クッキー規制の背景

インターネットの普及に伴い、クッキーを活用したWebマーケティングが発展し、企業はユーザーの行動データを利用してターゲット広告やパーソナライズされたサービスを提供することで成果を上げてきました。

しかし、ユーザーのプライバシー意識が向上したことや企業からデータ収集が無制限に行われることへの懸念が高まり、これに対応するためにEUはいち早く規制を始めました。

2002年に制定されたePrivacy Directiveでは、第5条3項で「ユーザー端末に情報を保存する、あるいはその端末に保存された情報にアクセスすることはユーザーに対して明確かつ包括的な情報が提供され、かつ、処理を拒否する権利が与えられている条件のみで許可される」と定められ、クッキーの処理にはユーザーへの情報提供と拒否権の付与が必要とされていましたが、その後2009年のePrivacy Directive改正により、クッキーの処理にはユーザーの同意が必要とされました。

また、GDPRの第4条11項では同意についての要件は「陳述または明確な積極的行為により表明されたもの」でなければならないと定められています。EU以外でも米国のカリフォルニア州消費者プライバシー法（CCPA）や日本でも改正個人情報保護法など各国でクッキーの処理についての規制が進んでいきました。

クッキー規制の現状

次に、クッキーに関する規制の現状について詳しく説明します。特に、法律の規制やブラウザによる自主規制について触れていきます。

法律の規制

各国におけるクッキー規制の現状を説明します。

日本

日本は、クッキーを直接的に規制する明確な法律は存在しませんが、個人情報保護法や改正電気通信事業法により間接的に規制されています。

個人情報保護法ではクッキー単体は個人情報ではないとしているものの、他の情報と照合して特定の個人を識別できる場合は個人情報として扱われます。また、改正電気通信事業法により新設された外部送信規律の規制の対象事業者に該当し、Google Analyticsなどのアクセス解析やターゲット広告の配信など規制対象に該当する行為をする場合は「通知・公表」「事前同意取得」「オプトアウト機会提供」のいずれかに対応をする必要があります。

アメリカ

アメリカでは、連邦レベルでの包括的なクッキー規制は存在しませんが、州ごとに異なる規制が存在します。代表的な例として、カリフォルニア州消費者プライバシー法(CCPA)が2020年1月に施行し、消費者に対しての個人情報の収集と使用に関しての通知を義務としました。

オプトイン同意が必要な場面は特定のケースのみであるものの、消費者に対して収集する個人情報の種類や利用目的を通知するプライバシーノーティスやクロスサイトでのターゲティング広告に対するオプトアウト機会の提供は必要であり、オプトアウト権の説明や権利行使方法の提供に際して「Do Not Sell or Share My Personal Information」というタイトルのリンク設置が必要になります。その他にもバージニア州消費者データ保護法(VCDPA)が2023年1月、コロラド州プライバシー法(CPA)は2023年7月に施行など他の州でもデータプライバシーに関する法律が増えつつあります。

EU圏

EUでは、ePrivacy DirectiveとGDPR（一般データ保護規則）の組み合わせによって厳格にクッキー規制が行われており、ePrivacy Directive第5条3項とGDPR第4条11項により、ユーザーの同意を得ずにクッキーを使用することは厳しく規制されています。

そのため、クッキーの取得にはオプトイン同意が必要であり、ユーザーが同意を拒否する権利や、いつでも撤回できる権利の尊重が重視されています。違反した場合は最大で全世界年間売上高の4%以下または2,000万ユーロのいずれか高い方を制裁金として課されるため、非常に厳格な規制となっています。

シンガポール

個人情報保護法のガイドラインでは個人情報に該当するクッキーの収集や使用は事前にユーザーから同意を得る義務などを定めています。

ただし、この時のクッキーはセッション維持等のクッキーは含まず、ターゲティング広告で使用されるものが対象となります。

中国

中国では、サイバーセキュリティ法76条5項、個人情報保護法（PIPL）4条1項の個人情報範囲にクッキーが含まれていると解釈されており、取扱をするにあたって、その目的、方法及び範囲を明示し、かつ個人情報主体の同意を得なければならないとされています。

韓国

韓国ではクッキーが個人情報に該当するか明示的な規定はされていませんが、特定の個人が識別することができなくても、他の情報と容易に結合して識別することができれば個人情報に該当する可能性があります。

