2024.09.242024.09.24
WEBにおける個人情報保護の重要性とCookieの関係についてわかりやすく解説
インターネットが普及するなかで、ユーザーのデータがどのように扱われるかが重要視されています。
特に、WEBサイトがユーザーの情報を収集する手段の一つである「Cookie(クッキー)」は、プライバシー意識の高まりとともに慎重な取り扱いが求められています。
この記事では、プライバシーとCookieの関係について、わかりやすく説明します。
プライバシー保護とCookie(クッキー)規制について
近年、インターネット上でのプライバシー保護に対する関心が高まっており、特にCookie(クッキー)の利用に関する規制が注目されています。
クッキーとは、ユーザーがWebサイトを訪問した際にデバイスに保存される小さなデータファイルで、ユーザーの行動や設定を記録するために使われます。ログイン情報の維持などWebサイトを快適に使うためにはクッキーの存在は欠かせないですが、企業がマーケティングで活用するためにも多く利用されています。
しかし、クッキーの使用が広がるにつれて、企業がユーザーのデータを際限なく収集し、利用するケースが増加しました。
特に、規制が行われる前は、消費者が何も知らされないうちに多くの情報・プロファイリングが収集され、ターゲティング広告やその他のマーケティング活動に利用されていました。
このような状況に対して、懸念が高まり、クッキーの取り扱いに関する規制がEUを皮切りにして世界各国でも求められるようになり、その結果、各国でプライバシー保護に関する法整備が進み、クッキーの利用に対する規制が強化されています。※クッキー以外のトラッキング技術も含め簡略化のため本書では以後クッキーと記述します
クッキーについては下記の記事でも詳しく解説をしています。
個人情報保護法とクッキー規制の関係
個人情報保護法においてクッキーの情報はそれ単体では個人情報とは扱われませんが、他の情報と容易に照合でき、特定の個人を識別できる場合は個人情報として扱われます。また、例えば、取得したクッキーを他の企業に提供して、その提供先がクッキーの情報を保有する個人データと突合して利用する場合、個人関連情報第三者提供規制の適用対象となり、予め本人の同意を取得する必要があります。一方で、ログイン認証も行わず、氏名やメールアドレス等の個人情報も取得していないため、クッキーのみでは個人を特定できないターゲティング広告などは第三者提供規制が適用されないと解されています。
改正電気通信事業法とクッキー規制の関係
改正電気通信事業法により、対象事業者がWebサイトやアプリでクッキー情報等を外部に送信させる場合、情報の提供、事前同意の取得、またはオプトアウト機会の提供のいずれかが義務付けられています。規制対象となるケースはGoogleアナリティクス等のアクセス解析やターゲティング広告の配信も当てはまります。情報提供すべき内容としては端末IDや閲覧履歴などの送信される利用者情報の内容、送信先の企業名又はサービス名称、利用目的の3点の提示が必要です。クッキー規制はマーケティングの現場と非常に密接な関係にあります。クッキー規制については下記の記事でも詳しく解説をしています。
消費者の信頼を得るためには法令遵守のみでは不十分
日本の法規制において、クッキーは個人関連情報として一部が規制対象になりましたが、規制対象外であればユーザーのプライバシー保護を尊重せずに自由にデータ活用をして良いという姿勢だと消費者の信頼を得るのは難しいかもしれません。消費者が求めるプライバシー保護レベルは法令遵守をするだけでなく、「積極的に情報を開示しているか」「わかりやすく透明性のある説明があるか」など誠実な姿勢を見せているかを重視しています。そのため、クッキー情報の取得においても、仮に規制対象に当てはまらないとしても、取得する情報の内容、利用目的や送信先はしっかりと情報提供し、もし拒否をしたいと思った時には容易に設定を変更できるような機会の提供をすることが重要です。
クッキー同意における課題
