クッキー(Cookie)バナー導入の進め方


クッキー(Cookie)バナー導入の進め方

コンテンツ

1. DX、D2C時代にますます高まるプライバシー保護の重要性
2. 消費者から信用を獲得するには?
2-1. クッキー(Cookie)バナー設置の意義 
2-2. クッキー(Cookie)同意管理ツールの選定
2-3. あるべきクッキー(Cookie)バナーの開示方法
2-4. バナーを出せば十分か?(ダークパターンにご注意)
3. クッキー(Cookie)バナー導入の進め方
3-1. クッキー(Cookie)棚卸
3-2. 不明クッキー(Cookie)の調査
3-3. クッキー(Cookie)バナーの作成
3-4. ウェブサイトへの実装
4. クッキー(Cookie)バナーの運用
5. おわりに

お断り
本記事上では、端末装置への読み書きを行う技術全般、ウェブサイトやモバイルアプリで利用される他の追跡技術も含め、便宜的にクッキー(Cookie)と記載しています

web担当者は見た!!我が社のクッキーバナー導入奮闘記

OneTrustのクッキー同意管理ソリューション

CPRAに対応したクッキーバナー実装のポイント

 

1. DX、D2C時代にますます高まるプライバシー保護の重要性

昨今、DX(デジタルトランスフォーメーション)という言葉がトレンドとなっており、多くの企業において事業成長のための戦略の中心に据えられています。このDXの推進に伴い、以前にも増して高まっているのがプライバシー保護の重要性です。DXという言葉は定義が広いですが、DXの中でも特にD2Cの推進においては個人データの利活用が鍵となります。しかし、世界で強化されるプライバシー保護規制やクッキー規制への対応不備による制裁は誰もが避けたいリスクです。制裁金のダメージだけではなく、企業のレピュテーションの失墜にもつながります。そして、どんなにDXやD2Cを推進して、個人データを利活用したくても、プライバシーに対していい加減な対応で消費者の信用を失ってしまうと、消費者離れがおこり、そもそも個人データ自体を失う事になり兼ねず、最悪のケースでは市場からの撤退を強いられかねません。世界的な法規制の強化による個人データ削除権等の個人の権利の拡大や、個人のプライバシー意識の高まりとともに急速にそのような社会環境へと変化してきています。

参考記事:【論説】企業の社会的責任として求められるプライバシー保護とは? ~透明性の確保、クッキー(Cookie)バナー等への考え方~

 

2. 消費者から信用を獲得するには?

 

2-1. クッキー(Cookie)バナー設置の意義 

規制の強化や個人の権利意識の高まりの中、昨今多くの企業で導入が進んでいるのが「当サイトはクッキーを利用しています」といった説明とともに同意を求めるようなポップアップをウェブサイトに表示する、いわゆるクッキーバナーです。ブランドサイトやECサイトにおいて、クッキーを利用し、ユーザーのウェブでの行動属性や閲覧履歴を元にプロファイリングしてターゲティング広告等を行う手法は、その高いマーケティング効果から多くの企業で活用される一方で、プライバシー侵害への懸念が高まり、欧米では規制の整備が進んできました。IIJでは、今まで海外規制への対応を行う数多くの日本企業へクッキーバナーの導入を支援してきており、その数は2019年後半から増え始め、現在も増え続けています。また、我が国でも、2022年4月1日に施行される改正個人情報保護法(以下、改正法)により新たに設けられた個人関連情報の第三者提供制限の規制により、一部のクッキーの取扱いが規制されます。改正法では、クッキーで取得した情報が第三者に提供された際に個人データと紐づく場合、原則として本人からの同意が必要となります。今回の改正法での義務は一部に限定(※)されていますが、個人情報保護委員会の改正法の整備に向けた検討資料によると、透明性のある情報開示等自主的な取り組みが期待されており、例えば、JIAA(日本インタラクティブ広告協会)の行動ターゲティング広告に関するガイドラインでは、透明性のある情報開示と、ユーザ―がいつでも拒否できる画面の提供が推奨されています。ウェブサイトは特に外部からの目に触れやすく、個人消費者にとっては、その企業のプライバシーへの対応姿勢の評価のベースとなり得ます。そのため、法的義務がある場合の対応はもちろん、法的義務がない場合でも、事業者として透明性をもった情報開示、適切な同意の取得・管理、ユーザーがいつでも拒否できる本人関与機会の提供等を効率的に行うために、クッキーバナーの設置は有効策となります。

詳しくは、下記記事もご参照ください。

参考記事:令和2年改正個人情報保護法 個人関連情報第三者提供制限ガイドライン案の重要ポイント〜 ウェブ/アプリ実装とクッキー(Cookie)の観点から読み解く

 

 2-2. クッキー(Cookie)同意管理ツールの選定

しかし、企業のご担当者様からは、本人への情報提供、同意取得や本人関与機会提供の重要性は分かっているが、マーケティングへのインパクトが心配というお声もよく聞きます。また、DXやD2Cでは他にも多くの施策が同時進行中であり、プライバシー保護について出来る限り時間・コストを抑え対応したい、という願いもあります。これらのジレンマを全て解決することは難しいですが、適切なクッキー同意管理ツールを選定し、導入していくことで、比較的コストを抑えながら前向きに取り組んで行くことは可能です。例えば、市販のツールの中には、IPアドレスのジオロケーション判定の設定により、ウェブサイト訪問者のアクセス元の国・地域を判定して、対応すべき法域に合った適切なバナーを出し分けて表示ができる機能を持ったものもあります。これにより、例えばウェブサイトへの全てのアクセスに対し、GDPR(欧州一般データ保護規則)水準の厳格なオプトイン同意のバナーを設定する必要はなく、法規制がない対象国からのアクセスに対しては、バナーは表示しないが、本人関与の機会を与えるため、プライバシーポリシ―ページにオプトアウトボタンのみを設置する、といった実装も可能です。マーケティングへのインパクトを極力抑えながら企業としての透明性向上のための策を同時に実施していくことができます。また、ツールによっては、自社ブランドロゴの挿入やウェブサイトのデザイン、トーン&マナーに合わせたバナー表示やA/Bテストが可能なものもありますので、企業イメージを向上させ、同意を取りやすいUIをカスタマイズして設定していくことができます。そして、多くのツールでは、自動スキャンによるクッキーの自動検知・分類・説明文付与の機能があります。これにより、自社ウェブサイトで使われているクッキーの棚卸や、透明性をもった情報提供を比較的容易に実行することができ、対応にかかる工数や時間を節約することができます。