ブラウザの自主規制

法律の規制だけでなく、ブラウザによる自主規制も進んでいます。

Chrome

GoogleのChromeブラウザでは、プライバシーサンドボックスの開発を行い、サードパーティクッキーの段階的な廃止が予定されていましたが、現在は延期されています。ただし、プライバシーサンドボックスは引き続き開発が続く予定です。

Safari

AppleのブラウザSafariは、サードパーティクッキーの使用を2020年3月から全面的にブロックする機能をデフォルト機能として追加しました。

Microsoft Edge

MicrosoftのEdgeは現在サードパーティクッキーのブロック機能を搭載しており、ユーザーが選択を出来るようになっていますが、2024年3月に今後サードパーティクッキーは全面的に排除した状態を初期設定とし、代替となるAPIを提供する予定と発表しました。

Firefox

MozillaのFirefoxは、サードパーティクッキーのブロック機能が備わっており、デフォルトでは有効になっています。ユーザーが設定画面で特定のサイトのみサードパーティクッキーを有効にすることも可能です。

Apple・Googleのサードパーティクッキー規制

クッキー規制が広がる中で、特に近年注目されているのがサードパーティクッキーの規制です。

サードパーティクッキーは、複数のサイトにわたって同一のユーザー行動を追跡するため、プライバシー侵害への懸念が指摘されていました。

このような理由から、サードパーティクッキーの使用を制限する動きが強まり、特にAppleやGoogleがサードパーティクッキーの規制に対して制限、廃止に向けての動きを進めました。

Appleはクッキーの規制に関しては強く同調しており、Safariではクロスドメインによるトラッキングを防止する機能であるITP(Intelligent Tracking Prevention)を搭載し、2020年3月にはサードパーティクッキーをデフォルトで完全ブロックするようになりました。

Googleは広告によって収益の多くを上げている事業モデルであることから、Chromeにおけるサードパーティクッキーの廃止と代替技術であるプライバシーサンドボックス(Privacy Sandbox)の提案を行いました。

ただ、Chromeという世界的に高いシェア率を誇るブラウザを持つGoogleが提案するプライバシーサンドボックスに広告業界がこの技術に依存してしまうことやGoogleが自らの立場を利用して広告市場を独占するのではという懸念もあり結果的に独占禁止法の観点から英国の規制当局や広告業界からの反発が根強く残りました。結果として、Googleは2024年7月22日にChromeブラウザからのサードパーティクッキー廃止を撤回し、サードパーティクッキーとプライバシーサンドボックス双方を残すという決定を下しました。

関連リンク : Privacy Sandbox Update

クッキー規制はWebマーケティングにどう影響する？

クッキー規制が進む中、Webマーケティングに与える影響は避けられません。

特に、リターゲティング広告やコンバージョン計測など、これまでのマーケティング活動に大きな変化が求められます。以下に、具体的な影響について説明します。

広告配信のリターゲティングへの影響

サードパーティクッキーの利用が制限されることで、ユーザーのWebサイト間の行動を追跡し、サイトドメインをまたいで広告を配信する従来のリターゲティングの手法が難しくなります。

しかし各広告プラットフォームにおいて代替手段は既に開発されており、主に興味関心という軸でトピックを作り、そのトピックをターゲットとして広告配信を展開する方法が主立っています。

正確な計測が難しくなる

クッキー規制に対応をしていてもマーケティングデータの取得は可能ですが、今までよりもデータの欠損が目立ったり、取得した形跡はあるが詳細情報が表示されないなど計測の難易度が上がります。

ただ、これはWebマーケティングに関わる人の共通の内容でもあるため、自社だけ取得ができなくて競合より不利になるということはありません。

クッキー規制への対策

クッキー規制により既存のマーケティング手法が上手く活用できない場合はクッキーに依存しないマーケティング手法を取り入れることが重要です。以下に、具体的な対策を解説します。

