①Cookie(クッキー)とプライバシー
そもそもCookieとは何でしょうか?Cookieはブラウザに保存できる小さなテキストファイルです。ウェブサイトを初めて閲覧した利用者に対して、ウェブサイトがその利用者を識別する番号を渡します。その識別番号がCookieに書き込まれます。利用者の認証情報、言語やフォントの選択、買い物かごに入れたアイテム、クリックした広告、読んだ記事等、Cookieに紐づいた利用者の様々な情報が記録されます。記録は、Cookieの中に埋め込む方法か、ウェブサイト側のデータベースに識別番号と紐つけて保存する方法で行われます。
利用者が閲覧しているウェブサイト(「A」とします)が他のウェブサイト(「B」とします)の情報を埋め込む場合、Bが利用者にCookieを発行することもできます。このBが発行するCookieが、いわゆる「サードパーティCookie」です。これに対してAが発行する場合は「ファーストパーティCookie」です。
Bは複数の異なるウェブサイトにおいて、利用者1人(1つのブラウザ)に対して1つのCookieを発行することができます。ですから、利用者が沢山のウェブサイトを利用したとしても、Bは横断的にその利用者の閲覧等の情報を把握することができます。この利用者1人1人のサイト上の行動を追跡することを「クロスサイト・トラッキング」といいます。
クロスサイト・トラッキングにより、各利用者の属性が推測できます。例えば、その利用者がモーターバイクに関するサイトを多数眺めたり、モーターバイクを購入していたりすれば、その利用者はモーターバイクに興味がある、ということが推測できます。クロスサイト・トラッキングにより利用者の属性を分析し、その分析した各利用者の趣味嗜好に最も適合した広告が自動的に選択され、その利用者に表示されることが「行動ターゲティング広告(OBA)」です。
各利用者の属性が推測できる、とういことは、趣味だけではなく、自分や家族の病気、家庭内の問題、職場での悩みなど、当該利用者が他人に知られたくないと思うことも推測できてしまいます。これはプライバシーの侵害ではないか、ということから、Cookieに対して規制をしていこう、というのが現在の流れです。
②各国のCookie規制
【EU】
EU圏は特にプライバシー保護の意識が高く、日本の憲法のような存在であるEU基本権憲章第 8 条 1 項では,「何人も自己に関する個人データの保護に対する権利を有する」という規定があります。これを受け、2002年にe-privacy directive、2009年にその改正、2018年にGDPRが制定されています。EUのCookie規制が要求することは、おおまかに申し上げると「情報提供」と「同意の取得」です。「情報提供」とは、Cookie利用の主体・目的・態様を目的ごとに明確に説明すること、「同意の取得」とは、Cookie設定について事前にデータ主体から同意を取得することです。ただし、ウェブサイトの本来の機能を実装するために厳格に必要なCookie(必須Cookie)は、同意が要りません。同意が必要なCookie については、GDPRの同意有効要件に即した方法で同意を取得する必要があります。
今「Cookie規制」と申し上げましたが、Cookieだけが規制の対象ではありません。例えば、LocalStorage(HTML5)、デバイス・フィンガープリンティング、トラッキング・ピクセル等、利用者の行動を追跡して分析することが可能であれば、規制対象となります。
【アメリカ カリフォルニア州】
カリフォルニア州消費者プライバシー法(CCPA)は、事業者が取得した消費者情報を何らかの利益を得るために第三者提供するときは、消費者にそれを分かり易い場所で説明し、消費者が第三者提供を拒否できるようにしなければなりません。
【中国】
サイバーセキュリティ法のガイドラインの一つに、カスタマイズ、パーソナライズされるコンテンツ・広告の明示とオプトアウトが義務付けされていますが、このガイドラインは、まだ正式には制定されていません。
【ブラジル】
個人データ保護法(LGPD)は、プロファイリングを目的とするCookie利用を規制するとともに、年少者に対する広告ターゲティングを禁止しています。
【日本】
個人情報保護委員会から出された個人情報保護法改正大綱によれば、リクナビ事件を受けて、サードパーティCookieにより取得されるネット上の行動履歴が第三者に提供され、提供先で特定の個人と紐つける事ができる場合、個人情報保護法による第三者提供規制の対象になる可能性がありますが、これから国会で審議されるので、最終的にどのような規制内容になるのかを見極める必要があります。
