今後Cookie(クッキー)はどうなる? 国内外の個人情報保護法や主要ブラウザから見るCookieの動向について
2022年4月1日から改正個人情報保護法が施行されることを受け、Webサイトへの影響についてご相談いただくことが増えていますが、中でも多いのが「Cookieは今後どうなるのか?」という質問です。
本ブログでは、国内外の個人情報保護法や主要ブラウザの取り組みを見ながら、今後Cookieがどうなるのかについてまとめたいと思います。
INDEX
そもそもCookieとは?
そもそもCookieとはどんな技術なのか確認しておきましょう。
Cookieとは、webサイト訪問者のログイン情報や閲覧履歴などの情報をユーザーのパソコンやスマートフォン、またはWebブラウザに一時的に保存する仕組みまたはデータを指します。
CookieにはファーストパーティーCookieとサードパーティーCookieと呼ばれる2種類があり、それぞれ違った役割を持っています。
ファーストパーティーCookie | サードパーティーCookie |
ユーザーがアクセスしているwebサイトのドメインから発行されるCookieで、閲覧履歴やログイン状態の維持のために利用されます。 | ユーザーがアクセスしているWebサイトのドメイン以外から発行されるCookieで、ユーザーが閲覧した複数のwebサイトから行動履歴を収集し、広告配信などに利用されます。 |
改正個人情報保護法でのCookieの取り扱い
Cookieによって取得される情報は、これまで個人情報保護法の対象外でしたが、2022年4月1日に施行される改正個人情報保護法では、「個人関連情報」という新たな定義の中に位置づけられることになりました。
個人関連情報とは「生存する個人に関する情報ではあるが、個人情報や個人情報を加工し作成された情報に当てはまらないもの」と定義され、Cookieの他にはIPアドレス、端末固有IDや広告IDなどの識別子、位置情報、閲覧履歴、購買履歴といったインターネット上のログ情報で個人の特定ができないものなどが挙げられます。
基本的には、この個人関連情報に対して規制はありませんが、特定の状況のみ発動するルールがあります。
そのルールとは「個人関連情報の提供元は、提供先が保有する個人データと該当情報を紐づけられる場合、提供先において本人同意が得られていることを確認、記録しなければならない」というものです。
例えば、Cookieを利用しIDで管理されたユーザーの閲覧履歴を提供しているA社と、同じIDで管理されたユーザーの個人データ(個人情報データベース等を構成する個人情報)を保持しているB社があるとします。A社からすればユーザーの閲覧履歴は個人を特定する情報ではありませんが、B社はIDから個人データと閲覧履歴を紐づけることができます。
この場合、個人関連情報提供先であるB社は、Webサイト上でユーザーに対しCookie同意確認が必要になり、個人関連情報提供元であるA社はユーザーの同意が取れているかB社に確認する義務があるということになります。
ここで登場するCookieはサードパーティーCookieの事で、ファーストパーティーCookieに関する規制はありません。
大多数のWebサイトに影響があるルールとは言えませんが、ターゲティング広告やDMP(データマネージメントプラットフォーム)などを利用し、デジタルマーケティングを行っている企業は影響を受ける可能性があります。
GDPRでのCookieの取り扱い
では、海外の個人情報保護法におけるCookieの取り扱いはどうでしょうか。
2018年に施行されたGDPR(EU一般データ保護規則)では、下記以外のCookieはユーザーの同意を得るまで取得してはいけないという非常に厳格なルールが定められています。
- Webサイトの表示言語やフォントを記憶
- 買い物カゴに入れたアイテムを記憶する
- 利用者のサービスログイン状態を記憶する
- セキュリティアップデートの状態を監視する
- 詐欺的な利用を防止する
- アクセス負荷分散
ここで問題になるのが「Googleアナリティクス」のCookieです。