集客における対策

クッキーに依存しないユーザーの集客は企業の保有しているデータの活用やターゲティング手法を工夫する必要があります。

ここでは、ファーストパーティデータの活用からコンテンツマーケティングまで、集客に役立つ具体的な対策を解説します。

ファーストパーティデータの活用

サードパーティクッキーの代わりに、ファーストパーティデータを活用することで、ユーザー情報の管理を自社で行うことが可能です。

このようなデータを管理するためにはWebマーケティングのツールを導入し、定量的に判断するための土台を整えることが重要です。

そのデータを元にユーザー属性の解析や各種データをつなぎ合わせて、ニーズの調査や仮説を立てて施策に移していきます。

コンテキストターゲティングの活用

コンテキストターゲティングとは、ユーザーの過去の行動や個人情報に依存せず、ページの内容やテーマに基づいて広告を表示する手法のことです。

具体的には、ユーザーが閲覧しているページに関連した広告を表示することで、興味を引きやすくし、広告の効果を高めることを目的としています。

ユーザー行動のデータに依存しないため、プライバシー保護の観点からも注目される手法です。

コンテンツマーケティングによる集客

質の高いコンテンツを提供し、ユーザーとのエンゲージメントを深めることで、自然流入を促進することが可能です。いわゆるSEO(Search Engine Optimization)がこれに当てはまります。

検索エンジンのアルゴリズムとユーザーニーズの両軸でコンテンツ対策をすることで、検索結果の上位表示を目指します。

LPの改善(LPO)

ランディングページ（LP）の改善を通じて、ユーザーのアクションを促進することが重要です。このような改善をすることをLPO(Landing Page Optimization)と呼びます。

主にUI/UXの向上やコンテンツ改善により、コンバージョン率を高めることを目的としています。

ページ単体ではなくサイト全体でコンバージョン率改善をすることも施策として有効であり、このような施策はCRO(Conversion Rate Optimization)と呼ばれています。

GoogleタグマネージャーのサーバーサイドGTMを活用

Googleタグマネージャーの機能の一つであるサーバーサイドGTMを活用することも対応策となります。ただ、サーバーサイドGTMは設定方法や運用に専門的な知識が必要となるため、実装ハードルが高いことが注意点です。

コンバージョンAPIの活用

コンバージョンAPI（CAPI）は、サーバーサイドでユーザーの行動データを収集し、広告プラットフォームに送信する仕組みです。

これにより、ブラウザベースのクッキーに依存せずに、広告の効果を正確に測定できます。

例えばFacebook広告の場合はFacebookで表示された広告がクリックされると、広告主のWebサイトに遷移をしますが、この時に発生した行動データは広告主のサーバーに直接データが送信されます。このデータがコンバージョンAPIを通してFacebookに送信され、広告の効果測定に活用されていきます。

その他の代替技術の活用

クッキーに代わる新しい技術が登場しており、これらを活用することで、クッキー規制に対応したマーケティングを実現できます。以下に2つの代替技術を紹介します。

フィンガープリント

フィンガープリントは主にユーザーのデバイス情報やブラウザの特徴を特定する手法であり、具体的な人物の特定をするのではなく、あくまでもブラウザの特定(推測)を行います。使用言語・タイムゾーン・ブラウザのバージョン・画面解像度などの情報から、ユーザーの傾向を推測します。

Google Topics API

Googleの新しいプライバシー保護技術であるTopicsは、ユーザーの閲覧行動からカテゴリを当てはめ、そのカテゴリの内容に基づいて広告配信をする方法です。

例えば普段から野球の情報を見ることが多く、グッズ購入もよく行う人は「/Sports/Baseball 」「/Sports/Sporting Goods/Baseball & Softball Equipment」とカテゴライズされる可能性があります。

このようにユーザーの興味関心を軸としてターゲティングを行うため、具体的なユーザー情報を取得することなく、プライバシーを保護しながらターゲティング広告が可能となります。

適切なプライバシーツールの活用が重要

クッキー規制が進む中、企業が適切に対応するためには、プライバシーツールの導入が非常に重要です。

しかし、クッキーバナーを導入する予定のWebサイトがブランドサイトの場合、事業担当者の方はクッキーバナーの導入を嫌がる可能性があります。事業担当者からすると、せっかく作ったブランドサイトの顔となる部分がクッキーバナーで隠れてしまい台無しになってしまうと考えるからです。

しかし、実はこのようなケースは日本では珍しくありません。クッキーの処理について日本では同意を取らなければいけない場面は一部のケースのみで、ほとんどは同意が不要となります。

