Cookieの同意取得バナーは必要か？

このページはウエブサイトの経営・運営・開発などの担当者の方が個人情報を利用する際のプライバシー対策についていくつかのテーマでご紹介しています。ページの最後には、お立場ごとへのアドバイスを載せております。専門すぎる内容や実務的な内容や技術的な記載はありません。このテーマに関することについて気になっていることがあれば、ウエブサイト運営事業者むけの無料で相談の対応をしておりますのでご利用ください。

日本企業向けちょうど良いGDPRのCookie同意バナー

日本でもPC・スマートフォン用のいずれについても、Cookieの同意バナーを見かけることが増えました。Cookieの同意バナーの導入を検討しているウエブサイト運営者もおられると思います。

２０２２年に個人情報保護法が改正され、２０２３年に電気通信事業者法が改正されCookieの取り扱いに関連している部分がありましたが、Cookieの同意はGDPRの義務対応で国内法では義務となっておりません。ウエブサイトのGDPRのプライバシー原則対応を無理せずにするなかで、Cookie同意取得バナーはツールの一つです。

-書いているのはSTEKWIREDプライバシーコンサルタント
国内で唯一のプライバシー認証TRUSTeと個人情報保護資格CPAの認定機関として、OECDのプライバシー8原則の自己情報コントロール権のコンサルティングやプライバシー意識があがるわかりやすい研修、クライアント相談のソリューションとしてGDPRのプライバシー7原則のプライバシーリスク分析やちょうど良いフォーム改善やGDPR対応プライバシーステートメントを支援しています。急激な社会変化に適応できるようクライアント担当者を中心としたプライバシー対策を心がけています。-

インターネットサービス無料をもたらしたCookie

Cookieは合理的な仕組み

Cookieのウエブサイトの訪問者のPCに識別子を保存し、セッションを維持し、再訪問時に確認するという方法は合理的な方法でいまも利用されています。個別識別をする仕組みがシンプルで、保存されるテキスト容量は無視できるほど小さく記憶領域に影響をあたえない、ユーザーが気づくことなく識別ができる。Cookieによって広告の成果の確認ができるため広告市場の発展につながってきました。

Cookieはネット無料文化を支えてきた

現在の我々がインターネットの接続料だけで、検索やSNSなど多くのサービスを無料で利用できるのは、フリーミアムモデルを広告が支えているからです。Googleがインターネットのウェブサイトの検索サービスを行えるのはGoogleに広告を出稿する企業の広告費であり、ユーザーの行動を追跡する広告技術を支えるCookieの存在がネット無料文化を支えてきたといえます。

Cookieは広告効果に貢献

成長するITの広告市場は、ユーザーの行動をトラッキングするCookieによって支えられてきました。Facebookがユーザーのプロファイリングされたデータを利用して、選挙の支持政党を誘導するという高度で高価な広告も開発されていますが、今回はプライバシーデータの活用は割愛します。

話を元に戻すと、人はもともと何度か広告を見せられると対象に好意を持ちやすくなる単純接触という心理効果があります、購入や入会を検討しているならばなんども追いかけられるうちに購入をしてしまいます。マス媒体での広告費と購入の関係は不明確でしたが、インターネットの広告や成果報酬型広告では、広告費が購入や閲覧などのパフォーマンスが測れるためデジタルマーケティングが向上しました。

追跡型広告のためCookieは嫌われることに

インターネットのフリーミアムモデルは、人類史に残る発明であると私は思いますが、資本主義の経済では、フリーミアムを支える広告での売上を拡大させないミッションがあります。

無料でサービスを利用するユーザーのための人件費やサーバ費用などを上回る広告売上が必要で、無料サービスを利用した広告主がその広告が売上につながらないといけないのです。売上につながる広告となるような広告システムが必要になります。

ユーザーの行動を追跡して嗜好を学び、出稿する広告主をウエブサイトを遷移した先でも追いかける追跡型・行動ターゲティング広告が開発され、現在に至っています。ユーザーとしては、インターネットの利用は常に監視されて、広告を買うまでつきまとわれる印象を持つため、追跡型・行動ターゲティング広告はプライバシー侵害のある広告として嫌われています。

