政府は2022年3月4日、インターネット利用者の情報を保護する新たな規制などを盛り込んだ「電気通信事業法の改正案」を閣議決定しました。

今後施行されれば、閲覧履歴が残るCookie(クッキー)など、個人の特定につながらない情報を第三者に提供することが規制される、国内で初めての法律となります。

今回は上記の「電気通信事業法の改正案」に加え、「改正個人情報保護法」や欧州・米国の「GDPR・CCPA」など、企業が対応しなくてはならない可能性がある、Cookie規制の関連法律をお知らせします。

Cookieとプライバシー侵害

Cookie (クッキー)とは、Webサイトを閲覧する際に、閲覧履歴や行動履歴が記録としてブラウザに一時的に書き込み保存される仕組みのことを言います。

主な使用用途は、ユーザーがWebサイトに再訪した際に個別のブラウザからのアクセスであることを識別し、広告配信の適正化やサイトの解析などに活用することなどが挙げられます。

Cookieはその特性上、Webサイトを離脱した後の行動を追跡することがあります。そのため、プライバシーの侵害につながる点が問題視され、近年ではCookie規制を強化することに注目が集まるようになりました。
※詳しくは『Cookie(クッキー)とは?』の記事をご覧ください。

それではここからは、Cookieに関する法律や規制について詳しく解説していきます。企業のWeb担当者であれば、ぜひ知っておいていただきたい内容になりますので、下記を通して是非Cookie規制について押さえておきましょう。

① GDPR(欧州)・CCPA(米国 カリフォルニア州)

欧州(GDPR)・米国 カリフォルニア州(CCPA)で施行されている個人情報保護に関する法律です。この法律ではCookieは「個人情報」と定義されるため、Cookieを使用する場合は、ユーザーに対してCookieの使用に関する通知を送り、ユーザーが同意または拒否できる仕様にする必要があります。

本来、Cookieには単体で個人を特定できるような機能は備わっていません。しかし、得られた情報を第三者に伝えることで、Cookieは場合によっては個人情報になり得る可能性があります。そのため、GDPR・CCPAでは上記のような規制が行われています。

具体的には、欧州・米国(カリフォルニア州)の消費者を対象とした多言語サイトで、かつCookieを取得している場合は、ユーザーがCookieの使用について知り、同意・拒否が選べる仕組みを導入する必要があります。

② 改正個人情報保護法

日本の個人情報保護法の改正版が2022年4月に施行されました。

改正法においてCookieは「個人”関連”情報」と定義されています。個人情報ではないため、現状では、基本的にはユーザーからの同意を取ることは法律上求められていません。

ただし、Cookieを他の情報と紐づけて個人を特定するような運用を行っている場合は、ユーザーに対して同意を求める通知を送る必要があります。

上記に該当する企業は、ユーザーが同意、拒否を選択できるような通知、ポップアップ、仕様の導入に着手する必要があります。

③ 電気通信事業法の改正案

電気通信事業法の改正案が、2022年3月4日に閣議決定されました。今後国会にて成立する見込みです。Cookieをはじめとする単体では個人を識別できない利用者情報を第三者に提供する場合に、ユーザーへの通知、もしくは公表を行う必要があります。

上述した改正個人情報保護法とは違い、個人識別できない場合でも、Cookie情報を第三者に提供する場合は、規制の対象となる見込みです。

Cookieを含む閲覧履歴などの利用者情報を第三者に提供している場合や、ターゲティング広告などを運用している場合は、以下のいずれかに対応する必要があります。

  1. 本人に通知・公表
  2. 本人から同意を取得する
  3. 後から拒否できる仕組みを導入する

Cookie規制に対する企業の対応

それでは、上記3つの法律に対処するために、企業はどんなことに取り組む必要があるのでしょうか?以下では、Cookie規制に対する企業の対応策の例を紹介していきます。

同意を求めるポップアップを表示する

現時点では、海外向けにWebコンテンツを展開している場合と、取得したCookie情報を第三者に提供している場合以外は、ユーザーに対してCookie利用の同意を求める通知を送信する必要はありません。

ただし、昨今ではCookieを利用してターゲットにピンポイントで広告出稿する「ターゲティング広告」が主流となってきており、さらにCookie利用の同意を求める表示の掲載は法律に関係なく多くの企業が取り組んでいることであるため、Cookie関連のポップアップを事前に用意しておくことは意味のある対策だと言えます。

そこまで大きな費用が必要な対策でもないため、今のうちから検討しておくことをおすすめします。

Cookieを利用しないプロモーション手法を活用する

Cookieを使用しないプロモーション手法に力を入れていくことも、Cookie規制に対する対策となり得ます。

近年の主要プロモーションメディアといっても過言ではないSNS。そんなSNSを活用した集客施策は、Cookieを使用せずに実施することができるため規制への対策となります。

また、SEO対策による集客施策も、Cookieを利用しないやり方として効果的です。以前まではSEO対策の効果を検証するためにCookieが使われていましたが、Web解析ツール「Google Analytics」がアップデートによってCookieを使用せずにアクセスを分析できるようになったため、効果検証も含めてCookie規制の影響を受けづらいプロモーション手法だと言えます。

まとめ

Cookie規制に対して、企業がチェックするべき対象はGoogleのガイドラインなど今回取り上げたもの以外にも数多くあります。自社が運営するWebサイトがCookie規制の対象となっているかどうか、確認してみることが重要です。

また、確認したうえで対策を講じる必要があると判断した場合は、まずはCookie利用の同意を求めるポップアップを作成・表示することを検討してみてください。

株式会社フリースタイルエンターテイメントでは、業種問わず様々な企業様のWebサイト制作を行っております。Cookie等の個人情報保護の観点にも配慮したWeb制作をご提供いたしますので、まずはお気軽にお問い合わせください。

お問い合わせ

※本記事は当社調べによる2022年6月時点の情報を元に記述しています。