Cookie規制とは、Cookieが保存するユーザーの個人情報の利用を制限する動きです。
デジタル化社会における個人情報保護の観点などから、法規制やブラウザの自主規制によるCookieの利用制限は今や世界的な動きとなっています。
規制の対象になるのはおもにサードパーティーCoookieで、デジタルマーケティングを行う多くの企業に影響があり、規制の内容を正しく理解することが重要です。
日本では2022年4月に改正個人情報保護法が施行、翌2023年6月には改正電気通信事業法が施行され、Cookie規制の動きが本格化しています。
本コラムでは、Cookie規制の概要とWebマーケティング(Web広告)への影響、企業に求められる対応と具体的な対策について解説します。
目次
Cookie(クッキー)規制とは、ユーザーがホームページにアクセスした際に、そのホームページの運営者が取得するユーザー情報の利用に制限を設ける動きです。
Cookieの利用制限は法律による規制やブラウザの自主規制によって行われます。現在では個人情報保護の観点から世界各国でCookie規制が推進され、デジタルマーケティングに多大な影響を及ぼしていると言われます。
ここでは、Cookieの概要や何がどのように規制されるのか、それに対し企業側はどのような対策を講じるべきかについて解説します。
Cookieとは、ユーザーがWebサイトにアクセスした際に入力した情報を、Webサーバーがクライアントコンピュータに付与するテキストファイルのことです。
CookieにはユーザーのログインIDやアクセス履歴などの情報が一次的に記録されます。これにより、Webサイトのアクセス時に入力した情報を再入力しなくても再度ログインできるなど、ユーザーの手間を省いて利便性を高める機能です。
Cookieには「ファーストパーティーCookie」「セカンドパーティーCookie」「サードパーティーCookie」の3種類があります。
ここでは「ファーストパーティーCookie」と「サードパーティーCookie」についてご紹介します。両者は「Cookieの発行元であるドメインはどこか」によって分類されます。また、Cookie規制の対象となるのはおもに「サードパーティーCookie」です。
ファーストパーティーCookieはWebサイトの訪問先のドメインが直接発行するCookieです。Webサイトにアクセスしたユーザーのログイン状態や入力した情報を保持するため、また、ユーザーの行動を追跡するために利用されます。
ユーザーにとってのメリットは、自分がよく閲覧するホームページに自動でログインできたり、ショッピングカートの中に欲しいものを入れたまま他の商品の購入を検討できたりする点です。ホームページの運営企業側からすると、いったん「保留」にされた商品を後で再度検討してもらえる点がメリットです。
デメリットは個人情報をWebサイト運営者に預けなければならない点です。また、利用するデバイスやブラウザが変わると、実際には同一のユーザーであっても別のユーザーであると認識されてしまう点もデメリットと言えるでしょう。
サードパーティーCookieは、第三者のドメインが発行するCookieです。ここで言う第三者とは、ユーザーがアクセスしたWebサイトに広告を掲載している広告代理店などを指します。
たとえばユーザーが天気予報のWebサイトを閲覧した際にサイドバナーに不動産の広告が表示されている場合、天気予報のWebサイトの運営企業からユーザーのブラウザ宛に直接発行されるのがファーストパーティCookieで、不動産のバナー広告を配信している広告配信事業者(第三者)から発行されるのがサードパーティCookieです。
そのように1つのWebページで複数の企業が情報を配信している場合、Cookieも2つ以上作成されることになるのです。
サードパーティーCookieは複数のWebサイトにアクセスしたユーザーの行動を追跡し、そこから得た情報をさまざまなデータと紐づけます。
たとえばユーザーがあるECサイトで商品を購入すると、別のWebサイトを閲覧しているときに類似商品の広告が表示されます。
これはサードパーティCookieがユーザーの情報を別のWebサイトに共有したために起こる現象で、このようにして表示される広告をリターゲティング広告と呼びます。
サードパーティーCookieでは第三者がCookieを発行してくれるため、運営企業側にとってはドメインに負荷がかからない点がメリットです。一方でユーザーのプライバシー保護の観点から問題視され、現在では多くのブラウザでサードパーティーCookieの利用が停止されています。