追跡型広告の技術としてCookieが目立つ存在に

ユーザーである私たちは、複数のサイトの閲覧や利用しているうちに広告につけまわされたり、商品のおすすめなどがされるようになり、シンプルに広告にストーキングされていることに気がついてきました。

オンラインのネットショッピングは対面がないため誰の目にも触れないような気がしますが、無数の広告関係者にさらされています。オンラインの行動の追跡はストーキングなのでやめてほしいという欧米のユーザーを中心にプライバシー侵害の声があげられており、それを支える技術としてCookieが嫌われるようになりました。知らないうちに識別用のコードはPCに保存する行為も冷静に考えると嫌なのかもしれません。

• インターネット無料を支えているのはCookieの広告

• 効果のある広告は人を追跡する

• 追跡型広告からCookieが嫌われることに

Cookie同意バナーを設置したほうが良いのか

GDPRでは同意による取得が義務だが日本では

Cookieレスの導入はブラウザ次第なので、現状を考えますと、前段で申し上げたとおり、EU居住者向けのサービスではCookieの取得前の同意の取得は義務になります。日本では改正個人情報保護法で2022年に個人関連情報としてCookieが該当するケースがあり、第三者提供の制限の義務がありますが、Cookie取得の同意の義務ではありません。

では、なぜ最近のウエブサイトでCookie同意バナーが増えたのか

筆者は日本の個人情報保護のビジネスは20年していますが、日本の大手のマスコミは個人情報保護法などの法律の中身より、社会の動きや将来予想などのイメージ先行の報道傾向が感じられます。政府の改正個人情報保護法の概要をまとめた1枚資料ではCookieが関わる個人関連情報の説明が割愛されてました。（それはそれでどうなんだろうと思いますが。）

マスコミは日本が欧米のCookie規制に対して遅れているし、GDPR水準に高めなければならないから、Cookie規制くらいするだろうというマスコミの観測記事が多くありました。日本の読者も見出し情報から理解する方が多いため、「Cookie規制ね、Cookie同意バナーあれだろ」という流れだと思います。

Cookie同意技術の会社も営業としては、改正個人情報保護法のために導入しましょうとは言うでしょうし、Cookie同意バナーが表示されるのは、「プライバシー保護意識があるアピール」になると思います。

グローバルサービスならばCookieの同意の取得は必須

EU居住者が利用するサービスの場合はGDPRの義務違反の制裁の恐れがあるため、Cookie同意やプライバシーステートメントでCookieの種類の説明などをおこないましょう。グローバルサービスを考えるならばCookieの同意バナーの搭載をおすすめします。

Cookieの同意取得バナーをどうするか？

日本人向けのサービスでCookie同意バナーを採用するとプライバシー対策を実施していることをアピールできますが、マーケティング部門は行動ターゲティング広告やアフィリエイトの効果計測の同意を得られない方の計測ができなくなります。ユーザーはマーケティングに利用されることにストレスを感じる方がいたり、広告などはメリットを感じないため拒否することがあります。

必須Cookieは同意していただき広告はオプトアウト手段を用意

Cookieの同意取得バナーでは、ログインや買い物籠などの基本機能に必須のファーストパーティは、同意をいただくしかないとしてCookie同意バナーで説明ができます。マーケティングやアクセス解析は拒否のボタンもしくはプライバシーステートメントでのオプトアウトの手段を用意しましょう。

オプトアウトは米国の発明

契約社会では事前の意思確認が重要です。欧州は高い人権意識や信用の低い社会でオプトインがとられています。個人情報の取り扱いの同意は手間がかかります。

米国では、同意の取得がないが嫌なら止めれるオプトアウトが発明されました。拒否したい方の権利を行使することで事前同意がなくても権利侵害がそれ以上にされないものです。DMのような業種は第三者提供の特例として同意なしで利用して拒否を行うオプトアウトの対応がみとめられています。

個人情報を広告などのマーケティングに利用する場合は、嫌な方が拒否する手段としてオプトアウトを提供します。米国では広告ネットワークのオプトアウトは一括でできる仕組みがあります。拒否されるかもしれないがやりたいことをすすめることができるすごい発明です。ただし、オプトアウトは拒否の権利でオプトアウトしないかったかたが同意したわけではありません。