多くのWebサイトで、クッキーの使用についてユーザーから同意を得るためにクッキーバナーが表示されるようになっています。たしかにクッキーバナーを活用することで、効率的に同意や拒否を確認することができますが、増えすぎてしまったクッキーバナーにより、別の課題を生み出してしまいました。
みなし同意
みなし同意とは、ユーザーがクッキーバナーに対して明示的な拒否のアクションを起こさない場合に、自動的に同意したとみなされることを指します。例えば「本サービスを利用しているユーザーは、利用規約に同意をしたものとみなします」などの文言が表示され、ユーザーが同意をしていると判断するようなものが代表的です。これは、ユーザーの明確な同意の意思を反映しているとは必ずしも言えないため、同意の有効性が疑問視されている同意取得方法です。
同意の形骸化
日本においてはクッキーの利用においても「通知」または「公表」でよいケースがほとんどですが、実際には多くの企業では同意の取得が不要なケースでもクッキーバナーを出して同意を取得しているため、消費者はインターネットを利用すると相当数のクッキーバナーを目にすることになります。結果としてユーザーがクッキーバナーに記載された内容を理解した上で同意をしているわけではなく、単にWebサイトに出てきたクッキーバナーを早く消したいがために、とりあえず同意をしてしまうことが増えてしまい、本来であれば本人の意思の元に行われるべき同意が形骸化してしまっているという実状があります。また、ブラウザがプライバシー保護のためにクッキーを消すことで、毎日訪れるような信頼しているWebサイトで昨日も同意をしたのにも関わらず今日も同意を求められたりと、毎日同意をしなくてはいけない状況となってしまい、ユーザーが「同意疲れ」に陥ってしまう問題もあります。そしてこの同意疲れが原因となり、さらにクッキーバナーや利用規約などを読まずに同意をしてしまう癖をつけ、同意の形骸化を助長してしまっています。この同意の形骸化によって本人の意志と反したデータの悪用が行われてしまう懸念があり、新しい課題となっています。
ダークパターン問題
ダークパターンとは、企業が自社利益を優先してユーザーの選択を意図的に狭めたり、操作したりするように設計されたインターフェースやデザインのことを指します。例えば、クッキーバナーにおいては「同意する」ボタンを目立たせ、「拒否する」ボタンが目立たないデザインや「同意する」ボタンしかなく、その同意ボタンを押さないとWEBサイトを見ることができないなどがダークパターンに該当します。上記の例はクッキーバナーの内容に焦点を当てたほんの一部ですが、このようにダークパターンを利用したクッキーバナーでは、消費者は「同意する」ボタンを押したとしても本当に納得して同意をしていない可能性があります。前述した同意の形骸化も、ダークパターンを活用したクッキーバナーを増やす要因の一つとなっています。
プライバシー保護への対応とユーザー配慮が重要
このような背景から、企業が法令遵守するだけでなく、ユーザー体験を損なわない形でプライバシー保護を実現することも検討すべき世の中になったと思います。積極的にプライバシー保護の姿勢を示したいコーポレートWebサイトがその企業の方針で透明性の高い情報開示をし、本人関与機会も提供してクッキーバナーを出すこと自体は決して悪いことではありません。一方で、商品やサービスを紹介するブランドWebサイト(以下、ブランドサイト)では、従来商品やサービスをよりよく消費者に見えてほしいにもかかわらずクッキーバナーを掲出すると離脱率の向上やデザインの毀損、消費者のストレス、拒否された際にデジタルマーケティングのデータがとれないといった問題があったため、法的な義務がないのであればクッキーバナーは入れないという判断をしていることがほとんどでした。そのため十分な「透明性」の確保と、「本人関与機会の提供」ができていないWebサイトが多いのが現状です。