Google アナリティクスのCookieは一般的にファーストパーティーCookieに分類され、日本の改正個人情報保護法でも規制対象外となっていますが、GDPRでは「GoogleがGoogleアナリティクスで得た情報を自身の目的で利用することを明らかにしている」という理由で、同意確認が必要なCookieとされています。
そのためヨーロッパのほとんどのWebサイトでCookie同意確認が求められます。
GDPRはEU加盟国だけに適応されていると思われがちですが、実は日本でも影響を受ける場合があります。
EU市場を対象にモノ・サービスを販売するWebサイトや製品・サービスを紹介するWebサイトは、たとえ場所が日本であってもGDPR規制対象となりますので注意が必要です。
日本大企業のCookie同意普及率はわずか7%
2021年5月20日に発行された日本経済新聞記事によると、日本の上場企業におけるCookie同意確認の普及率はわずか7%で、英国を中心とする欧州(87.98%)や米国(38.25%)の企業と比べ圧倒的に低い数字となりました。
日本の個人情報保護法は、今後3年おきに国際的動向・情報通信技術の進展・新たな産業の創出及び発展の状況等を考慮して見直しを行うことになっています。
今回の改正個人情報保護法では、特定の条件下でのみCookie同意を義務付けるにとどまりましたが、次回の改正では国際的な流れを見てもより厳格な規制がかけられることは間違いないでしょう。
主要ブラウザでCookieを廃止
上記で説明した通り、法律によるCookie規制が厳しくなっている影響を受け、GoogleやAppleといった主要ブラウザを提供しているプラットフォーマーでもCookieに対する制限を強めています。
Appleが提供するSafariでは、すでに2020年3月からサードパーティーCookieを完全にブロックしています。
ブラウザシェア50%を占めるGoogle Chromeでも、2023年半ばから後半までの3カ月でサードパーティーCookieを段階的に廃止するとアナウンスされており、広告やマーケティング業界ではクッキーレス(Cookieless)時代の到来と言われています。
サードパーティーCookieに変わる技術は?
ではサードパーティーCookieに変わる技術はすでに開発されているのでしょうか?
答えは「NO」です。
まだ確固たる技術は開発されておらず、Googleを中心に試行錯誤を繰り返しているという状況です。
これまでの経緯を見てみましょう。
2021年4月にGoogleはサードパーティーCookieに変わる技術として「FLoC」を発表しました。
FLoCはウェブサイトに訪れたユーザーを数千人単位のグループに分類し、そのグループが持つ興味・関心に基づく広告を表示するという仕組みでしたが、個人ユーザーの閲覧履歴を取得することに変わりはなく、また独占禁止法違反の可能性も出てきたため廃止となりました。
その後、2022年1月にGoogleはFLoC代わる新しい提案として「Topics」を発表しました。
Topicsはユーザーがウェブ上を移動する際に、ブラウザがユーザーの興味・関心について学習するというもの。
発表時点ですでに過去3週間分の閲覧履歴データが保存され、トピック数は300に制限されていますが今後拡大していく予定との事です。また性別や人種などのセンシティブなカテゴリーは含まないなどの配慮がなされています。
Topics APIのトライアルは2022年3月末までに開始するとアナウンスされています。
さいごに
いかがでしたでしょうか?
Cookieは今後も法律面、技術面の両方から規制が強化され、新しい技術に置き換わっていく事は間違いありません。
今後どのような技術がポストCookieとなるのか、注目していきましょう。
この記事を書いた人
-
大学卒業後、バンド活動を経て2003年にアーティスへ入社。
営業兼コンサルタントとして、これまで携わってきたWebサイトは500サイト以上、担当したクライアント数は300社以上にのぼる。
現在は、豊富な経験を活かした提案を行いながら、ソリューション事業部 部長として事業戦略の勘案や後進育成にも取り組んでいる。
この執筆者の最新記事
関連記事
最新記事
FOLLOW US
最新の情報をお届けします
- facebookでフォロー
- Twitterでフォロー
- Feedlyでフォロー