Webサイトにおける情報収集や顧客分析を行う際、ユーザがどのような経路でWebサイトへ到達し、サイト内でどのような行動をとったのかを正確に把握することが大切です。

 

それらを実現するために利用される仕組みのひとつにCookieがありますが、近年Cookieの利用は多くの規制が設けられています。その大きな理由として、Webサイトやソーシャルメディア、広告など、インターネット全体の利用者のプライバシー保護が挙げられます。

 

今後、適切な情報収集を行うためには、まずCookieのなにが現在問題視されているのかを正しく理解し、その課題を踏まえた対策を検討し、実施していくことが必要です。

 

この記事では、Cookieの基礎知識や現在行われている規制の内容、その対処のポイントについて解説します。

Cookieの基礎知識

cookie-kisei-2

w728xh90_1009_A

 

Cookieに対する規制を理解するために、まずCookieの基礎知識をおさらいしましょう。

Cookieとは

CookieはブラウザとWebサーバの間で情報を交換する小さなテキストファイルです。主にユーザ設定の保存やセッション管理、トラッキングに使用され、発行、保存、更新、削除といった処理が行われます。

Cookieの種類

1.ファーストパーティクッキー

ユーザがアクセスしているWebサイトのドメインから発行されるクッキーです。

2.サードパーティクッキー

ユーザがアクセスしているWebサイト以外のドメインから発行されるクッキーです。

3.クライアントサイドクッキー

ユーザがブラウザ上で保存、使用しているクッキーです。多くの場合、利用を同意したクッキーと気付かないうちに保存している(もしくはさせられている)クッキーが混在し、クライアントの端末内に大量に保存されています。

4.サーバサイドクッキー

Webサーバが発行するクッキーをサーバサイドから表現した定義になります。多くの場合、Webサイトの利用上、必要不可欠な機能であることから、近年では必須クッキーとほぼ同義語として使用されています。

Cookieの用途

CookieはユーザがWeb上で起こした行動や入力情報を記録できます。一般的には以下のような用途で活用されています。

1.フォームをはじめユーザが入力した情報の記録

IDやパスワードを次回訪問ときに手入力を不要とすることができます。

2.Webサイト上のステータスの記録

Cookieにより、ECサイトなどでカートに入れた商品を記録できます。その場で購入しなくても、ユーザが再度アクセスした際にカートに入れた商品の情報を復元することが可能です。

3.ターゲティング広告などのパーソナライズ

ユーザの行動に応じて、その趣向や属性にマッチした広告を表示することができます。

 

このように、Webサイトの閲覧者の利便性の向上やサイト運営者側の情報収集など、Cookieを活用することで多くのメリットを享受することができます。

Cookie規制の内容と規制開始時期

gdpr-website-3

Cookieの利用においては、主に利用者のプライバシーの保護を目的とした様々な規制が設けられています。

そもそもなぜCookieに対する規制が始まったのでしょうか?

セキュリティやプライバシー保護の重要性が広く認識され、現在、Webサイトにアクセスしたユーザの情報についても、関連法規を遵守した適切な取扱いが求められています。

 

従来のCookieは、ユーザ本人の知らないところで行動履歴やアクセス情報が保存され、複数のWebサイトや広告、事業者間で共有され、規制も制約もなく自由に活用できる状態でした。これはユーザの個々の情報の取扱いとしては、全く望ましくないと次第に問題視されるようになりました。

 

もはや社会インフラとなったインターネット、匿名性が高い空間でありながらも、オーディエンスとして個を特定した過去の閲覧や検索履歴、広告接触履歴が蓄積され、Cookieに対して個の属性が積み上がっていきます。

 

これらの個の属性を持つCookieをさらに個人情報と紐付けし、個人を特定してからデータ活用を行うことが一般化した現在、ユーザのプライバシー保護や安全な情報管理は、法律で保証しなければ守ることができなくなっています。

 

Cookieの規制は、今や世界的なトレンドであり、対象となる法の範囲は段階的に広がり、次第に強化されています。

個人情報保護法によるCookieの規制 (2022年4月施行)