そのため、法的義務が無いならクッキーバナーを入れないと決めるWebサイトは多くあります。

しかし、クッキーバナーなどのプライバシーツールを入れない状態では消費者に対しての「説明責任（透明性）と」「本人が嫌ならいつでも簡単にクッキーの取得をやめさせることができる（本人関与機会の提供）の観点でプライバシー保護が十分にできているとは言えない状況です。法的義務は確かにないかもしれませんが、プライバシーツールを導入することは企業のマナーと考えても良いでしょう。
しかし、どのツールでも良いというわけではなく、企業のニーズに合った「適切な」ツールを選ぶことが重要です。以下に、プライバシーツールを選ぶ際のポイント4つを紹介します。

ポイント①：国内外の法規制に対応している

本記事で紹介をしたように日本を含め、国や地域毎にプライバシー保護規制は必要な対応が異なります。そのため、グローバルに事業を展開している企業であれば、まず国内外の法規制に幅広く対応しているツールを選びましょう。

海外では制裁金が多額になるケースも珍しくありません。法的リスクが抑えられることで安心して事業に集中できます。

ポイント②：透明性のある情報開示と本人関与機会の提供

どのようなデータ処理をしているのか具体的に内容をユーザーに説明すること(透明性のある情報開示)や、ユーザーが拒否したいと思った時にユーザー自身が簡単に拒否できるような機会の提供(本人関与機会の提供)ができているかも重要なポイントです。

もしクッキーバナーやプライバシーポリシーを見た時に、自分のどの情報がどの目的で利用され、どこに送信されるのかがわかりにくい場合は、そのWebサイトはユーザーにしっかりと説明できているとは言い難いでしょう。

誰が見ても伝わりやすいようにサイト運営者は配慮をして設計をされているツールであることが大切です。

ポイント③：日本語でのサポート体制が充実

プライバシーツールを適切に設定するために各国の法規制への適切な対応やITの知識が必要となります。また、実装後も法規制が変わったり、対象サイトの状況が変わり様々な設定変更をしなくてはいけないなど運用面でも専門的な知識は必要です。

このような時に日本語ですぐにサポートできるサービスを利用すれば問題解決までのスピードも早く、やり取りの手間も少なくなります。

仮にサポートが海外でサポートは自国語以外で対応する必要があるとしたら、それだけでも現場担当者の方は少なからずストレスを感じるかもしれません。そのため、日本語でのサポート体制が充実しているかどうかは重要なポイントになります。

ポイント④：デフォルトでバナーを出さない設定ができる

クッキーバナーの表示設定を細かく調整でき、デフォルトではバナーを出さないなどの設定ができるプライバシーツールがおすすめです。

この設定ができることでクッキーバナーが大きく表示されてしまうことは無くなり、サイトの顔となるデザインを隠しません。事業担当者からするとサイトのデザインを損なわないというメリットがあり、ユーザーからするとバナーが表示されなくなるので快適にサイト閲覧をすることができます。

これらのポイントを満たすのはIIJのSTRIGHT(ストライト)

これらの要件を満たすプライバシーツールとして、IIJの「STRIGHT(ストライト)」が挙げられます。STRIGHTは、世界各国への法規制対応や透明性のある情報開示、ユーザー自身がいつでも拒否できるように本人関与機会の提供も可能。そして日本のインターネットのパイオニアであるIIJが開発した国産のプライバシーツールです。また、STRIGHTはデフォルトでクッキーバナーを出さない設定となっていることも特徴の一つです。

ブランドサイトなどはクッキーバナーの導入がWebサイトのUI/UXを毀損してしまうと懸念して導入を控えるケースも珍しくありませんでした。そのような課題にも解決できるようにSTRIGHTではクッキーバナーを出さずに、かつ、プライバシー保護もしっかり行える設計になっています。

プライバシー保護をきちんとすることはもちろん、ユーザーが使いやすいツールを導入することは、企業が誠実であることを示すことに繋がります。このような対応をしっかりと行う企業は、そうでない企業に比べて、消費者からの信頼をより得ることができ、企業のブランドイメージの向上、長期的な顧客関係の構築に繋がると考えられます。

プライバシーツールの選定は、単なる法令遵守だけでなく、消費者との信頼関係を築く重要なステップです。そのため、ツール選びには十分な注意を払い、企業の長期的な利益を見据えて選定することをおすすめします。

もしも、クッキーバナーの導入がまだでしたら、日本国産の新しいプライバシーツール「STRIGHT」をぜひ検討してはいかがでしょうか。