しかし、ブランドサイトを管理する事業部門の方々も決して消費者のプライバシー保護を軽視している訳ではありません。クッキーバナーによる「透明性」の確保と「本人関与機会の提供」が重要であることは理解されていますが、従来のクッキーバナーでは、プライバシー保護を重視しようとすると、ブランドサイトのUI/UXを毀損するため、クッキーバナーを導入しないという判断になっていました。この問題はブランドサイトのトップページにバナーを出さずに「透明性」や「本人関与機会の提供」ができれば解決できます。加えて、「とりあえず同意」や「同意疲れ」といった問題を回避し、ユーザーにストレスを与えることなく、プライバシー保護が可能となります。従来のクッキーバナーではこの実現に比較的複雑な設定を施す必要がありましたが、これを簡単に実現するためのツールとして、IIJが提供するSTRIGHTをご紹介します。
STRIGHTはユーザー目線の新しいプライバシーツール
ポップアップで表示されるクッキーバナーの設置はプライバシー保護として重要な役割を果たしている一方で、同意が不要な場面でもクッキーバナーが多く表示されることが同意疲れを引き起こしている要因の一つと紹介しました。ユーザー体験を損なわずにプライバシー保護がしっかり行えるSTRIGHTは新しい日本製のプライバシーツールです。以下にSTRIGHTの特長を4つ紹介いたします。
デフォルトでクッキーバナーは表示されない
STRIGHTはデフォルトでクッキーバナーを出さないという設定が可能です。日本ではほとんどのケースでクッキーの処理をするにあたって同意は不要であり、そのような場合はクッキーバナーを表示させなくても問題ありません。ただし、どの情報が利用されているか詳しく説明をする透明性のある情報開示といつでも嫌になったら拒否できる本人関与機会の提示することが大切です。もちろん、積極的にクッキーバナーを表示させたいというニーズにも簡単な設定で対応可能です。
UI/UX毀損をしない
デフォルトでクッキーバナーが出ない設計になっているため、WebサイトのUI/UXを毀損することはありません。そのため、特にブランドサイトなどでプライバシー保護を目的として積極的に導入しやすいツールです。ポップアップで表示されるクッキーバナーはデザイン面の関係からブランドサイトでの導入は少ないのが現実です。だからといって、プライバシーツールを入れないでユーザーのプライバシー保護が適切に行えていない状態はユーザーのためにはならないので、UI/UXを毀損しないSTRIGHTはブランドサイトと非常に相性が良いといえます。
UI/世界各国の法規制にも対応
STRIGHTは日本の法規制のみではなく諸外国の法規制にも多言語で対応しています。例えば、EUのGDPR向けのオプトイン方式のクッキーバナーや決まった文言でオプトアウトが必要なCCPAタイプのクッキーバナーにも対応しています。グローバルに事業展開を進める企業にとってはこの各国での対応ができるかどうかは選ぶうえで重要なポイントなります。
日本製ツールならではの手厚いサポート
STRIGHTは日本のIIJが開発した日本製のプライバシーツールであり、サポートが手厚いことも特徴の一つです。日本語でのマニュアルも完備されており、相談をするときもIIJのプライバシー保護の専門家がサポートをします。
STRIGHTはユーザー・法務担当者・事業担当者課題を解決します
従来のクッキーバナーでは、ユーザーは快適にWebブラウジングがしたい、法務担当者は自社のプライバシー保護の取り組みを示していきたい、事業担当者はクッキーバナーがサイトデザインに影響を与えてしまうためクッキーバナーは導入したくないなど、それぞれが課題を抱えていました。STRIGHTはであれば上記のようなユーザー、法務担当者、事業担当者の課題をきれいに解決できます。
ユーザー体験を損なわずに行うプライバシー保護への誠実な取り組みは、デジタル時代における企業の競争力となります。STRIGHTを活用し、ユーザーのプライバシーを尊重しつつ、ビジネスの成長を実現する新しいアプローチを検討してはいかがでしょうか。
これらのポイントを満たすのはIIJのSTRIGHT
- 法務的にCookie同意の取得をしないといけない…
- ユーザーに手間かけてCVを減らしたくない…
- サイトのデザインを壊したくない…
STRiGHTならすべて解決!
お問い合わせはこちら