デジタルマーケティングTips

Cookie同意管理プラットフォーム(CMP)導入の基礎知識

記事タイトル画像:Cookie同意管理プラットフォーム(CMP)導入の基礎知識

国内外の法整備により、アクセス解析等に使われる「Cookie」の利用の同意を、Webサイトから訪問者に求める機会が増えてきました。問題の背景と解決法・注意点について解説します。

要点

メルマガでも情報を配信中です! ぜひご登録ください。

貴社のサイトでも人知れずCookieが使われている(はず)

Webサービスでは、同一ユーザーの利用をブラウザレベルで特定する仕様がしばしば必要になります。このために必要なのが、Cookie(クッキー)のようなローカル(ブラウザの動く端末)側にデータを保存する技術です。

  • ログイン/ユーザー認証/パーソナライズ
    SNSやECサイト等は、動作を行った利用ユーザーの特定、買い物かごに入れた商品の記録等の機能がなければ成立しません。
    関連記事・商品の紹介やおすすめ等も、ユーザーの特定・履歴収集があってはじめて成立する機能です。
  • アクセス解析・マーケティングオートメーション(MA)
    アクセス解析ツールは、匿名ユーザーがコンバージョンに至るまでの経路分析や訪問頻度等を追跡しています。
    MAツールでは、顧客管理(CRM)ツールや営業支援(SFA)ツールの顧客/見込客個人情報とCookieを連結させて、自社サイト内での行動追跡を行います。これにより、顧客/見込客の関心や需要の高まり度を可視化し、営業ターゲットの絞り込みや効率化に繋げています。
  • 広告配信・効果測定
    広告では、媒体側での表示内容選定、クリックの検知、ランディングページのアクセス集計・コンバージョン追跡等が必要になります。

サイト制作者側で「HTML内にそんな処理を入れた覚えはない」と思っていても、アクセス解析の埋め込み用コードが読み込まれたり、SNS投稿ボタンが動作したりするときに、人知れずCookieが発行され、情報が保存されています。

Cookieとプライバシーの問題

Cookieは、Webサイト運営者にとっては便利な技術ですが、ユーザーからしてみると必ずしもそうとは言えません。自分の関心や行動履歴が勝手に収集され、場合によっては勝手に商売の道具にされ、しかもその実態把握が困難です。これを不安に思う人も少なからず存在します。

Cookieは氏名・住所等と違って個人をダイレクトに特定できるだけの詳細な情報は持っていません。そのため、かつては世界的に従来の個人情報保護法による規制に含まれず、自由に発行や情報取得が行われていました。

が、近年はCookieの利用に同意を求めるプライバシー法の整備が世界的に進みつつあります。Cookieを使った情報取得も、適法な手段で行うことが重要になっています。

Cookie利用の同意取得に関する世界の法整備

世界的にはCookieについて明確な規制を行っている地域はまだ限られています。が、EUのように影響度の大きい規制のある地域があるため、有名なところから順に覚えていくのがおすすめです。

欧州・GDPR

Cookieの同意取得に関する法律で最も有名なのが、EUの一般データ保護規則(GDPR)です。2018年5月から施行されました。GDPR施行より前からあった「eプライバシー指令」と並ぶ、EU圏の個人情報保護法制の中心的存在です。

世界的にも最高レベルのデータ取得・移転規制が規定されており、違反した場合の制裁金(最大で、[企業の全世界年間売上高の4%]または[2,000万ユーロ]のいずれか高い方)も莫大です。制裁金が数百億円にのぼる事例も発生しています。

要注意なのは、欧州域外である日本の企業であってもこの対象となる場合があることです。EU現地法人を持つ企業や現地でのビジネスを行う企業はもちろん、EU加盟国国民や居住者と取引がある場合(越境ECや国際的Webサービス、海外投資家向けの情報提供等)も対象になります。

  • 保護範囲の広さ…氏名・住所等の個人識別情報はもちろん、CookieやIPアドレスまでも、個人に関するデータとして取得に際し明示的な同意を求めています。これらの情報も、取得する情報の範囲が過大にならないよう限定されなければなりません。
  • 同意取得・管理規定の厳格さ…GDPRでの個人情報保護はオプトインが原則です。初期状態が情報利用不許可の状態から始まり、ユーザーが明示的に許可を出さないと同意になりません。
    その後も、同意の取り消し・データ削除・移転制限等広範な権利がユーザー側に担保され、事業者(Webサイト等)はそれに対応する体制を整えていなければなりません。
    なお、オンラインサービスの機能実装のために厳格に必須となるCookie(ログインや買い物かご等)については、例外的に同意取得の義務化対象外とされています。ただしアクセス解析・MA・広告等での利用はここに含まれません。
  • ゼロクッキーロード…Cookieが明確な同意取得の対象であることは、すなわち同意が得られるまで、Cookieの発行・データ取得処理が勝手に実行されないような実装が義務化されることを意味します。
    同意ボタンを押していなくても実際にはページ読み込み時にすでにCookieを使う処理が動き出している、という同意取得するふりだけのサイトはGDPR違反となるため、注意が必要です。