なお、「セカンドパーティーCookie(2nd Party Cookie)」とは、他社のWebサイトで発行されたファーストパーティーCookieのことです。たとえば自社のWebサイトで発行したファーストパーティーCookieを提携企業のWebサイトに共有する場合、共有されたCookieは提携企業側からするとセカンドパーティーCookieとなります。
Cookieは従来、本人の同意無しに第三者に提供されることが認められ、ユーザーの行動を追跡し属性を分析することで、広告配信を中心としたデジタルマーケティングに広く活用されてきました。しかし、サードパーティーCookieのプライバシー侵害問題が顕在化するにつれ、個人情報保護の観点からその利用が問題視されるようになりました。
顕著な例が2019年に起こった大手人材紹介会社の内定辞退率提供事案(いわゆる「リクナビ問題」)です。政府は個人情報保護法を改正し、Cookieの利用に関して2022年4月より次のように規制を設けました。
法令により、Cookieの利用に際してユーザーの同意取得と管理が求められることとなり、企業は対応を迫られています。
個人情報やプライバシーの保護を重視する動きは日本国内に限らず、欧米をはじめとして世界各国でユーザーの同意無しにCookieを利用することが禁止されています。
ここでは国内外でのブラウザによるCookie規制と、法律によるCookie規制についてご紹介します。
Googleは2024年後半までに「Chrome」でのサードパーティーCookie利用を段階的に廃止する可能性があると発表しています。当初は2022年1月までに廃止すると予告されていたところ、2023年の後半に開始と延期され、さらに2024年へと延期されたものです。
ChromeのサードパーティーCookieの利用廃止がこのように先延ばしされる背景には、サードパーティーCookieを利用できなくなるとGoogle自身の広告にも多大な影響が出ると懸念されていることが考えられます。
GoogleはChromeのプライバシー設定により、ユーザーが閲覧履歴データの削除やCookieとトラッキングの取り扱いの管理を行えるようにしています。
iPhoneのiOSおよびMacに標準搭載されているブラウザであるApple社のブラウザ「Safari」では、2017年にサードパーティーCookieの利用が廃止されています。
2017年にはユーザーのプライバシーを守るITP(Intelligent Tracking Prevention、iOS11から「Safari」に搭載されたサイトトラッキング防止機能)のバージョン1.0が発表され、サードパーティーCookie規制を実施しました。ITPはその後バージョンアップを重ね、規制の内容はより厳格になっています。
これらの他、Firefox(Mozilla)では2022年6月、プライバシー保護機能をデフォルトで有効にすることを発表しています。Microsoft社の「Edge」でも追跡防止機能によりプライバシー設定を行えます。
EU(欧州連合)では2018年に、個人データやプライバシーを保護するGDPR(General Data Protection Regulation、EU一般データEU一般データ保護規則)が施行され、EEA(欧州経済領域)において取得した個人情報をEEA以外に移転することは原則禁止とされています。
GDPRにおける個人情報とはユーザーの氏名やメールアドレス、クレジットカードなどの情報を指し、行政罰既定のため違反すると法的な罰が科される場合があります。GDPRの施行はEU以外の各国にも影響を及ぼし、Cookie規制の動きが高まるきっかけとなりました。
また、米国のカリフォルニア州では、個人情報を保護する制度として2020年1月よりCCPA(California Consumer Privacy Act、カリフォルニア州消費者プライバシー法)が施行されています。
CCPAは市民の権利を定めると同時に、消費者の個人情報を収集・利用する民間企業に対して情報を適正に管理する義務を定めた法令です。
参考:
EU(外国制度):GDPR(General Data Protection Regulation:一般データ保護規則)(個人情報保護委員会)
外国制度(アメリカ合衆国)(個人情報保護委員会)
日本でCookie規制が本格化した背景には、改正個人情報保護法の施行(2022年4月)と改正電気通信事業法の施行(2023年6月)があります。
