世界のプライバシー保護規制対応を支援するサイト

クッキー(Cookie)バナー導入の進め方


コンテンツ

1. DX、D2C時代にますます高まるプライバシー保護の重要性
2. 消費者から信用を獲得するには?
2-1. クッキー(Cookie)バナー設置の意義 
2-2. クッキー(Cookie)同意管理ツールの選定
2-3. あるべきクッキー(Cookie)バナーの開示方法
2-4. バナーを出せば十分か?(ダークパターンにご注意)
3. クッキー(Cookie)バナー導入の進め方
3-1. クッキー(Cookie)棚卸
3-2. 不明クッキー(Cookie)の調査
3-3. クッキー(Cookie)バナーの作成
3-4. ウェブサイトへの実装
4. クッキー(Cookie)バナーの運用
5. おわりに

 

 お断り
本記事上では、端末装置への読み書きを行う技術全般、ウェブサイトやモバイルアプリで利用される他の追跡技術も含め、便宜的にクッキー(Cookie)と記載しています

 

1. DX、D2C時代にますます高まるプライバシー保護の重要性

昨今、DX(デジタルトランスフォーメーション)という言葉がトレンドとなっており、多くの企業において事業成長のための戦略の中心に据えられています。このDXの推進に伴い、以前にも増して高まっているのがプライバシー保護の重要性です。DXという言葉は定義が広いですが、DXの中でも特にD2Cの推進においては個人データの利活用が鍵となります。しかし、世界で強化されるプライバシー保護規制やクッキー規制への対応不備による制裁は誰もが避けたいリスクです。制裁金のダメージだけではなく、企業のレピュテーションの失墜にもつながります。そして、どんなにDXやD2Cを推進して、個人データを利活用したくても、プライバシーに対していい加減な対応で消費者の信用を失ってしまうと、消費者離れがおこり、そもそも個人データ自体を失う事になり兼ねず、最悪のケースでは市場からの撤退を強いられかねません。世界的な法規制の強化による個人データ削除権等の個人の権利の拡大や、個人のプライバシー意識の高まりとともに急速にそのような社会環境へと変化してきています。

参考記事:【論説】企業の社会的責任として求められるプライバシー保護とは? ~透明性の確保、クッキー(Cookie)バナー等への考え方~

 

2. 消費者から信用を獲得するには?

 

2-1. クッキー(Cookie)バナー設置の意義 

規制の強化や個人の権利意識の高まりの中、昨今多くの企業で導入が進んでいるのが「当サイトはクッキーを利用しています」といった説明とともに同意を求めるようなポップアップをウェブサイトに表示する、いわゆるクッキーバナーです。ブランドサイトやECサイトにおいて、クッキーを利用し、ユーザーのウェブでの行動属性や閲覧履歴を元にプロファイリングしてターゲティング広告等を行う手法は、その高いマーケティング効果から多くの企業で活用される一方で、プライバシー侵害への懸念が高まり、欧米では規制の整備が進んできました。IIJでは、今まで海外規制への対応を行う数多くの日本企業へクッキーバナーの導入を支援してきており、その数は2019年後半から増え始め、現在も増え続けています。また、我が国でも、2022年4月1日に施行される改正個人情報保護法(以下、改正法)により新たに設けられた個人関連情報の第三者提供制限の規制により、一部のクッキーの取扱いが規制されます。改正法では、クッキーで取得した情報が第三者に提供された際に個人データと紐づく場合、原則として本人からの同意が必要となります。今回の改正法での義務は一部に限定(※)されていますが、個人情報保護委員会の改正法の整備に向けた検討資料によると、透明性のある情報開示等自主的な取り組みが期待されており、例えば、JIAA(日本インタラクティブ広告協会)の行動ターゲティング広告に関するガイドラインでは、透明性のある情報開示と、ユーザ―がいつでも拒否できる画面の提供が推奨されています。ウェブサイトは特に外部からの目に触れやすく、個人消費者にとっては、その企業のプライバシーへの対応姿勢の評価のベースとなり得ます。そのため、法的義務がある場合の対応はもちろん、法的義務がない場合でも、事業者として透明性をもった情報開示、適切な同意の取得・管理、ユーザーがいつでも拒否できる本人関与機会の提供等を効率的に行うために、クッキーバナーの設置は有効策となります。