広告のように同意がとりにくいもので嫌な方の拒否する権利を用意しておくというバランスがとれているものでもあります。オプトアウトは相手の拒否の意思がなければ、こちらの利用目的を強制するという手法なので、プライバシー問題にはなりやすい手法です。

広告などのオプトアウトは別ページに設置

Cookieの同意バナーを採用しなくても、クッキーポリシーというページをつくる方法があります。クッキーポリシーは、cookieの利用に関する利用方針で今の時代は方針よりも具体的な声明のほうが良いと思うのでプライバシーステートメントのCookieの章で行動ターゲティング広告の種類とオプトアウトの方法を明記が良いと思います。

プライバシーステートメントをユーザーに馴染みがある表現としてプライバシーポリシーというタイトルのままの企業もあるので、クッキーポリシーもその考え方であえて利用する方法もあります。

行動ターゲティング広告やアフィリエイトなどを利用している場合には、個別のサービスのオプトアウトを列記します。そうするとユーザーが信頼している広告会社はオプトアウトをしないとか、アフィリエイトはしないとか選択することができるので、ブラウザによる3rdパーティークッキーの全拒否よりはましだと思います。

Cookieの一括の同意は少し問題

Cookie同意バナーでCookieの種類に応じた個別の同意確認ができる機能的なものがあるためそれを採用しても良いと思います。Cookieの全部の同意をするかしないかはちょっと乱暴かもしれません。

ウエブサイトのログインなどのユーザー利用と企業のマーケティング利用は利用目的が別なので後者は拒否できなければ、「うちのサービスを利用するにはマーケティングの同意が必要」ということになってしまいます。これらはGDPRでも利用目的がその他を内包させることが問題とされています。

同意の仕組みに問題があるケース

Cookie同意バナーで拒否をしているにもかかわらずCookieを配布するのは問題です。また、同意の意思確認にはその他の選択肢が必要となるため同意ボタンのみしかない仕様は問題があります。

あるバナーではCookie配布をすると表示して「別ページへ遷移すると同意したものとみなす」という方法がありますが、オプトアウトの方法であるのでCookieオプトアウトバナーですね。日本ではCookie同意の義務がないので問題ないですが、違和感を感じる人はいらっしゃると思います。

GA4のアクセス解析を必須とするのは本来おかしいですが（当社）

Cookieの利用目的が必須であるのはウエブサイトのデザイン維持やログイン機能や買い物かごなどのユーザーの利用目的に適う内容を指します。当社のウエブサイトのCookieのコントロールをしようとしたところ現在の仕様でGA4のCookieの制御が技術的にできませんでした。

アクセス解析の利用目的はユーザーに必須とするのは問題なのですが、掲載時点でGoogleアナリティクス4の仕様でSTEKWIREDのページのCookie同意バナーでコントロールが実装できない事態がありました。

そのため、アクセス解析用のクッキーを必須としてCookie同意バナーで明示し、プライバシーステートメントでのオプトアウトを公表しています。本来はアクセス解析はユーザー閲覧とは別利用なので同意が必要な機能であるため、同意なしで配布できない仕様に改善を進めています。

• EU経済圏が含まれるならCookie同意バナーが必要

• 日本向けのサービスであればCookie同意バナーはなくてもかまわない

• プライバシーステートメントで行動ターゲティング広告などのオプトアウトは必須

もうすぐCookieレス時代に

Cookieの未来はGoogleが握っている

インターネットの発明から31年、インターネットのブラウザが長い間Cookieを利用してきましたが今後の利用するかどうかもブラウザを開発する企業次第です。検索エンジンがGoogleであるため、Googleがこれからの時代に検索に優先されるウエブサイトの仕様を決めることができますし、ユーザーが利用するブラウザでCookieを今後も利用するかどうかが決まります。

ユーザーの追跡と行動情報収集につかわれたCookieも世の中に悪印象をもたれている用語になっているため、Cookieを廃止して新たな技術を導入させる選択肢があります。近年、Cookieレスブラウザの開発をGoogleが進めています。

Cookieレスのブラウザ

広告用のCookieがオンライン行動をストーキングするのが問題となっているだけで、買い物籠やログイン管理にCookieを利用することを問題とする意見はありません。そのため、ウエブサイトのドメインのファーストパーティのCookieはやめる必要はないため、Cookieレスは別ドメインの3rdパーティークッキーを扱わないことを指す場合もあります。