 

 【ツール選定時にご担当者様が考慮すべき項目の例】

ライセンスの課金体系:

・ドメイン単位、PV数単位、トランザクション単位、その他
・ドメイン単位の場合、サブドメインも含まれるか?
・スキャン回数に制限がないか?

機能:

・自動スキャン機能の有無(ログイン画面の背後のディープスキャンも可能か?)
・クッキーの自動照合、分類、説明文付与の精度、クッキーデータベースへ事前登録されているクッキー数
・IPアドレスのジオロケーション判定による法域ごとのバナー表示の出し分け機能の有無
・言語出し分け機能(日本語だけではなく、海外規制への対応も見据えて、多言語に対応をしているか?)
・GDPR、CCPA等、主要なプライバシー保護規制へ対応したテンプレートの有無
・デザインのカスタマイズ可否(バナー表示位置やボタン配置等のデザインの選択肢は豊富か?CSSでのカスタマイズも可能か?)

サポート体制、SLA等:

・実装マニュアル等の整備状況
・FAQ等のナレッジベースがあるか?
・実装に際して、技術的に困った際等の相談窓口の有無
・規制やガイドラインへの対応について、解釈、判断に困った場合の相談窓口の有無
・日本語での相談窓口の有無
・ツールが運用されているシステムの可用性、セキュリティ対応状況等

 

2-3. あるべきクッキー(Cookie)バナーの開示方法

クッキーバナーの開示方法は、GDPRやCCPA等海外規制へ対応するパターンや、法的義務がない場合でも企業の透明性の向上、そして消費者志向のプライシー保護に対応したパターン等、様々なタイプが存在します。ここでは、代表的な4つのパターンをご紹介します。なお、このように様々な実装パターンに対応できるか否かもツール選定基準の一つのポイントになるかと思います。

 パターン1(オプトイン実装)

例)欧州の規制であるGDPRとePrivacy指令に対応した実装。オプトイン形式の同意を取得してからでないとクッキーをセットしないような設定にする(ゼロ・クッキーロード)。日本でも改正個人情報保護法で義務に当たる場合はこの実装が有効。

パターン2(オプトアウト実装)

例)デフォルトでクッキーをセットするが、サイトユーザーがいつでも当該クッキーの利用をやめさせることができるオプトアウト画面を提供する実装。米国カリフォルニア州消費者プライバシー法(CCPA)では、個人情報の売却にあたると考えられるようなクッキーの利用(例:サードパーティーのターゲティング広告クッキー)に対して、オプトアウト機能の提供が義務となっている。日本で、改正個人情報保護法の義務に当たらない場合はこちらを推奨。

 パターン3(バナーで情報提供のみ)

情報提供だけにとどめ、ユーザーに拒否権を与えないパターン。消費者からの評判はあまりよくない。海外ではダークパターンと捉えられる恐れもあるので、あまりお勧めはできない実装。


パターン4(バナーは出さずオプトアウト機会のみ提供)

UXや離脱防止のマーケティング観点での実装。バナーが邪魔と思われるUXの観点や、どうせ何も考えずにOKボタンを押して同意を取得するような同意なんて意味がないのでは?と思われる場合に、マーケティング効果を重視してクッキーをデフォルトでセット。ただし、消費者が嫌だと思ったらいつでもクッキー利用を拒否できるように、プライバシーポリシーのページ等で分かりやすい形でオプトアウト機能を提供。

 

 2-4. バナーを出せば十分か?(ダークパターンにご注意)

積極的な情報開示の観点からはバナーを表示すればそれで良い、と思われがちです。企業側では個人データを出来るだけとれるように、画面や文言で顧客を誘導するような設計を行う事は従来では当り前でした。しかしながら、これらはプライバシー意識の高まった消費者からは嫌がられる実装であり、ダークパターンと呼ばれます。欧州では各国規制当局から明確にやってはいけない実装としてガイドライン等で示されており、日本でも意識の高い消費者がSNSで指摘をして拡散した場合、企業はレビューテーション低下等のダメージを受けてしまいます。折角よかれと思ってクッキーバナーを実装しても、消費者にとってフェアな情報開示と本人関与機会の提供でなければ、逆に悪評が広まる恐れがあります。ダークパターンについては、下記eBookにて詳しく取り上げていますので、こちらも是非ご参考としてください。

【eBook】すぐに役立つ! クッキーバナー表示のNG集 無料ダウンロード

 

3. クッキー(Cookie)バナー導入の進め方

以降のコンテンツは会員限定となりますのでログインしてご覧ください。
※無料会員でご覧になれます。

コンテンツをご覧になるにはログインが必要です

ログイン

関連記事

個別説明をお申込希望の方

個別説明をお申し込み希望の方は以下のフォームをご記入の上、送信ボタンを押してください

*のある項目は入力必須です。