「Cookie同意」ってなに？−GDPR/CCPAをきっかけにWebサイトの個人情報保護に前向きに取り組もう

Webサイトを構築・運営にあたって重要事項の１つが、個人情報保護対応。常時SSL（暗号化通信）サイトがSEO対策の指標であることはすでに多くのWeb担当者がご存知かと思いますが、「GDPR」「CCPA」はご存知でしょうか？
簡単に言えば、日本の個人情報保護法よりも強力な海外のプライバシー・セキュリティに関する規定です。「海の向こうの話でしょ？」なんて思ってはいけません。Webサイトは世界中どこからでもアクセスできるWorld Wideなフィールド。海外からのアクセスがあるサイトを運営している方は、必要な対策を知らなかったじゃ済まされない可能性も？！

今回は、このトピックスの背景となる個人情報とCookie、GDPRとCCPAの概要、日本のWebサイトが取り組むべき対応をWebサイト制作とアクセス解析の視点でまとめてみます。

そもそも、どんな情報が”個人情報”？

Webサイトを運営する上で取得する個人情報は、名前、メールアドレス、住所などユーザーが自発的に入力する情報の印象が強いですよね？日本の個人情報保護法は、明らかに個人を特定できる情報に重きをおいてきました。

一方、GDPR/CCPAの考える個人情報はさらに広がります。
・ユーザーIDなど利用するWebシステムが生成するもの
・IPアドレス、CookieなどWebサイトを閲覧・利用上で自動発生する情報
も含まれることがポイントです。

Cookieってなに？

GDPRとCCPAの話をする前に、「Cookie（クッキー）」というキーワードについて触れます。Web制作や運営、Web広告系のお仕事をされている方以外には耳馴染みが少ない言葉だと思います。

お菓子のクッキーと同じスペルなのでなんだか美味しそう（笑）。語源は諸説あるようですが、私は『セサミストリートのクッキーモンスターがいつもクッキーを食べてるように、ウェブサーバーがいつも情報を食べてる』という説が好きです。
つまり、CookieとはWebサイトを訪れたユーザーの情報を一時的に保存するための仕組み のことです。

もう少し詳しく説明するとCookieには2種類あります。1st party Cookie（ファーストパーティークッキー）と3rd party Cookie（サードパーティークッキー）です。
1stは訪問したWebサイトだけが対象、3rdは複数のWebサイトやブラウザを横断します。（今回とは違うネタになりますが、サードパーティークッキーが使えなくなりリターゲティング広告ができなくなる！というのも、直近のインパクト大きめトピックスです）

今回注目すべきなのはファーストパーティークッキー。↓の機能がCookieを使う代表格です。
・ECサイトや会員制サイトのログイン状態を保ってる
・カートに入れた商品がサイトに再訪した時にそのまま残ってる
・フォーム画面で氏名や住所などよく入力する内容が候補として表示される
面倒な手間が省けて便利な一方、Cookieがユーザー情報を勝手に置いてるとも考えられるわけです。

また、アクセス解析（Googleアナリティクス）はサードパーティークッキーになりますが、ページビューやセッション、イベント計測だけでなく、アクセス経路を特定できるIPアドレス情報も含まれています。

Webサイトを訪れるユーザーに、これらCookie情報を提供の可否を判断する機会をちゃんと与えましょう、というのがGDPR/CCPAの根幹です。

GDPRとは？CCPAとは？ 超ざっくり説明と必須事項

GDPR：
General Data Protection Regulation（EU一般データ保護規則）
2018年EUで制定。対象エリアはEU域内に拠点がある企業だけでなく、EU域内に商品やサービスを提供する場合も適用（域外適用）
違反した企業に巨額の賠償金がかけられたことで、世界中が驚愕しました。

▼規定内容と主な対応策
（1）Cookieバナー及び詳細設定画面によるCookie 利用の目的・開示先等の情報提供
【必須】プライバシーポリシーの詳細化、Cookieポリシーの作成など

（2）Cookie 利用に関するオプトイン同意の取得、同意取得の証明
【必須】Webサイトに同意可否のバナーを設置

CCPA：
California Consumer Protection Act（カリフォルニア州消費者プライバシー法）
2020年アメリカ・カリフォルニア州で制定。個人情報の包括的な保護に加えてデータの商業利用にも重点を置いた、一歩踏み込んだ内容。