オンライン識別子はCookieでなくてもGDPRの対象となるため、個の識別しないグループ属性を掛け合わせて、広告ができる仕様も検討されているようです。

Cookieレスでも広告効果がある広告

Cookieレスは、ユーザーのセッション管理をしないわけでも、広告をしないわけでもありません。追跡型広告が3rdパーティークッキーを利用した仕組みであるためGoogle以外の企業も巨大な広告マーケットから収益をあげています。

市場成長が鈍化した場合にはシェアの獲得が売上獲得の手段となります。Cookieの技術を利用しない広告手法ができれば、広告主の取り込みも可能になります。プライバシーに配慮しているが、ユーザー嗜好から広告効果が見込めるGoogle広告が提供されるかもしれません。

Cookieレス技術でオンライン広告会社に打撃も

iPhone14から搭載されたsafariでCookieサイトを超える追跡ができない仕様が導入されていますが、これがandroidやPCもCookieレスのブラウザと検索される最適化によってCookieが使われなくなると各国の広告ネットワークの事業者や成果報酬型事業者は打撃を得ることになるでしょう。

Cookieレスのブラウザでも設定で利用ができるような代替手段であったり、その他の広告IDの利用などの対応はすると思います。デジタルマーケティングをしているウエブサイトはブラウザの新しい仕様に合わせることになります。

GoogleのCookieレス2024年の実現なるか

Cookieレスのブラウザとなってもデジタルでの広告で利用するならばそのプライバシーについての透明性とユーザーへの説明責任やオプトアウト権利が必要であることは自明です。googleが2024年の後半にCookieレスを実現させる計画であったため、そうなれば対応が必要ですが、いまは静観すれば良いのかもしれません

• Cookieレスのブラウザの開発がすすめられている

• 3rdパーティーCookieが使われなくなる可能性がある

• Cookieレスであっても広告効果のある代替技術がつかわれる

• Cookieレスのブラウザで広告会社に影響がでるかもしれない

ポジション別のアドバイス

代表者や役員の方

これをお読みになっている方が経営者であった場合には、Cookie同意バナーの自社サービスへの採否にこだわりがなければ、ウエブサイト運営部門に任せても良いと思います。デジタルマーケティングを採用している場合には、プライバシーステートメントでのオプトアウトは必要な機能なので、「オプトアウトはできるようにしておくこと」という指示をしてくだくことをおすすめします。

• ウエブサイトが会社ＰＲツールで個人情報収集をしていない場合

ＩＴ業界でなければデジタル社会の対応でもウエブサイトが会社概要などの情報公開の目的での利用が一般的です。ウエブサイトで問合せ以外の個人情報の収集をしていない場合、アクセス解析のみしかCookieを利用していない場合は、あえてCookie同意バナーを採用して、プライバシーステートメントでアクセス解析のオプトアウトを明記すると、プライバシー保護の進んだ会社のイメージを与えます。個人情報の収集がすくないとプライバシー侵害要素がないので、少ない要素のなかCookieの同意を取得するのは丁寧な対応だからです。

• ウエブサイトでデジタルマーケティングをかなりしている場合

自社サービスにデジタルマーケティングで行動ターゲティング広告を採用すると数百ものcookieを扱っています。プライバシー保護より利益重視であることは明確です。Cookie同意バナーでたずねるボリュームじゃないような印象を与えるような気がします。プライバシーステートメントで行動ターゲティング広告のオプトアウトの権利を担保して、最低限のマナーはあるぞとみせたほうが良いですね。

ウエブサイト部門の方

これを読まれた方がウエブサイトの部門の方であった場合、ウエブサイト運営部門は、Cookie同意バナーを採用するかどうかはどちらでも構いません。Cookie同意バナーを採用するのであれば、同意の仕組みやコントロールがきちんとできるようにしましょう。Cookie同意バナーがなくても、行動ターゲティング広告を使っている場合にはプライバシーステートメントでオプトアウトの公表をしましょう