詳しくは、下記記事もご参照ください。

参考記事:令和2年改正個人情報保護法 個人関連情報第三者提供制限ガイドライン案の重要ポイント〜 ウェブ/アプリ実装とクッキー(Cookie)の観点から読み解く

 

 2-2. クッキー(Cookie)同意管理ツールの選定

しかし、企業のご担当者様からは、本人への情報提供、同意取得や本人関与機会提供の重要性は分かっているが、マーケティングへのインパクトが心配というお声もよく聞きます。また、DXやD2Cでは他にも多くの施策が同時進行中であり、プライバシー保護について出来る限り時間・コストを抑え対応したい、という願いもあります。これらのジレンマを全て解決することは難しいですが、適切なクッキー同意管理ツールを選定し、導入していくことで、比較的コストを抑えながら前向きに取り組んで行くことは可能です。例えば、市販のツールの中には、IPアドレスのジオロケーション判定の設定により、ウェブサイト訪問者のアクセス元の国・地域を判定して、対応すべき法域に合った適切なバナーを出し分けて表示ができる機能を持ったものもあります。これにより、例えばウェブサイトへの全てのアクセスに対し、GDPR(欧州一般データ保護規則)水準の厳格なオプトイン同意のバナーを設定する必要はなく、法規制がない対象国からのアクセスに対しては、バナーは表示しないが、本人関与の機会を与えるため、プライバシーポリシ―ページにオプトアウトボタンのみを設置する、といった実装も可能です。マーケティングへのインパクトを極力抑えながら企業としての透明性向上のための策を同時に実施していくことができます。また、ツールによっては、自社ブランドロゴの挿入やウェブサイトのデザイン、トーン&マナーに合わせたバナー表示やA/Bテストが可能なものもありますので、企業イメージを向上させ、同意を取りやすいUIをカスタマイズして設定していくことができます。そして、多くのツールでは、自動スキャンによるクッキーの自動検知・分類・説明文付与の機能があります。これにより、自社ウェブサイトで使われているクッキーの棚卸や、透明性をもった情報提供を比較的容易に実行することができ、対応にかかる工数や時間を節約することができます。

 

 【ツール選定時にご担当者様が考慮すべき項目の例】

ライセンスの課金体系:

・ドメイン単位、PV数単位、トランザクション単位、その他
・ドメイン単位の場合、サブドメインも含まれるか?
・スキャン回数に制限がないか?

機能:

・自動スキャン機能の有無(ログイン画面の背後のディープスキャンも可能か?)
・クッキーの自動照合、分類、説明文付与の精度、クッキーデータベースへ事前登録されているクッキー数
・IPアドレスのジオロケーション判定による法域ごとのバナー表示の出し分け機能の有無
・言語出し分け機能(日本語だけではなく、海外規制への対応も見据えて、多言語に対応をしているか?)
・GDPR、CCPA等、主要なプライバシー保護規制へ対応したテンプレートの有無
・デザインのカスタマイズ可否(バナー表示位置やボタン配置等のデザインの選択肢は豊富か?CSSでのカスタマイズも可能か?)

サポート体制、SLA等:

・実装マニュアル等の整備状況
・FAQ等のナレッジベースがあるか?
・実装に際して、技術的に困った際等の相談窓口の有無
・規制やガイドラインへの対応について、解釈、判断に困った場合の相談窓口の有無
・日本語での相談窓口の有無
・ツールが運用されているシステムの可用性、セキュリティ対応状況等

 

2-3. あるべきクッキー(Cookie)バナーの開示方法

クッキーバナーの開示方法は、GDPRやCCPA等海外規制へ対応するパターンや、法的義務がない場合でも企業の透明性の向上、そして消費者志向のプライシー保護に対応したパターン等、様々なタイプが存在します。ここでは、代表的な4つのパターンをご紹介します。なお、このように様々な実装パターンに対応できるか否かもツール選定基準の一つのポイントになるかと思います。