2022年(令和4年)施行の改正個人情報保護法では、仮名加工情報・個人関連情報といった概念が新設され、個人データの第三者提供について本人の「同意」を要するケースが規定されました。また、2023年6月施行の改正電気通信事業法では外部送信規律(「Cookie規制」とも呼ばれる)が新設され、規制の対象となる事業者が拡大しました。
いずれもリターゲティング広告をはじめとした企業のデジタルマーケティング活動に大きな影響を及ぼす法律だと言えます。それぞれのポイントを確認しましょう。
改正のポイントとして、「個人関連情報」という概念が新設されました。個人関連情報とは厳密には個人情報に該当しないが個人情報の取得につながり得る情報であるとされ、Cookieもこれに該当します。
「個人関連情報」にはCookieのほか、IPアドレス、端末固有ID、位置情報、閲覧履歴、購買履歴などが該当し、これらの個人関連情報を第三者に提供し、個人情報と紐づける場合には、ユーザー本人の同意が必要であると規定されています。
Cookieに関しても、Cookieの取得そのものには問題は無いが、提供先で個人情報と紐付けるにあたってはユーザー本人の同意が必要になりました。なお、本人の同意の取得が義務付けられているのは、Cookieの提供元ではなく提供先です。
ユーザー本人の同意を得る方法には、ホームページ上に「Cookie使用についての同意」と記載したポップアップを表示することなどがあります。
個人情報に関する個人の権利・利益が拡充される一方で、企業が違反した場合の罰則は厳格化しています。
2022年6月に公布され、2023年6月に実施された改正電気通信事業法では、ユーザー情報の適正な取り扱いに関する規律の一環として「外部送信規律」が新設されました。
「外部送信規律の対象となる電気通信薬務」は次の通り規定され、対象となる企業や事業者はサードパーティCookieデータを含むユーザー情報を第三者に提供する場合、ポップアップの表示などにより事前にユーザーの同意を得ることや、後から同意を拒否できる仕組みを構築することなどの対応が義務付けられています。
●以下のサービスで、ブラウザ又はアプリケーションを通じて提供されるもの。
- 利用者間のメッセージ媒介等
- SNS・電子掲示板・動画共有サービス、オンラインショッピングモール等
- オンライン検索サービス
- 各種情報のオンライン提供(例:ニュース配信、気象情報配信、動画配信、地図等)
Cookie規制のもとでは、企業は高精度にユーザーの行動を追跡し、心理を分析することが難しくなります。デジタルマーケティングに及ぼすおもな影響は次の通りです。
リターゲティング広告とは、自社のWebサイトに訪問した履歴のあるユーザーを追跡し、広告を表示させる手法です。サードパーティーCookieの仕組みを利用しているので、サードパーティーCookieの利用が制限されれば当然、制約を受けることになります。
リターゲティング広告は自社の商品やサービスに興味・関心のあるユーザーにアプローチでき、高い広告効果を望めると言われます。そのような広告を出すのが難しくなれば、企業のマーケティング活動は大きな打撃を受けるでしょう。
広告の収益状況によっては、企業はリターゲティング広告に代わる新たな広告戦略を立てる必要があります。
コンバージョン(数)とは、自社のWebサイトがどの程度目標を達成できているかを示す指標です。たとえばWebサイトが目標に設定しているアクションが「購買」であれば、ユーザーが商品・サービスを購入した場合にWebサイトがコンバージョンを獲得したことになります。
デジタルマーケティングにおいてはこのコンバージョンを正確に設定し、コンバージョンの獲得数(数値)をつねに正確に測定することが不可欠です。
Cookie規制によってコンバージョン計測の精度が低下すると、企業は適切なマーケティング戦略を打てなくなり、多大な影響を受けます。
Webマーケティングを行う企業やWeb担当者が行うべきおもな対策についてご紹介します。
Cookieを利用しないおもな広告手法としてコンテキストターゲティング広告(コンテキスト広告)やGoogleファインド広告があります。
コンテキスト広告は、Webページ内の文章やキーワード、画像などをAIが自動的に解析し、その文脈(コンテキスト)に沿った広告を配信する手法です。AIのテキストマイニング機能(自然言語解析による手法)により、有益な情報を抽出します。
広告配信のもととなるデータはAIがWebページを解析した結果であり、サードパーティーCookieのようにユーザーの行動履歴を追跡することはありません。
また、Googleファインド広告ではGoogleにログインしたユーザーの検索履歴や閲覧履歴などをもとに広告を配信するため、今回のCookie規制の影響を受けません。