Cookieが保持する情報は、IPアドレスや文字列情報などであり、Cookie単体では個人を特定できる情報は含まれておらず、「個人情報」には該当しないという考えに基づいています。

 

しかし、近年急速に利用が普及・拡大したDMPやCDPに代表されるテクノロジーにより、フォームに入力した情報やログインID、他のサイトでの行動履歴といった複数のデータを組み合わせることで個人を容易に特定できるようになっています。

 

改正個人情報保護法では、このような情報を「個人関連情報」と定義し、Webサイトの運営者や広告事業者が自由に活用している状態を規制するための法改正が行われました。

 

Cookieを利用し、データの紐付けにより個人を特定する場合、ユーザにその利用目的を事前に通知し、本人の同意を得ることが義務付けられました。また、ユーザから利用停止を求められた場合の対応が義務化されました。

 

以下の記事でも詳解しています。合わせてご参考下さい。

【関連記事】:個人情報保護法のCookie規制とは?法令順守とWebマーケティングを考える

電気通信事業法によるCookieの規制(2023年6月施行)

改正電気通信事業法は、ユーザが利用している端末から、ユーザが訪問しているWebサイト以外の外部のサーバやサービス等に対して、そのユーザに関連する情報を送信する場合、外部への通信そのものに規制をかけることを目的としています。

 

ビーコンタグによるユーザ情報の収集と外部へのデータ通信をターゲットにしていると想定されるこの規制は、Cookieによって収集し、外部に送信するデータの内容とデータの送信先を事前に公表するとともに、その内容をユーザ本人に事前通知することを義務付けています。

 

また、ユーザ本人の同意を得ることやユーザ本人から利用停止を求められた場合の対応が義務化されました。

 

このように個人情報やプライバシー保護の観点から、Cookieに対する法的な規制が次々に設けられています。また、それと同時に主要ブラウザの提供ベンダー各社によるCookieの利用制限についても、徐々に規制が強化されています。

 

以下の記事でも詳解しています。合わせてご参考下さい。

【関連記事】:【2023年6月施行】新たなCookie規制、改正電気通信事業法を知ろう

GDPR(2018年5月施行)

GDPRは「General Data Protection Regulation(一般データ保護規則)」の略称で、EUにおける個人データ(Personal Data)の保護を強化するための法律です。2018年5月に施行され、EU圏内の居住者の個人データを扱うすべての組織に適用されます。

 

主な特徴として、以下が挙げられます。                                                              

1.個人データの処理に関する明確な同意の必要性

2.データ処理の透明性確保

3.違反時の厳しい罰則

(最大で全世界年間売上高の4%または2,000万ユーロのいずれか高い方)

 

GDPRは、EU域内の居住者のデータ保護を目的としており、EU圏外の企業にも適用される可能性があります。同様の法律の制定・施行は世界各国で広がりを見せており、その考え方は、現在、データ保護やプライバシー保護の関連規制におけるグローバルスタンダードとなっています。

 

GDPRは、日本国内の個人情報保護法および電気通信事業法に先行して施行されました。各法律で内容に違いはありますが、ユーザの同意取得や同意が撤回された際の対応、オプトアウトの仕組みの提供の義務化、クッキーに代表される個人を特定できない識別情報に関する規制など、類似する点も数多くあります。

 

現在では、国内外を含む複数の法令でプライバシー保護に関する規則が定められています。法的リスクを払拭するためには、それぞれの法規則の内容を正しく理解し、適切に対策することが重要です。

Webサイト運営に影響大、Cookie規制による制限を3つ紹介

Cookieに対する規制には、具体的にどのようなものがあるのでしょうか?

