そのサイト閲覧者に適した広告を配信する、いわゆる行動ターゲティングが可能となります。問題視されているのは、このプロファイリングにより、個人に関する細かい推測が出来る点にあります。例えば性別、年齢、所得階層等もわかってしまいます。個人は、仕事、家族、健康等様々悩みを抱えていますが、データの使い方を間違えると重大なプライバシー侵害につながります。また、所得の低い人に高い価格の製品の広告を出さなくすることや、ケンブリッジ・アナリティカの問題にあったように、政治的意図をもった世論調査に使われる等、差別や民主的政治過程の歪曲につながる恐れがあるのです。このような状況を受けて、欧州を中心に規制が進んできている、というのが背景です。

4. 時系列整理で全体像を把握

続いて、このような背景を受けて、どのような規制がどのような流れで整備されていったのかについて時系列で見ていきます。

2002年

• クッキーをはじめとする電子通信端末装置の読み書きを規制するeプライバシー指令が制定

• クッキー等の設定について、拒否権を与えることが義務づけられていた

2009年

• eプライバシー指令が改正されクッキー等に関する同意取得義務が課せられた

• 同意要件についてはGDPRの前身であるデータ保護指令（1995年施行）に基づくとされていたが、当指令の元では厳密なルールは存在しなかった

• 欧州向けのWebサイトには上記に基づくクッキーバナーが実装されていた

2018年5月

• 欧州連合（EU）でEU一般データ保護規則（GDPR）が施行され個人情報に関する同意要件が厳格になった(厳格化)

2019年夏

• GDPRの施行により同意の要件が厳格化されたことを受け、クッキーに関して、事前の情報提供＋オプトインによる事前同意が必要であるという解釈運用ガイドラインを仏・独・英などEU主要国の監督機関が相次いで発表

• 同時に、これら監督機関はクッキー規制に関する取締りを強化することを表明し、続々と執行事例が出てきている

2020年～

• EU各国の監督機関は更なる取締り強化を表明している

• 7月1日にはサードパーティークッキーの規制をはじめ商業的な利益を目的とする個人データの開示を主要な規制対象とする米国カリフォルニア州CCPAの執行が開始される

• このため米国でも今後取締りが開始される見込み

• さらに、日本でも今後施行予定の改正個人情報保護法で限定的ではあるがクッキーに関する規制が盛り込まれる予定となっている

• また、中国、ブラジル、インド、タイでも同様の規制が行われる可能性がある。

このように、規制が整備されて来ておりますが、GDPRに準拠した同意取得が出来ていかなった、という理由で、実際に制裁金事例は多く出てきています。直近の２月でもスペインのIKEAに対して同様の理由で制裁金が課されています。世界に公開されるWebサイトは法律違反が一番簡単に見抜かれ、制裁や罰則を受ける部分であるため、早急な対策が必要であるといえます。

5. EUのクッキー規制の詳細

EUクッキー規制の対象Webサイト

ここから、EUのクッキー規制について、もう少し詳しく見ていきたいと思います。先ず、EUクッキー規制の対象となるWebサイトとしては、EU市場向け商業目的のWebサイトが対象となります。特にEU市場を対象に物・サービスを販売する 「eコマースサイト」、EU市場を対象に製品・サービスを紹介する 「ブランドサイト」、ターゲティング広告で収益を得る 「情報サイト」等が挙げられます。

何をもってEU市場向けといえるか

何をもってEU市場向けといえるかですが、例えばWebサイトが欧州言語で記述されている、もしくは欧州の通貨で決済ができる等の場合は明らかに欧州向けと判断されるでしょう。英語のみのサイトが適用対象かは判断が難しいところで、ユーザー数等にもよりますが、実質的に欧州向けにサービスを提供している場合は対象とみるのが安全でしょう。また、ご注意頂きたい点としまして、欧州向けのWebサイトであれば、Webサイトの場所がたとえ日本でも適用対象となります。その為、多くの日本企業が対応を急いでいるところです。

EUクッキー規制における同意要件とは

そして、EUクッキー規制における同意要件についても細かく規定がされています（参考1）が、先ず大切な事として、どのような個人データをとって、その個人データをどのような目的で使うのか、しっかりとデータ主体へ情報提供したうえで同意をとることが必要です。また、同意は自由に与えられた同意であることが必要です。これは、例えば事業者による個人データ利用に同意しないとサービスを提供しない、というように、同意を取引条件にすることは、自由な同意とは認められません。その他、明確で肯定的な行為による同意、つまりオプトイン同意でなければならない、同意を取得した時と同じ程度の容易さをもって同意を撤回できるようにしなければならない、等細かい要件を満たすことが要求されています。