 パターン1(オプトイン実装)

例)欧州の規制であるGDPRとePrivacy指令に対応した実装。オプトイン形式の同意を取得してからでないとクッキーをセットしないような設定にする(ゼロ・クッキーロード)。日本でも改正個人情報保護法で義務に当たる場合はこの実装が有効。

パターン2(オプトアウト実装)

例)デフォルトでクッキーをセットするが、サイトユーザーがいつでも当該クッキーの利用をやめさせることができるオプトアウト画面を提供する実装。米国カリフォルニア州消費者プライバシー法(CCPA)では、個人情報の売却にあたると考えられるようなクッキーの利用(例:サードパーティーのターゲティング広告クッキー)に対して、オプトアウト機能の提供が義務となっている。日本で、改正個人情報保護法の義務に当たらない場合はこちらを推奨。

 パターン3(バナーで情報提供のみ)

情報提供だけにとどめ、ユーザーに拒否権を与えないパターン。消費者からの評判はあまりよくない。海外ではダークパターンと捉えられる恐れもあるので、あまりお勧めはできない実装。


パターン4(バナーは出さずオプトアウト機会のみ提供)

UXや離脱防止のマーケティング観点での実装。バナーが邪魔と思われるUXの観点や、どうせ何も考えずにOKボタンを押して同意を取得するような同意なんて意味がないのでは?と思われる場合に、マーケティング効果を重視してクッキーをデフォルトでセット。ただし、消費者が嫌だと思ったらいつでもクッキー利用を拒否できるように、プライバシーポリシーのページ等で分かりやすい形でオプトアウト機能を提供。

 

 2-4. バナーを出せば十分か?(ダークパターンにご注意)

積極的な情報開示の観点からはバナーを表示すればそれで良い、と思われがちです。企業側では個人データを出来るだけとれるように、画面や文言で顧客を誘導するような設計を行う事は従来では当り前でした。しかしながら、これらはプライバシー意識の高まった消費者からは嫌がられる実装であり、ダークパターンと呼ばれます。欧州では各国規制当局から明確にやってはいけない実装としてガイドライン等で示されており、日本でも意識の高い消費者がSNSで指摘をして拡散した場合、企業はレビューテーション低下等のダメージを受けてしまいます。折角よかれと思ってクッキーバナーを実装しても、消費者にとってフェアな情報開示と本人関与機会の提供でなければ、逆に悪評が広まる恐れがあります。ダークパターンについては、下記eBookにて詳しく取り上げていますので、こちらも是非ご参考としてください。

【eBook】すぐに役立つ! クッキーバナー表示のNG集 無料ダウンロード

 

3. クッキー(Cookie)バナー導入の進め方

続いて、クッキーバナーの導入から運用までの一般的な流れをご説明します。ここからは、IIJが取扱いをしているOneTrustクッキー同意管理ツールをベースとして、まずは導入ステップを下記の4つに分けて解説してまいります。

 

3-1. クッキー(Cookie)棚卸

まずはウェブサイトで利用されているクッキーの棚卸から開始します。クッキーバナーを実装する対象のウェブサイトをツールの機能を使ってスキャンし、利用されているクッキーを検出します。そして、検出されたクッキーを、必須クッキー(※)、パフォーマンス解析用クッキー、広告用クッキー等、目的ごとに分類します。例えば欧州では必須クッキー以外のクッキーは、それらをセットする前に同意を取得しなければいけませんが、同意は目的ごとに取得する必要があり、利用目的をきちんと説明したうえで取得した同意である必要があります。そのため、このようなクッキーの目的ごとの分類が必須となります。そして、スキャンを実行する際の留意点を幾つか紹介いたします。

※必須クッキーとは:

オンラインサービス等の機能を実装するために厳格に必要なクッキーは通称「必須クッキー」と呼ばれ、厳格なオプトイン同意を要件とする欧州の規制においても、同意の取得が免除されている。必須クッキーの範囲は欧州加盟国監督当局のガイドラインで次のようなものが例示されている。