ここでは3つの制限を紹介します。

ブラウザによる制限

サードパーティクッキーではブラウザによる保存拒否や即時破棄、デフォルト設定におけるサードパーティクッキーの拒否(許可に設定変更することは可能)、ファーストパーティクッキーでは、Safariの利用時にトラッキング目的のCookieの生存期間を24時間に制限、などの規制が存在しています。

 

これらの制限によって、従来のサードパーティクッキーに基づきユーザの情報を取得・分析していた手法では、正確な情報収集が困難になっています。

閲覧者の同意

Webサイトにおいて、Cookieを使用したデータ取得、保存、利用を行っていることについて、データの利用目的、取得内容、保管先などその詳細を公表し、それぞれの法規制に従って、ユーザから同意を取得する必要があります。

 

わかりやすく平易な言葉で公表すること、明示的に同意を得ることが求められ、「ユーザが無視した場合は同意とみなす」や「デフォルトで同意にチェックを入れておく」などの手法は、法的にも倫理的にも認められません。

 

そのため、ポップアップなどを表示する仕組みやプライバシーページの改修・設置などのサイト修正が必要となる場合もあります。

 

ユーザがCookie取得の同意の意思表示を保留し、意思表示しないままWebサイトの閲覧を続けている場合、Cookieの同意取得ツール側では「ユーザのデータを収集しない」動作をデフォルトとしているケースが多く見受けられ、データがほとんど取れないなどの問題も顕在化しています。

Cookieデータの削除

利用者がCookieのデータ削除や利用停止を求めた場合は、その要求に応える仕組みを構築する必要があります。こちらのついても、ユーザがリクエストを行うポップアップやデータ削除の仕組みの実装が必要となります。

 

個々の規制や法律の内容を正しく把握し対策することで、トラブルに発展しない方法で情報収集およびデータ活用することが大切です。

 

こちらの記事でユーザの同意取得に関する解説をしています。

【関連記事】:Cookieの利用には同意が必要!プライバシー保護を意識したWebサイト運営を

Cookie規制がデジタルマーケティングに与える影響

cookie-kisei-1

それでは、Cookie規制による制限が実際のデジタルマーケティングに対して、どのような影響を与えるのでしょうか?

広告のパーソナライズ

サードパーティクッキーは、自社のWebサイト以外の情報も保持しています。これまではそれによりユーザの趣味嗜好を広範囲に収集し、コンバージョン率の高い高精度な広告配信を実現し、かつ広告接触によるコンバージョンの成果をタイムリーに計測できていました。

 

しかし、Cookie規制により、オーディエンスの属性や同一性(そのユーザが同一人物かどうか?)の確認や長期にわたる属性情報の蓄積が困難になり、人をベースにしたオーディエンスターゲティングなどの運用型広告の手法は、著しく精度が低下する状況となっています。

アクセス解析

Webサイトのアクセス解析は複数の方法がありますが、代表的な選択肢のひとつにGoogle Analyticsがあります。

 

現在は、Google Analytics4がリリースされていますが、ユーザのプライバシー保護に一定の配慮がなされた設計です。しかし、Googleでは各国の法令や規制を遵守していることを保証しておらず、意図せずGDPRや改正電気通信事業法に違反してしまうリスクが存在します。

 

Google Analyticsのリスクについては、こちらの記事でもご紹介しています。

【関連記事】:Google analyticsは個人情報保護法を遵守している?リスクや対処を解説

DMPやCDPをはじめとするデータ活用への影響

サードパーティクッキーの即時廃棄やファーストパーティクッキーの生存時間が24時間など極めて短時間に制限される状況は、Cookie値が分断されるため、連続した個の属性としてデータを蓄積できないことを意味します。

 

このようなデータは、複数のシステムから異なるデータを集約・統合し、加工処理し、予測分析や機械学習、AIに活用するDMPやCDPにおいて、時系列データとしての統合をより困難にします。

 

会員IDやログインIDなど、Cookie以外のデータをタグとして活用したり、日々更新する名寄せテーブルによってデータ統合を試みる、といったCookie値の分断を前提にしたさまざまなID統合の方法論や予測分析の組み合わせなど、各社による試行錯誤が続いています。

 

これまでのデジタルマーケティングは、サードパーティクッキーを自由に使用できることを前提とした手法が数多く存在しました。現在、それらの手法には法的リスクがあり、自社のデジタルマーケティングのコンプライアンスを定期的にリスクアセスメントの観点で見直すことが大切です。

Cookie規制を受けて、企業が取るべき対応とは?