（参考1）EUクッキー規制における同意要件

共同管理者としての責任

もうひとつ重要な概念として、共同管理者としての責任、というものがあります。Webサイト管理者がターゲティング広告目的でサードパーティークッキーを設置する場合やSNSのプラグインを設置する場合、広告エージェンシーやSNSベンダなどのサードパーティーはWebサイト閲覧者とのインタフェイスを持たないために同意の取りようがない状況です。Webサイト管理者は個人データの取り扱いにおいて、クッキーを設定するサードパーティーとともに共同管理者の立場に立つ場合があることが欧州司法裁判所の判例（通称FashionID判決）と、これを受けたEU主要国ガイドラインで明らかにされました。したがって、サードパーティークッキーを埋め込んでいるウェブサイトの管理者は、サードパーティーに代わって情報提供と同意取得義務を負う場合があります。

同意が必要ないクッキー

ただし、全てのクッキーの同意をとらないといけないか、というとそうではないのです。商用オンラインサービスにおいて利用者からの要求に応えて提供すべき機能を実装するために厳格に必要なクッキーについては、必須クッキーと呼ばれ、同意を取得する必要がない、とされています。必須クッキーの範囲はEU及び加盟国監督当局のガイドラインで例が示されています。（参考２）裏を返せば、必須クッキーではない、ターゲティング広告、アクセス解析やマーケティングオートメーションで利用するクッキーは同意が必要で、そのクッキーがファーストパーティクッキーか、サードパーティークッキーか、については関係が無い点にご注意ください。また、EUクッキー規制の対象はクッキーだけではありません。Webサイトやモバイルアプリで利用される他の追跡技術にも適用されることにご留意ください。

（参考２）必須クッキーの例

6. EU以外のクッキー規制

次に、EU以外の各国の規制について、簡単にではありますが、EUとの違いを簡潔にお伝えします。

【アメリカ　カリフォルニア州】

EUでの規制がオプトインであったのに対して、カリフォルニア州消費者プライバシー法（CCPA）は、クッキーを利用して取得した個人情報、例えばウェブ閲覧履歴などを広告エージェンシーなどの第三者に提供する場合について、ユーザーがこれを拒否（オプトアウト）できる権利をあたえることを義務づけます。

【中国】

CS法のガイドラインの一つに、カスタマイズ、パーソナライズされるコンテンツ・広告の明示とオプトアウトが義務付けされていますが、このガイドラインは、まだ正式に制定されておりません。

【ブラジル】

個人データ保護法（LGPD）は、プロファイリングを目的とするクッキー利用を規制するとともに、年少者に対する広告ターゲティングを禁止しています。

【インド】

個人データ保護法案（議会審議中）は年少者を対象とするプロファイリング、トラッキングを禁止しています。

【日本】

今後改正予定の個人情報保護法で限定的ではあるがクッキーに関する規制が盛り込まれる予定となっています。

7. 各国クッキー規制への対応方法

今までご説明してまいりました通り、EUや米国カリフォルニア州CCPA等、各国毎に異なるクッキー規制への対応をWebサイト管理者自ら実装するのは極めて困難と言えます。その為、クッキーバナーと言われる専用のツールを使うのが現実的な方法で、コスト的にも妥当です。

ここでEUの規制をベースに、幾つかクッキーバナーのNGな実装例とOKな実装例を見てみたいと思います。まずNGな実装例です。

「みなし同意」

こちらは、いわゆる閲覧を続けることを「暗黙の同意」とみなしており、NGな例となります。同意は、利用者による明確で肯定的な行為により取得しなければなりません。さらに、この実装例では、「拒否」の選択肢が提供されていません。

次に、クッキー利用に同意しなければコンテンツを閲覧させない、いわゆる「クッキーウォール」という実装も許されません。選択の余地がない意思表示は、法が求める自由な同意とは認められないのです。

「クッキーウォール」

次に良い実装例です。クッキーバナーでサイト利用者に出来る限りわかり易いかたちで、クッキーの目的毎に同意を取得できるようにすることが原則です。なお、第2層でクッキーの目的ごとに同意・拒否を選択できることを条件として、第1層のバナーで包括的な同意を求めることは許容の範囲内とされます。

「第1層でクッキーの目的毎に同意取得」

「第1層で包括的同意、第2層で目的毎の同意・拒否選択」

8. ツールご紹介

最後に、弊社のおすすめするツールのご紹介となりますが、弊社では世界最大規模のプライバシー管理ソフトウェアベンダーである米OneTrust社のクッキーバナーの販売を開始させて頂きました。各国クッキー規制への対応が可能で、クッキーバナー設定管理画面やポップアップの自動作成、そして同意取得まではクッキーを発火させないゼロクッキーロードを容易に実現可能です。また、OneTrust社ツールの特徴として、Cookiepediaという自前のデータベースの存在があります。クッキーは物凄い数の種類が存在し、自ら把握や分類を行っていくのは大変です。Cookiepediaはツールと連携し、クッキーを自動分類していきます。

こちらのツールに関しては本Webサイトにて詳細情報、料金やご購入方法等をご紹介しておりますが、ご不明点等御座いましたらこちらのお問い合わせフォームよりお気軽にご連絡ください。