「Cookie規制対応の重要ポイント」
(登壇者:IIJビジネスリスクコンサルティング本部シニアコンサルタント シュトゥルーヴェ ライマー/槙 拓也)
①Cookieバナー実装の事例紹介
今、鎌田が申し上げたように、EUであれば、EUのCookie規制に即した方法で「情報提供」と「同意の取得」を行う必要があります。例えば、Cookieの利用を説明した上で、利用者がウェブサイトの閲覧を続けたのならば同意したものとみなすことは、明確な同意を取得したとはいえません。したがって、「このウェブサイトの利用を続けることで、あなたのデバイスにCookieを埋め込むことを同意したものとします」とバナーを出して、「OK」をクリックさせるような実装はよくありません。
また、Cookie利用に同意しなければウェブサイトの閲覧ができない、いわゆる「Cookieウォール」は、同意と拒否の選択ができないので、任意性のある同意を取得したとは言い難いです。したがって、Cookieウォールとなっている実装も好ましくありません。
他方、アメリカのカリフォルニア州であれば、デフォルトでCookieを利用できますが、消費者に分かり易い場所にCookieを利用することについて説明をした上で、消費者がCookie利用を拒否できる方法を提供する必要があります。
②OneTrust社のCookie同意管理バナー
今までの話を総括すると、同じウェブページであっても、閲覧する人によって適用される規制が異なり、規制内容が異なることから、表示させるべきCookieバナーも異なってきます。
そこで、OneTrust社のCookie同意管理バナーを説明させていただきます。
まずは、OneTrust社のCookie同意管理バナーの操作説明動画をご覧ください[石川1] 。
【OneTrustツール紹介動画挿入】
ご依頼を受けたサイト(ドメイン)を入力すると、そのサイトのスキャンを始めます。スキャンによって、そのサイトが使っているCookieの内訳が示されます。内訳というのは、先ほどの説明にありました「必須Cookie」「広告目的Cookie」「アナリティクス目的Cookie」などの目的別の内訳です。スキャンが終わると、ダッシュボードにスキャン結果のサマリが表示されます。このスキャンは導入時のみならず、定期的に行われます。サイトの内容は日々変化したり、追加されたりするからです。
スキャンが終わると、CookieバナーやCookie設定画面の設定になります。ウェブページの色合いや雰囲気に合わせて、色や表示方法、会社のロゴを入れる、といった設定が行えます。[石川2] そのウェブページのプライバシーポリシーへのリンクなども設定していきます。
次に、ジオロケーションルール、すなわち国や地域を設定します。[石川3] 設定すると、閲覧者が利用しているIPから閲覧者が所在する地域を割り出し、その国や地域の言葉で、その国や地域の規制内容にあう表示のCookieバナーが設定されます。
同意を取得するまで必須Cookie以外の情報を取得しないという、Cookieのオートブロッキング機能も設定できます。
もちろん、同意を取得した場合の記録も残ります。
最後に、設定したCookieバナーの表示を検証することができます。閲覧する国を選ぶと、その国から閲覧した場合に表示される画面がでてくるようになっています。
③IIJプライバシー保護規制対応支援サービスのご紹介
IIJでは、2月3日より、今ご紹介させていただきましたOneTrust社のCookie同意管理バナーのライセンスの販売及び日本語による導入サポートの提供を開始します。
OneTrust社から直接ライセンスを購入するよりも安い値段設定となっているうえに、「日本語の導入マニュアル」や「運用ガイド」も提供いたします。さらにご希望の方には、有償オプションとして「日本語テクニカルサポート(Q/A対応)」や「Cookie規制コンプライアンスチェック」のご提供も用意しております[石川4] 。
お客様自身がOneTrust社のCookie同意管理バナーの実装を実施することもできますが、導入作業の支援も弊社でご提供できます。[石川5]
サービスに関するお問合せ方法や、料金、ご購入方法については、下記ページよりご確認頂けます。是非ご検討ください。
https://cookie.bizrisk.iij.jp/
