どの業界にもあるように、マーケティング業界にも数多くの専門用語があります。日常生活では耳にする機会がないこともあり、ふんわりとした理解のまま、その用語を使っていることもあるのではないでしょうか。

今回、解説する「Cookie規制」とは、Webブラウザの閲覧履歴などの情報を示す「Cookie（クッキー）」技術がプライバシー侵害につながるとの指摘から、Cookieの利用を規制するために国やそれに準ずる機関が法整備を進めている現象のことです。今何が起きているのか、具体的に見ていきましょう。

便利だが、際限なく利用されすぎていたCookie

Cookieとは、PCやスマートフォンでWebサイトを閲覧したときに作成されるファイルのことで、Webサイトへの訪問回数などの情報をサーバー情報と紐づけるために利用しています。例えば会員制Webサイトにログインし、その数日後に同サイトを訪問してもログイン状態を維持できているのは、Cookieのおかげです。

また会員登録をしていないECサイトで、とりあえず気になる商品をカートに入れておいた状態でWebサイトから離れても、再訪時にカートの中身が消えずに残っているのも、やはりCookieを利用しているからです。

Webブラウザ利用状態の判別、それに紐付いた表示内容調整のための技術がCookie、と捉えれば良いでしょう。

このようにCookieは大変便利な技術です。使い方はいくつかあり、各Webサイト（ドメイン）単位でサイトの運営者自身が発行する「ファーストパーティCookie」や「サードパーティCookie」については、その利用に特段の問題はないとされています。

一方で多くのWebサイトには、各Webサイトが直接公開している内容以外に、広告やSNS共有のためのボタンなど、さまざまなコンテンツが埋め込まれています。その結果、サイトとは直接関係のない第三者のCookie、つまりサードパーティCookieが各ページに数十個単位で存在するのはよくある話です。

そして、このさまざまなコンテンツに対して、閲覧しているWebサイト運営者以外が発行するサードパーティCookieについて、メリットがあったものの弊害も出始めました。

サードパーティCookieはさまざまなWebサイトで発行できるため、複数のWebサイトのCookie情報を組み合わせることで、ユーザーの情報をCookie設置者が簡単に把握できてしまいます。

例えば朝起きてチェックするニュースサイトや、買い物をするオンラインショップ、飲食店を探すグルメサイトなどに同じ事業者のサードパーティCookieが設置されていた場合を考えてみましょう。

「このユーザーはどんなニュースに興味があり、普段どんなものを買っていて、どのエリアの飲食店を利用しているか」という日常の行動がすべて分かってしまいます。

つまりユーザーにとっては一つのWebサイトを利用しただけのつもりが、知らないうちに複数の事業者に自分の情報を提供する状況を作っているのです。サードパーティCookieを使うことでユーザーにとってより興味のある広告が表示されるようになった反面、この状況は自分の情報の利用状況を把握し、自らコントロールするべきというプライバシーの基本理念を踏まえれば、好ましいものではありません。こうした経緯のもと、サードパーティCookieの利用について制限されるようになりました。

日本国内法での規制は2022年4月から本格化

こうしたCookieの規制は2010年代後半頃から本格化し、現在は世界的な潮流となりました。日本も例外ではありません。インターネット上で宣伝やマーケティングなどを行う企業にとっては、Webサイトにアクセスしてきた顧客の特定がしづらくなるため、手法の見直しを検討しています。また、Webブラウザの開発企業によって自主規制的にCookieを排除する流れも顕在化しており、これもまたCookie規制の一種と考えて良いでしょう。

日本国内における法的Cookie規制の端緒は、2020年6月に成立した改正個人情報保護法です。Cookieによるデータの収集と利用に対して「ユーザーから明示的な同意を得る必要がある」と、事業者側に義務づけました。2022年4月からは法律としての運用が実際にスタートし、初めて訪れるWebサイトでCookie利用に関する確認メッセージがポップアップ表示されるようになったことを、多くの読者が経験しているかと思います。

この個人情報保護法によって、Cookie利用には一定の法的保護が入りました。しかしWebサイトによっては「同意しないとそのWebサイトの使い勝手が悪くなるため、同意することが半ば強制される」との指摘もあります。

そして2023年6月からは、Cookie規制がもう一段階進みました。改正電気通信事業法に基づいたCookie規制です。ここでは「外部送信規律」という概念のもとで、Cookieを規制します。

具体的には、4つの事業類型が設けられており、それらに該当する事業者がCookie情報を外部送信するにあたっては、一般ユーザーに一定の情報提供を行うなど、法律で規定された措置をとることが義務づけられたのです。この結果、どんな情報を収集し、外部に送信するならどんな目的なのかをより明確に示す必要が出てきました。

なお改正電気通信事業法の対象は、必ずしもCookieだけではありません。Cookie以外の方法で外部にデータを送信する仕組みも規制しています。

EU圏の「GDPR」など、Cookie規制は国際的潮流に

世界的にCookie規制の潮流を決定づけたのは、EU（欧州連合）による「GDPR（General Data Protection Regulation：一般データ保護規則）」です。2016年5月に発効し、2018年5月から適用しています。EU圏の規則ではありますが、インターネットに国境はない以上、日本企業でもGDPRへの対応は必須。このGDPRでは、氏名やメールアドレスの他にCookie自体も個人情報とみなし、厳密に保護しています。

米国では「CCPA（California Consumer Privacy Act：カリフォルニア州消費者プライバシー法）」がよく知られています。米国50州の1つでしかないカルフォルニア州だけの法律ではありますが、国境のないインターネットの特性を考えれば、同州以外にも世界へ広く波及しているのが実情です。

法規制の流れとは異なりますが、iPhoneの標準ブラウザ「Safari」では、Cookieをファーストパーティやサードパーティといったカテゴリよりも細分化し、一層ユーザーのプライバシーを守るための制御をする「ITP（Intelligent Tracking Prevention）」という仕様を2017年に盛り込んでいます。さらにGoogleのブラウザ「Chrome」も、サードパーティCookie廃止の方向で動いており、2024年後半以降に順次廃止する見込みです。

国内、国外の動向を踏まえれば、Cookie規制は一過性のものではなく、今後より広がっていくことでしょう。マーケティング部門の担当者などからみれば、ターゲティング広告の成果に懸念があるかもしれませんが、お客様のプライバシーを守りながら、価値ある製品やサービスを提供することが、これからの企業に求められています。