・言語・フォント等に関する利用者の選択を記憶する
・買い物カゴの中身等、利用者の入力内容を記憶する
・利用者のログイン状態を記憶する
・不正ログインを検知する

スキャン実行時の留意点① クロール制限

ウェブサイトに外部からのクロール制限がかかっている場合、スキャンが実施できません。OneTrustはクローラーのIPアドレスを公開していますので、ウェブサーバーやWAF等お客様側の環境でアクセス制限をかけているシステムのホワイトリストにOneTrust側のIPアドレスを追加したうえで、スキャンの実施が可能です。

スキャン実行時の留意点② ログイン認証後のページへのスキャン

ログイン認証が必要なウェブサイトの場合、ログイン認証を通過した後のページにもスキャンをかける必要があります。OneTrustツールでは一定の条件の設定によりログイン認証後のページのスキャンも行うことができます。

スキャン実行時の留意点③ クローラーがたどれないページ(リンクされていないページ)がある

ウェブサイト上でリンクがはられていないページがある場合の留意点です。クローラーの仕様上、トップページからリンクをたどってスキャンをかけていくため、同じドメイン配下でもリンクされていないページはスキャンされません。OneTrustツールでは、そのようなページをピンポイントで指定してのスキャンや、外部に公開されているxml形式のサイトマップを利用したスキャンも可能です。手法を工夫することで、リンクがつながっていないページも問題なくスキャンが可能となります。

スキャン実行時の注意点④ サイトページ数が多い場合

非常にページ数が多いウェブサイトの場合の留意点です。もしページ数が5万ページ以上ある場合は、何回かに分けてスキャンを実施していく必要があります。OneTrustツールでは前回までのスキャン履歴を残してそれ以外のページを優先的にスキャンする機能がありますので段階的にスキャンしていくことも可能です。ただし、重要なのは「サイトの全ページをスキャンする」ことよりも「出来る限りサイトで使われているクッキーを100%近く洗い出すこと」になります。通常、ウェブサイトが数十万ページもある場合は、一般的なテンプレートに当てはめてニュースや商品のカタログページが大量にあるというケースが多いかと思います。個別に作りこんだページが数十万ページもあることは通常考えにくく、同じテンプレートを使ってページを作っているので、個別のページごとに異なるクッキーを設定することは稀です。そのため、OneTrustは実績上トップページから1万ページ程度をスキャンすれば全体の99%のクッキーは検出できる、という見解を持っています。

 

3-2. 不明クッキー(Cookie)の調査

スキャンの結果、不明クッキーが検出された場合は調査が必要となります。OneTrustツールでは約3,000万個のクッキーが事前登録されている世界最大規模のデータベースCookiepediaと照合して、検出されたクッキーをカテゴリーごとに自動分類し、説明文を付与する機能があります。

ツールによるスキャンとCookiepediaとの照合によって自動分類と説明文の付与が行えなかったクッキーは不明クッキーとなります。不明クッキーは独自に調査をしたうえで、手動で分類と説明文の付与が必要となります。分類をしておかないと、そのクッキーについてはユーザーに情報開示が出来ないのと、後のクッキー実装時に制御設定ができないので、もし法的義務対応のためにクッキーバナーを導入していても、規制に遵守できていないことになりますし、企業の透明性の観点からも不十分な対応となります。古くからある歴史のあるウェブサイトでは、過去から現在に至るまで様々なマーケティング施策が行われており、色々なアクセス解析ツールが使われていた等の理由により、昔から残っていてもう使っていないような古いタグから発行されるクッキーが不明クッキーとして検出されることがあります。また、自社が独自で使用しているクッキーや、一般的ではないマーケティングツール等のタグを埋め込むことによって発行されるクッキーも不明クッキーとなる可能性が高いです。これらの不明クッキーは棚卸の一環として、この際しっかりと調査をして、不要なクッキーを発行するタグをウェブサイトから削除する等、整理を行います。

