見出し画像

今さら聞けない、Cookie規制の概要

ウェブ解析士協会 WACA【公式】

今週もウェブ解析士のnoteをご覧いただきありがとうございます。
近年、プライバシー保護に対する重要性が高まり、日本国内でもCookieに関する規制が強化されています。今年(2023年)の6月に施行された改正電気通信事業法でも、Cookieデータを含む利用者に関する情報を第三者に提供する場合に一定の制限を設けることになりました。Cookie規制の動向をおさらいしていきましょう。


Cookieとは

Cookieはブラウザごとに記録される小さなファイルのことです。最大で4,096バイトのデータを保存できます。保存される情報は、最後にサイトを訪れた日時や訪問回数などがあり、ウェブビーコン型アクセス解析では、ユーザーの識別、ユニークアクセス・セッションの測定に使われることがあります。
「ブラウザごとに記録される」ものなので、同一人物であってもスマホとPCのように端末が変わったり、ChromeとSafariのように異なるブラウザを利用すると、それぞれ別のユニークなCookieが付与されるため、データ識別状は別人物となります。

Cookieの概念図 出典:『ウェブ解析士認定試験公式テキスト2023』

1stパーティ・3rdパーティ

Cookieは発行元によって2種類に分類されます。
一つがファーストパーティCookieと呼ばれるもので、ユーザーが閲覧リクエストを送ったドメインが発行するものです。発行元のドメイン以外からは参照することができません。ドメインを跨いでの付与もできません。ウェブサイトへのログイン状態の保存やECサイトでカートの状態を保存する際などに利用されています。
もう一つは、ユーザーが閲覧リクエストを送ったドメインと異なるドメイン(第三者)が発行する、サードパーティCookieと呼ばれるものです。こちらの場合、サイトを跨ってCookieを付与することができます。この特性を活かして、広告配信サービスやアクセス解析ツールなどで利用されています。

法律によるクッキー規制

海外の規制

2018年にEUで施行された「EU一般データ保護規則」(General Data Protection Regulation:GDPR)では、で、Cookieをはじめとする電子通信端末装置の読み書き機能を利用する場合、利用者の同意を取得が義務付けられました。

日本国内の規制

日本国内では2022年4月に施行された改正個人情報保護法により、「個人関連情報」という概念が導入されました。。「生存する個人に関連する情報であって、それだけでは個人を特定できないものの、個人情報と紐付けたり、第三者に提供したりすると個人情報として利用できる情報」を指し、Cookieもこれに当てはまります。そして、「本人の同意などが得られていることを確認しないで、当該個人関連情報を提供してはならない」と規制されることになりました。
また、2023年6月に施行された改正電気通信事業法では、主にサードパーティーCookieを活用する場合を念頭に規制が設けられています。規制の対象は、電気通信事業法に基づき届出等をした電気通信事業者と、政令で定める電気通信役務(オンラインサービス等)を他人の需要に応ずるために提供する事業者で、Cookieデータを含む利用者に関する情報を第三者に提供する(外部送信する)場合、以下の3つのいずれかに対応することが義務付けられました。

  1. 所定の事項に関連する情報を事前にユーザーに通知・公表する

  2. 事前にユーザーの同意を取得する(オプトイン)

  3. 後から拒否できる仕組み(オプトアウト)を導入する

企業によるCookie規制への対応

Appleによる対応

Apple社は「ITP(Intelligent Tracking Prevention)」と呼ばれる、ユーザー
行動のトラッキング防止によってユーザーのプライバシーを保護するための機能をiOSやmacOSのSafariに実装しています。これは、トラッキングを目的にしたCookieやローカルストレージの保管期限を短縮し、削除する機能です。これにより、トラッキング目的のCookieは、ファーストパーティであっても7日間で自動削除されるようになりました。
長期間のCookie保存ができなくなったため、リピーターであってもCookieがないために新規ユーザー扱いになる、広告をクリックしたあと間接的なコンバージョンがあったはずなのに測定できないといった問題が表出しています。

Googleによる対応

個人を特定する規制が厳しくなる中であっても、広告主が無駄な広告コストを削減するために、トラッキングの要望はなくなりません。Googleはこの要望に応えながら、個人の特定をできないようにするプライバシーサンドボックスというプロジェクトを始めています。
プライバシーサンドボックスでは、広告サーバー内で行ってきたユーザーデータの一部の処理を、ユーザーのデバイスで行うための手法です。これによってユーザーの個別の端末情報ではなく、属性付けされたあとの集計データのみを利用可能となります。つまり個別の端末を特定することなく、広告配信の最適化を実現する手法です。
また、Googleは来年(2024年)の後半にはChromeのサードパーティCookieの段階的な廃止を開始すると予告しています。

まとめ

以上、Cookie規制の動向についてご紹介しました。プライバシー保護の重要性が高まる中、法律の改正などにも注意していきたいですね。また、ウェブ解析においても注意が必要です。正しくセッションを測定できない、広告配信においてターゲティングが難しくなるなどの影響が想定されます。
一方で、対応策も進化しており、新しい技術が取り入れられるようにもなってきています。常に最新の情報をキャッチアップしていきたいですね。

あとがき

通信技術の進化や、それに伴う規制の強化などは本当に目まぐるしく変化していますよね。最新の情報を追いかけるだけでも苦労します。その点でも、ウェブ周りの最新情報に触れることのできるウェブ解析士コミュニティは優秀だなぁと思います。特に、「中の人」はフリーランスで活動しているので、一人で情報のキャッチアップから精査までしている余裕はないので助かっています。
ちょっと今週は堅い感じの記事になってしまったので、来週のネタは軽めのものを探しておきますね。
それではまた来週お会いしましょう。

この記事が気に入ったらサポートをしてみませんか?