米国・CCPA

米国のプライバシー法で代表的なものが、カリフォルニア州消費者プライバシー法(CCPA)です。

CCPAでは、行動ターゲティング広告でのCookie利用については、利用をオプトアウトする仕組みを用意しなければならない、という規定があります。

日本・個人情報保護法(2022年4月施行)

2022年施行の改正個人情報保護法では、Cookie等を扱う概念として「個人関連情報」というカテゴリーが新設されました。個人関連情報は、直接的な識別情報(氏名・住所・年齢等)を持つ「個人情報」や、それを復元できない(がマーケティングの参考にはなる)程度に匿名化加工した「匿名加工情報」以外の個人に関する情報が当てはまります。

Cookieを含む個人関連情報は、単体では取得に対して同意を必要としませんが、条件の組み合わせによっては取得時に同意取得が義務化されます。

  • データの外部提供(販売等)を行う
     +
  • 提供された先で個人情報と結び付けられる

例えば、A社が自社発行Cookieで収集した行動履歴等をB社に販売し、それが提供先B社のサイトでIDと結び付けられて個人の行動追跡に使われる場合は、B社で同意を取得するか、A社で取得を代行する(このときB社の代理取得であることを明示する)必要があります。

日本・電気通信事業法(2023年6月施行)

2023年6月施行の改正電気通信事業法では、特定の用途のオンラインサービス向けの義務が追加されました。

以下の業種のオンラインサービスを提供する事業者は、外部サーバーに対する情報送信(Cookieに限らない)を行う場合に、[対象情報の通知・公表][事前同意取得(オプトイン)][オプトアウト機会の提供]のいずれかを行う必要があります。

  • 通信プラットフォーム…メール/メッセージ/オンライン会議等
  • コンテンツ配信…SNS・掲示板、ECモール、マッチング等
  • 検索サービス
  • 各種情報サービス…ニュース、気象情報、地図等

同意管理プラットフォーム(CMP)導入のメリット

GDPR制定・施行以降、各地の法令等で定められた同意取得・管理機能を実現するため、「同意管理プラットフォーム」(Consent Management Platform, CMP)と呼ばれるツールが普及を始めました。これはCookie等の利用同意取得に関する諸機能をパッケージ化したもので、多くはサイト内にタグを埋め込んだりして機能を実装します。

  • 同意取得ダイアログの表示(地域別出し分けを含む)
  • オプトイン・オプトアウト、その他同意状況変更の処理
  • 同意取得状況の管理

Cookie同意取得義務化の対象となる場合は、導入すると以下のようなメリットがあります。

GDPR等の規定への準拠

GDPRの莫大な制裁金はストレートに経営上のリスクとなります。これを月数千円程度で回避できると考えるとお買い得です。

地域等によるダイアログの出し分け

CMPの中には、欧州や米国など接続元の地域(主にIPアドレス等で判断)に応じて同意取得ダイアログの内容を出し分けできるものがあります。各国の規制に合わせて必要な場合だけ同意を取得したいグローバルサイト等では便利な機能です。

サイト分析・掲載情報作成の省力化

同意取得時に表示するCookieの詳細情報の作成は、手作業で行っていくとなかなか大変です。CMPは公開済みのサイトを自動で解析し、Cookieを使用するシステムを検知したうえで、必要な情報のリストを自動作成してくれます。

サイトの信頼感アップ

Cookieの利用同意が明確に行われることは、誠実さをアピールして信頼度を上げるという点ではプラスに働きます。

導入時の注意点

同意管理プラットフォーム(CMP)は便利に使えるよう設計されていますが、導入に当たっては注意点があります。よくわからない場合は、導入・運用ノウハウのあるパートナー企業へのご相談をおすすめします。

同意率が下がるとアクセス解析の数値も下がる

ゼロクッキーロードでCookieの同意を取得する場合、ボタンがユーザーに無視された場合は、そっくりそのままアクセス解析の数値が減ってしまいます。ページビュー等が目立って落ち込んだりしている場合、同意取得率を確認し、取得率が上がるような見せ方を試行錯誤するのがおすすめです。

運用ツールを増やした場合はCMP側での連携も忘れずに

CMP導入後に導入ツールや広告等が増えた場合、CMP側でも必要な同意を取得する設定を行わないと、うまく動作しない場合があります。ツールの増減があるごとに調整を行い、正しく動作しているか確認することが重要です。

まとめ

Cookie同意管理プラットフォームは、かつては欧州のGDPR対策というイメージが強めでした。が、国内外の法整備により状況は徐々に変わってきており、サイトの内容・機能に応じては、導入を進める必要があります。

ただ、何も考えずに導入すると、見かけ上のアクセス数減少等により、誤解に基づいたトラブルの原因となる可能性もあります。事前に注意点をしっかりと把握したうえで、ノウハウのあるパートナー企業と相談しながら導入するのがおすすめです。

マックスマウスからのお知らせ

Web制作・マーケティング担当者向けのお役立ち情報をメールマガジンでお届け!

WebサイトやSNSでの情報発信の安定化・効率化、CMS導入・運用、脆弱性対策、Flashコンテンツ置き換え、Webプロモーションなどなど、Web制作・マーケティング関係者向けの課題解決に役立つ、便利なサービス情報や活用法などをご案内します。

いますぐご登録ください!