• ウエブサイトが会社ＰＲツールで個人情報収集をしていない場合
  ウエブサイトのリニューアルなどでGDPRの対応をするなどの社内のコンセンサスがとれる場合にはCookie同意バナーを採用して、プライバシーステートメントでアクセス解析のオプトアウトを明記すると、プライバシー保護の進んだ会社のイメージを与えます。個人情報の収集がすくないとプライバシー侵害要素がないので、少ない要素のなかCookieの同意を取得するのは丁寧な対応だからです。

• ウエブサイトでデジタルマーケティングをかなりしている場合
  自社サービスにデジタルマーケティングで行動ターゲティング広告を採用すると数百ものcookieを扱っています。利用している広告会社でCookieによるスパイなどの犯罪性があるものや広告ネットワーク先に脱法的なサイトがあるものなどが含まれていないか確認しましょう。ユーザーはその気になればその場でCookieを調べることができます。冷静に考えてみて数百のCookieの同意を進めるのもどうかと思うので、。プライバシーステートメントで行動ターゲティング広告のオプトアウトの権利を担保して、最低限のマナーはあるぞとみせましょう。

広告代理店・ウエブ制作会社の方

これを読まれた方が、広告代理店やウェブサイト制作会社などでウェブサイトリニューアルの制作の案件がある場合には、クライアントへのサービス品質向上のためGDPR対応を企画し、Cookie同意バナーは、クライアントの担当部門の方の意欲があれば採用するので良いと思います。

Cookie同意バナーを採用するならば、同意が不十分なものなどになると受託者の責任が発生するので、やるとなればきちんとしたCookie同意バナーのサービスや開発をしましょう。
クライアントのサービスがユーザーから見てプライバシー侵害のストレスを感じるものであるかどうかを確認しましょう。

• 広告代理店として行動情報の分析と行動ターゲティング広告の出稿が多い場合には、プライバシーステートメントで行動ターゲティング広告、アクセス解析、CRMツールなどのオプトアウトの公表の必要性を伝えましょう。

• クライアントが行動ターゲティング広告やマーケティングツールの利用をしていない場合で、それらの提案をする場合には、Cookie同意バナーで同意をとるビジネスが継続成長になりますので、採用をすすめましょう。

広告代理店もウエブ制作会社でリニューアルの相談を受けている場合には、クライアントサイトがプライバシー保護の対策の実施ができていない場合にはＧＤＰＲを提案しましょう。サイトリニューアルの提案のオプションでCookie同意バナーなどの対応を提示すると競合他社からはないアプローチになると思います。STEKWIRED　PRIVACY　Divisionにご相談いただければ、実務は全てこちらがおこない、広告代理店・ウエブ制作会社経由の請求で対応します。サイトリニューアルそのものSTEKWIRED　CREATIVEがデザインおよび運用も担当します。

ウエブサイトの個人情報の責任がある方

自社のウエブサイトで行動ターゲティング広告やマーケティングツール、アクセス解析などのCookieの取り扱いに不安がある方については、当社のプライバシー支援部門がオンラインで個別相談会を実施しますので、ご相談内容をお送りください。オンラインにてご相談をお受けします。

Cookieでの行動ターゲティング広告に関連した話ですが、海賊サイトなどに広告が掲載されることの問題もあります。広告主のブランド価値が下がることと、海賊サイトを支援していることになるためそのような媒体に出稿してないかマーケティング部門が管理をしたほうが良いです。

note読者法人向け　プライバシーリスク個別相談会

note読者法人向け　プライバシーリスク個別相談会フォーム

note読者法人向け　プライバシーリスク　メール相談

note読者法人向け　プライバシーリスク　メール相談フォーム

一般ユーザーの方

当社では一般ユーザーの方向けの支援をしていないので個別のアドバイスを行うことができませんが、お読みいただいたご縁がありましたので少しだけ。
Cookieはログイン管理やショッピングなどに必要な機能があるので自分に必要なものは同意をしないと不利益になります。追跡をする広告はCookieの同意バナーやクッキーポリシーやプライバシーポリシーやプライバシーステートメント、外部送信に関する公表などにオプトアウトしているサイトが増えていますので、信頼できないと感じたものはオプトアウトをしましょう。オプトアウトのページがないサイトの場合はブラウザでブロックが効きます。

次の記事はこちら