gdpr-google-analytics-2

Cookie規制関連の法令が施行される中、Webサイト上でCookieを使用している場合に実施するべき対応を解説します。

Cookie利用に関するユーザの同意取得

Webサイト上でCookieを用いた情報収集や分析を行うことについて、ユーザの同意を得る仕組みを実装します。そのためにはポップアップによる同意ボタンの表示や、データの利用目的や収集範囲をわかりやすく明示する必要があります。

Cookie利用状況の管理

Cookie利用に関するユーザの同意記録を残し、収集したデータを安全に管理します。ユーザ本人から要求があった場合に収集したデータの開示や削除に速やかに対応できる運用体制を整えておくことも重要です。

オプトアウト手段の提供

ユーザがCookieの利用に同意しない場合は、拒否する手段を用意します。Cookie利用に同意するボタンと共に拒否ボタンも表示することが一般的です。また、一度同意した後でもユーザ本人が同意を撤回できる手段を提供する必要があります。

 

これらの対応はCookieを活用してユーザデータを収集する際に必要となります。自社のサイトを確認し、漏れなく対応できるようにしましょう。

Cookie規制への対応や有効な対策とは?

このような状況の中、情報収集を適切に行うにはどのような方法が考えられるでしょうか?ここではCookieの規制への対応や対策を見ていきます。

ファーストパーティクッキー&サーバサイドクッキーの使用

サードパーティクッキーは実質的に活用が困難な状況であるため、サーバサイドのファーストパーティクッキーの活用を検討します。

 

サーバサイドクッキーは、ビーコンによるデータ収集をターゲットにした主要ブラウザのCookie規制や電気通信事業法に代表される外部へのデータ送信をターゲットにした法規制への対策として非常に有効です。

アクセスログからの分析

Webサーバに保存されるアクセスログには、IPアドレスやアクセスしたページ、アクセス日時など、ユーザに関連する基本的な情報が記録されています。このログを分析することで、Webサイトのアクセス解析を行うことができます。

パケットキャプチャ

クライアントとWebサーバ間の通信は「パケット」と呼ばれるデータの単位でやり取りされています。パケットには、HTTPヘッダーやbody(リクエスト等の内容)が含まれており、Webサイトに対して、いつどのようなアクセスが誰によって行われたのかを分析することができます。

 

パケットキャプチャではアクセス解析にサーバサイドクッキーを使用することができます。ビーコンによるデータ収集をターゲットにした主要ブラウザのCookie規制や電気通信事業法に代表される外部へのデータ送信をターゲットにした法規制への対策として非常に有効です。

 

Cookieの制限を回避し、かつ適切な情報収集を行う場合、これらの方法は検討すべき選択肢のひとつと言えるでしょう。

利用者のプライバシー保護と企業の情報収集の両立がカギ

GDPRや個人情報保護法などの法的な規則のみならず、「自分のデータを守る」というプライバシー保護の意識は、国民ひとりひとりの個人レベルでも高まりを見せています。情報を提供する企業として、不適切な個人データの収集や利用は、コンプライアンス違反、プライバシー侵害であると明確に認識し、データを適切に取扱うことが大切です。

 

サードパーティクッキーへの制限は非常に厳しいものとなり、実質的に今後の活用は困難な状況にあります。情報収集の選択肢が狭まることは、避けられない事実ですが、一方で明確な法律やルールが制定され、企業もユーザもそれらを遵守することで個人情報や個人データの適切な取扱いや安全性がより高められることもまた明確な事実であり、これらはメリットと捉えることもできるのではないでしょうか。

 

RTmetricsは、GDPRに準拠し、企業のニーズに合わせた構成で導入できるアクセス解析ソフトウェアです。多くのデジタルマーケティング関連のツールやソリューションで採用されているWebビーコンを用いたタグ型でも、RTmetricsではサーバサイドのファーストパーティクッキーが標準です。タグ型以外にも、Webサーバのログを解析するログ型、パケットをキャプチャして解析するパケットキャプチャ型の全方式を取揃えています。

 

今後のアクセス解析に不安を抱えている方は、ぜひRTmetricsをご検討下さい。

 

w728xh90_1009_B