不明クッキーの調査と手動分類にはある程度時間がかかることを見据え、余裕をもったプロジェクトスケジュールを組んで頂くことも大切です。IIJでは過去からの多くの導入支援プロジェクト経験を通じて蓄積した不明クッキー調査のノウハウや独自の不明クッキーデータベースを持っておりますので、もし不明クッキーの調査でお困りの際にはご相談ください。

 

3-3. クッキー(Cookie)バナーの作成

不明クッキーの調査が完了し、全てのクッキーの分類と説明文の付与が完了しましたら、ここからはいよいよウェブサイトに表示するクッキーバナーの作成を行っていきます。OneTrust管理画面上でテンプレートを利用しながら、クッキーバナーで表示するユーザーへの説明文言やデザインを設定していきます。同時に、対象となる規制の要件に合わせて、もしくは法的義務がない場合でも自社のプライバシー保護方針に合わせて、オプトイン形式やオプトアウト形式等の設定を行っていきます。

3-3-1. ジオロケーションルールの設定

OneTrustツールでは、サイト訪問者のアクセス元のIPアドレスから地域を判定して、自動的に表示するクッキーバナーのタイプを出し分けるジオロケーションルール機能が備わっています。例えば、欧州からのアクセスに対してはGDPRとePrivacy指令に対応したオプトイン形式のクッキーバナーを表示、米国カリフォルニア州(もしくは米国)からアクセスされた際にはCCPAに対応したオプトアウト形式のクッキーバナーを表示、日本国内からのアクセスについては、改正個人情報保護法の規制に対応する必要がある場合には、欧州と同様のオプトイン形式のクッキーバナーをガイドラインの同意取得要件に即した内容で表示する等、複数の種類のクッキーバナーの自動的な出し分けが可能です。

3-3-2. 既存プライバシーポリシー内のクッキー説明文の修正等 

この工程における重要なポイントは、今回新たに実装するクッキーバナーの挙動やそこに掲載する説明文と、既存のプライバシーポリシーやクッキーポリシー等のページに記載されている説明文との整合性をとることです。必要に応じて、プライバシーポリシーやクッキーポリシー等の記載の内容を変更する必要があります。

以下に、内容変更の検討が必要になる例についていくつかご紹介します。

①「みなし同意」型の説明になっている

一つ目は今回導入するクッキーバナーではGDPR対応のオプトイン形式の実装になるのに、既存のプライバシーポリシーページでの説明は「みなし同意」型になっている場合です。具体的には、例えば「このウェブサイトを閲覧することにより当社のクッキーの利用に同意したこととみなします」という内容の記載で、ユーザーが暗黙のまま同意していることを前提とした文言になっている場合です。みなし同意はGDPRの求める明示的なオプトイン同意を取得したことになりません。この場合、せっかくクッキーバナーをオプトイン形式で実装しても、プライバシーポリシーページ内の説明文がこのままでは整合性が取れないため、適切な文言への修正を検討していく必要があります。

② 簡単な同意撤回やオプトアウトの方法が示されていない

次に、一度クッキーバナーで同意を取得してバナーが消えた後で、ユーザーが後から同意を撤回する選択肢がプライバシーポリシーページやウェブサイトのフッター等どこにも示されていない場合です。この場合、GDPRにおいては、ユーザーが同意を与えた時と同様の簡便さで同意を撤回できなければならない、という同意の有効要件に適合しないことになり、適法な同意を取得していることになりません。また、米国カリフォルニア州のCCPAにおいては「売却」にあたるクッキーの利用におけるオプトアウト機会の提供が必要ですので、同様の選択肢を与える必要があります。

③クッキーの拒否はユーザー自らがブラウザ設定で行うように規制している

そして、もう一つの例が、クッキー設定を拒否する場合、ブラウザの設定をユーザー自身で変更するように求めている場合です。この場合、例えばクッキーバナーをGDPR水準のオプトイン形式で実装をした場合、クッキーバナーの挙動と整合性がとれなくなりますので、やはり適切な文言への修正を検討していく必要があります。