SEO対策やコンテンツマーケティング(企業ブログなど)、SNS集客など、ユーザーの興味・関心に沿ったコンテンツをもとに「見つけてもらう」集客施策としてCookieに依存しないマーケティング施策も必要です。
Cookie規制のもとでは、ユーザーのプライバシー保護を意識した計測環境への移行が求められます。具体的には次のような措置があります。
「Googleタグマネージャー」は広告の効果測定などに利用するタグを一元管理するツールです。サーバーサイドに設置することで、ユーザー情報のセキュリティを強化するとともにタグの計測精度を高められる手法です。
FacebookもGoogleと同様、FacebookやInstagram広告においてCookieを使わない広告効果測定の手段(コンバージョンAPI)を導入しています。
コンバージョンAPIの有効性はCookieからの置き換えにとどまらず、ブラウザの読み込みエラーや接続の問題を解消し、より正確な効果測定と広告効果の向上が期待されています。
Cookie規制への対応のみならず、自社のホームページに掲載しているプライバシーポリシーが最新の法令に適応した内容になっているかをチェックしましょう。
同時に、社内および情報の提供先でのユーザー情報の利用や管理の状況を把握し、情報漏洩が発生した場合の対応手順(個人情報保護委員会への報告、ユーザー本人への通知などを誰が・どのように行うか)を整備しておきましょう。
Webサイトに訪問したユーザーに対し、Cookie利用についての「同意」を求めるための環境(たとえばECサイトなどで商品を「お気に入り」登録する際に表示されるポップアップなど)が必要になる場合があります。
まず、自社のWebサイトには事前の同意取得が必要なのか、また、同意を取得する際に明示すべき情報にはどのようなものがあるのかを確認しましょう。
「同意」の取得には専用のツールやシステムを利用している企業も多く、自社に必要な環境や要件についてツールの提供会社に相談しても良いでしょう。
CMPツール(Consent Management Platform)は「同意管理プラットフォーム」と呼ばれ、Webサイトやアプリを訪れたユーザーに対し、Cookie使用により収集する個人情報の利用目的や提供先を明示し、その「同意」の取得状況を管理する仕組みを提供するツールです。同意管理のためのポップアップは、HTMLタグの埋め込みなどで簡単に設置可能です。
ここで言う「同意管理」とは個人情報を提供するユーザーと、その個人データを利用する企業とのあいだの取り決めを表明し、それに対するユーザーの意思を法令に則って管理することを指します。
データの提供者は自分が提供する個人データがどのような企業に、どのように利用されるかを事前に把握できます。場合によっては利用方法を制限でき、「同意」した後でもいつでもその意思を変更できます。
2022年4月より施行された改正個人情報保護法では、企業はユーザーから個人データに関する開示請求を受けた際に即座に対応することが義務付けられました。また、開示方法は従来では書面の交付によるもののみでしたが、「電磁的記録の提供による方法」(メールの送信、Webサイトからのダウンロードなど)も含めて指定できるようになりました。
これにより、利用目的別・属性別の同意状況を含めた個人データの効率的に一元管理し、マーケティングにも活用できるシステムの必要性が高まり、CMPツールが注目されています。
また、個人データの扱いについては、日本の法令だけでなく、先述したEU(欧州連合)のGDPRや米国カリフォルニア州のCCPAといった各国規制への対応が求められるケースもあります。
たとえばGDPRでは、利用目的ごとの同意取得に対応する必要があります。今後の外部環境の変化にも柔軟に対応できるよう、CMPツールを選定する際には、各国のプライバシー保護法に則した設定やカスタマイズが可能であるかも参考にすると良いでしょう。
Cookieは本来、ユーザーのインターネット利用を便利にするためにあり、とくにサードパーティーCookieは企業のマーケティング施策に活用されてきました。
しかし近年、プライバシー保護の観点から世界各国でCookieの取得や利用に対する規制が強化されています。
まずはCookie規制の全体像や法令を遵守するためのポイントを理解することが重要です。Cookieの同意取得・管理にCMPツールを活用し、効率的に対策を講じてデジタルマーケティングの効果を高めましょう。
5分でよくわかる!
概要資料ダウンロード