▼規定内容と主な対応策
前述の（1）（2）に加えて…
（3）Cookie 利用に関するオプトアウト機会をウェブサイトやアプリに実装
例 https://tools.google.com/dlpage/gaoptout?hl=ja

日本でも改正個人情報保護法が制定をはじめとして、世界的に個人情報の取り扱いは今後ますます強化されていくことは確実です。
前向きに個人情報保護対応と向き合うことが、事業者とWeb制作者に求められています。

私の認識では以下に当てはまる場合はGDPR/CCPAの対象です。

・ヨーロッパ諸国、カリフォルニアからアクセスができる
且つ
・アクセス解析のためにGoogle アナリティクスを入れている
・お問い合わせやメルマガ購読など個人データを含む送信フォームがある

これって、多くのWebサイトが当てはまりますよね？
冒頭で「他人事じゃないですよ」と書いたのはここに由来します。

【豆知識】ちなみにユーザーの同意不要なCookieもあり。商用オンラインサービスの機能を実装するために必要なCookieについては同意取得不要。
1. ウェブサイトの表示言語やフォントを記憶するための Cookie
2. 買い物カゴに入れたアイテムを記憶するためのCookie
3. 利用者のサービスログイン状態を記憶するためのCookie
4. セキュリティアップデートの状態を監視するための Cookie
5. 詐欺的な利用を防止するためのCookie
6. アクセス負荷分散を目的とするCookie
※出典：ウェブ解析士2021公式テキストP40 
EU 及び加盟国監督当局のガイドラインによると記載あり

採るべき対策その①：「とりあえず」でGAを入れない

「無料だし、将来的にアクセス解析したいなぁ〜なんてこともあるかと思うんで、データを蓄積するためにとりあえずGoogle アナリティクス入れておきますね」なんてWeb制作側が善意でやることが多かったかもしれませんが、これは完全にNGです。事業者にもれなくリスクをプレゼントしています。

Web制作者は、GAを導入するメリット・デメリットをきちんとお伝えする。
事業者は、それを踏まえて導入の可否をきちんと判断することが大切です。

■Googleアナリティクス内での対応
現状2つのバージョンがあり、IPアドレスに関するデフォルトが異なります。

・GA4プロパティ（新バージョン）
IPアドレスマスキングが効いている状態＝特に作業は不要。

・ユニバーサルアナリティクス（現在の主流バージョン）
IPアドレスマスキング設定の追加が必要
https://support.google.com/analytics/answer/2763052?hl=ja

採るべき対策その②：専門家によるリーガルチェック

Webサイトを作る時に「アクセス解析でGoogleアナリティクスを入れる場合は、プライバシーポリシー内に記載しましょう。プライバシーポリシー（個人情報の取り扱いについて）」は必須コンテンツと言えるでしょう。集客用コンテンツではありませんが、企業の姿勢を明示する重要なものです。

事業モデルやWebサイトで提供するサービスに即したプライバシーポリシーが重要になるので、社内の法務担当や顧問弁護士などに相談の上で、きちんと整備するのが望ましいです。アクセス解析でGoogleアナリティクスを入れる場合は、プライバシーポリシー内に記載しましょう。

採るべき対策その③：Cookie同意バナーを導入

最近、日本国内のWebサイトでもよく見るようになってきました。サイトにアクセスした時に表示される↑これ↑です。
一般化してくるとさらりと読み飛ばされそうな部分ですが、「よりよいWeb体験のためにCookieを利用してるよ」というメッセージが実は重要だよねと思っています。

規定内容（2）で紹介したとおり、ユーザーアクションによるオプトイン＝許諾を取る必要があります。
具体例としては、ボタンやチェックボックスのクリック、スライドスイッチのドラッグ、 画面のスワイプなど。ユーザー自身によるアクションが必要なのがポイント（「このサイトを使い続けると同意したとみなします」タイプは若干グレーゾーンな印象）。
国内外で有料／無料さまざまな管理ツールや対応方法が増えています。
Webサイトに合わせて選定して導入しましょう。