以上のような例に当てはまる場合も含めて、クッキーバナー導入の際には、それに併せてプライバシーポリシーやクッキーポリシーページの修正も同時に行う必要があるかを十分に検討しましょう。必要がある場合には、適切な説明文に書き換える等のアップデートを行いますが、一部の修正に伴い全体に影響が出ないかも気にする必要があります。自社のみでの対応が難しい場合には専門家へご相談頂くこともお薦めです。また、OneTrustツールではユーザーが後から簡易な方法で同意を撤回できるように、クッキーバナーの同意・拒否の選択画面をユーザーがいつでも直接呼び出せるボタンやリンクを生成することも可能ですので、この機能を上手に活用していくことで適切なポリシーページを作成していくことが出来ます。

IIJでは既存のプライバシーポリシーやクッキーポリシー等のページに記載されているクッキーの説明文をクッキーバナー導入に併せて適切な文言に修正するお手伝いや、ユーザーの設定画面を呼び出すボタンやリンクの適切な設置方法についてのアドバイスも可能ですので、お気軽にご相談ください。

 

3-4. ウェブサイトへの実装

そしてクッキーの分類や、バナーの作成と設定が完了しましたら、いよいよ導入ステップの最後はウェブサイトへの実装作業となります。ウェブサイトへの実装方法は、自社のサイトの作りや、利用しているタグマネージャーの種類等によって最適な方法が異なってきますが、大きく分けて2種類の作業が必要です。一つ目が、クッキーバナーの実装作業で、ツールから生成されたクッキーバナースクリプト(JavaScript)をサイトに組み込んでいく作業となります。そしてもう一つがクッキーを発行するタグの制御設定作業です。ユーザーの同意・拒否のステータスに連動させてクッキーの発行制御を行うためのタグの設定を行います。

それぞれの作業について、何通りかの実施パターンがありますので、以下に代表的なものをまとめます。

自社のサイトの構成、利用しているタグマネージャーやCMS等の種類、運用状況等から判断して、自社ウェブサイトにベストな方法を選択して実装していきます。

以上が、クッキーバナー導入の進め方についての解説でした。それでは最後に、クッキーバナーを導入した後に必要となる運用について解説いたします。

 

4.クッキー(Cookie)バナーの運用

無事にクッキーバナーの実装が完了した後は運用フェーズに移っていきます。ウェブサイトのリニューアルやページ追加があった場合も、引続き法令遵守や会社として定めたポリシーを維持していくための継続的運用が必要です。特に新規のクッキー追加時には再スキャンや新規に検知されたクッキーの適切な制御等の対応が必要となります。OneTrustツールであれば定期スキャンのスケジュール設定も可能です。

また、ウェブサイトにおけるクッキーの利用状況、ウェブサイトが対象とする各国・地域の規制の動向やガイドラインのアップデート等に合わせて、クッキーバナーの文言や同意取得の方法、ウェブサイトに掲示しているクッキーポリシーについて、内容の再確認と適宜必要に応じた修正を行っていくことが大切です。世界各国のクッキー規制やガイドラインの動向や最新ニュース等の情報はBizRisのナレッジベースやニュースをご活用ください。

 

5.おわりに

各国のクッキー規制への対応はもちろん、法的義務がない場合でも、透明性向上による消費者からの信頼の獲得やブランド価値の強化のために、クッキーバナーの導入を検討される企業が急増しています。今回はクッキーバナー導入の進め方の全体像や、代表的なツールであるOneTrustの機能の一部を紹介いたしましたが、いかがでしょうか。本記事が導入ご検討中の企業様にとって、少しでもお役に立ちましたら幸いです。

なお、BizRisのオンライン相談でクッキーバナー導入に関してご相談頂くことも可能ですが、クッキーバナーのライセンス提供から導入、運用まで、ワンストップでご支援が可能なソリューションもございますので、お困りの際はお気軽にこちらからご相談ください。

関連記事

  • 2021年 8月 6日
はじめてのGDPR