ここ数年、大手企業のWebサイトを中心に、「Cookie(クッキー)使用」について同意を求めるポップアップを画面下部に表示するケースが多く見受けられるようになりました。当サイトでも、Cookie使用に関するポップアップが表示されるようになっています。

「このポップアップって何のために表示させているの?」
「Cookie使用の同意は必ず得なければいけないの?」
「ユーザーに邪魔だと思われないか?」

今回はそんな「なぜ?」とお考えのWebサイト運営者の方向けに、Cookie使用について解説していきます!

※そもそも、「Cookieって何?」という方はこちらの記事をご覧ください。

Cookie使用について同意を求めるようになった背景

日本では、Cookie使用について同意を求める仕様になっていないサイトはまだ多くありますが、実は、欧州ではほとんどのサイトで「Cookie(クッキー)使用」について同意が求められるポップアップが実装されています。

背景としては、EUで2018年5月に施行されたGDPRの項目でCookie(個人情報)の利用に同意を求める要件が厳格化したことがあげられます。

※GDPRとは「EU一般データ保護規則」と呼ばれるEUにおける個人データ保護に関する法律です。今回紹介しているCookieだけでなく個人データ保護を網羅する内容になっています(CookieやIPアドレスなどのオンライン識別子は、他のデータと組み合わせることで、個人識別につながる場合に対象とされています)。

2019年にGoogleがCookieの取得に関連して、5,000万ユーロの制裁金を科せられたことも、企業がCookie規制強化に対応する流れにつながっています。GDPR以外にもCCPA(カリフォルニア消費者プライバシー法)などでCookieなどのオンライン識別子が個人情報として取り扱われるなど世界的に個人情報保護に関する法改正に向けた動きが進んでいます。

日本ではというと、2020年6月に改正個人情報保護法が成立(2年後に施行)、Cookieは「個人情報」ではないものの、「個人関連情報」となり、「第三者に提供する場合は確認をとること」と定められるようになりました。

ただし、ガイドラインはまだ策定されておらず、事前に「Cookie(クッキー)使用」についての同意が必要かどうかは決まっていない状態です。

Webで個人情報対応が必要になる日本企業

下記の場合に該当する企業では、意図してEUで活動しているとみなされるため、個人情報の取り扱いについても、GDPR対応が必要になります。あなたの運営しているWebサイトがGDPRに対応する必要がないか要チェックです。

  • 本社が日本にあったとしても、支店など活動拠点がEUにある場合
  • Webサイトを通じてEUのユーザーに対して商品やサービスを提供している場合

意図せずにGDPRが適用になるケース

例えばEUを意識せず、英語ページを作り結果的にEUからのアクセスが集まってしまった場合、EUに向けてサービスを展開しているものと判断され、GDPR対応が必要になる場合があります。

企業で多言語展開のWebサイトを運営している場合は、EU域内からアクセスが無くても予めGDPR対応を行い、リスクを潰しておく必要があります。

グローバル展開する企業のGDPR対応

ここまでの内容のまとめとなりますが、Webサイトを多言語展開しているようなグローバル企業では、基本的にCookie使用同意を求めるポップアップを表示させて、Cookie情報を収集する前に同意を取ることをおすすめします。加えて、GDPRに対応するために、Cookie使用に関する同意以外にも、個人データの暗号化などの対応も必要になることに注意しておきましょう。

日本やその他の地域でも、いつCookieの使用に関する表示が必要になるかはわからないため、どんな企業のWebサイトでも、サイト制作時にあらかじめ同意文を表示させる設定にしておいてもよいでしょう。

日本企業は最低限どこまで対応するべきか

英語ページもなく、日本国内からのアクセスしかない場合、GDPR対応の必要はありませんが、今後は日本でも改正個人情報保護法を根拠としたガイドライン(まだできてない)に対応していく必要が出てくるでしょう。

まずは、最低限Cookieポリシーを提供すること、またCookie使用に関するポップアップをあらかじめ表示するなど、事前に準備しておくようにしましょう。

※本記事は2021年2月時点の情報を元に記述しています。

ファンクラブ会員募集