ページタイトル

コラム

ページタイトル画像
タブ風リンクボタン
コラム
WEB

Cookie規制とは?個人情報保護の世界的な動きと受ける影響について

ここ最近、WEBサイトへアクセスした際に「Cookieの利用について」と書かれたバナーやポップアップの表示される機会が増えていることにお気づきでしょうか。画面では「受け入れる」や「確認する」などの選択をユーザーに求めていますが、これにはCookie規制と呼ばれる個人情報保護に関する世界的な動きが影響しています。今回はCookie規制に関する基礎知識と、規制を伴う可能性がある個人情報についてご紹介します。

Cookie規制とは?

Cookie(クッキー)の働き

Cookieはブラウザを識別するIDであり、ユーザーがWEBサイトを利用する際「一時的に保存しておくと便利な情報」が格納される仕組みです。
便利な情報の例としては、ID・パスワード、閲覧履歴、動画再生で一旦停止した位置、ECサイトのカート情報などが挙げられます。再入力の手間が省ける、動画を続きから再生できるなど、Cookieのおかげで私たちはインターネットを快適に利用できているのです。
Cookieはとても便利な仕組みですが、個人情報保護の観点から取り扱いに注意が必要な情報でもあります。というのも、Cookie単体では個人を特定できませんが、他情報と照らし合わせることで個人を特定できる可能性があります。つまり、本人の許可なく個人情報が商用利用され、ユーザーに不利益を与えるリスクを抱えているのです。

個人情報を保護するGDPR/CCPAとeプライバシー規則

個人情報を保護するGDPR/CCPAとeプライバシー規則

日々膨大な量のデータがやり取りされる中、個人情報の乱用や人権侵害の広がりを防ぐため、2018年5月、EUでは個人データ保護とその取り扱いについて定めた法律GDPR(EU一般データ保護規則)を適用。個人データ取得の際には必ずユーザーの同意が必要になりました。2020年1月、米国カリフォルニア州でも同様の法律、CCPA(カリフォルニア消費者の個人情報保護法)が施行されています。
EUではGDPRの特別法という位置づけで、インターネット上における個人データの取り扱いについて定めたeプライバシー規則も適用。Cookieを保護すべき個人データとして扱い、ユーザーに無許可で収集することを禁じたことからCookie法とも呼ばれています。
GDPR/CCPAは個人データ全体を、eプライバシー規則は電子データや端末上の情報を保護するといった違いはありますが、これらの法的規制を受け、世界的にCookieの利用が一部制限されるようになりました。
日本国内でも同じ動きが見られます。2022年に施行される改正個人情報保護法では、これまで個人情報として扱われていなかったCookieを個人関連情報とし、他情報との照合で個人を識別できる場合は個人情報として扱うことが求められるのです。

ファーストパーティCookieとサードパーティCookie

WEBサイトから有効期限付きで発行されるCookieは、どのドメイン由来のものかで呼び方が異なります。
閲覧しているWEBサイトのドメインから直接発行されるファーストパーティCookieは、ログイン情報や入力情報、IPアドレスなどを保存します。
対して、閲覧しているWEBサイトに設置された広告配信サーバーなど、第三者のドメインから発行されるのがサードパーティCookieです。WEBサイト上の行動履歴などを保存し、複数のWEBサイトを横断的にトラッキング(追跡)できます。例えば、検索した商品の広告が数日後に他のWEBサイトで表示されるのも、サードパーティCookieを利用した仕組みです。

法的・技術的に規制が進むサードパーティCookie

本来Cookieとはユーザーの手間を省くための仕組みでした。しかし、GDPRやCCPA、eプライバシー規則が整備されるなどの法的側面から、サイトがCookie情報を取得する際は必ずユーザーの同意が必要となる動きが進んでいます。
また、サードパーティCookieは技術面から制限される傾向が見られます。Google社は、ブラウザ「Chrome」におけるサードパーティ Cookie のサポートを段階的に廃止する計画を発表しました。Apple社も、ブラウザ「Safari」搭載のプライバシー対策機能ITPについて、ファーストパーティCookieの有効期限を短縮し、サードパーティ Cookieを全てブロックするアップデートを行っています。

今後影響を受ける可能性のあるサービス

今後影響を受ける可能性のあるサービス

これまでは、サードパーティCookieでユーザーの行動をトラッキングし、おおよその年齢、性別、職業、居住地域、趣味嗜好などからプロファイルを予想することで、その人が閲覧するWEBサイトに親和性の高い広告を掲出できるターゲティング広告が一定の効果を上げていました。
しかしサードパーティCookieの制限が進むことで、このような広告は運用が難しくなるでしょう。デジタルマーケティングを行う企業は、今後Cookieに依存しない広告配信サービスを提供することが重要となります。