Cookie規制と個人情報保護法の影響

WEB

個人情報の取り扱いは年々厳しくなり、Webサイトにおいても、法律や企業による規制が拡がっています。中でも、サイトで利用されているCookieについて、個人情報保護の観点から問題視されています。Cookieの機能とリスク、世界と日本国内のCookie規制による影響についてご紹介します。

Cookie(クッキー)とは

Cookieとは、Webサイトでのユーザーの行動を記録するテキストファイルです。
Cookieによって、訪問したWebサイトの情報が一時的にパソコンやスマホに保存され、サイトの改善や利便性を高めるために活用されています。

Cookieの仕組み

Cookieの仕組み 初回アクセスでCookieをブラウザに保存し2回目以降のアクセスで保存したCookieをサーバーに送信

Cookieの種類と3rd party Cookie(サードパーティクッキー)廃止

Cookieの種類は、1st party Cookie(ファーストパーティクッキー)と3rd party Cookie(サードパーティクッキー)に分けられます。
個人情報保護の観点から規制の対象となるのは主に3rd party Cookieで、主要のブラウザでは2023年までに廃止される予定です。

1st party Cookie
(ファースト パーティ クッキー)
3rd party Cookie
(サード パーティ クッキー)
発行元訪問したサイト訪問したサイト以外
(バナー広告により広告配信サーバーから発行など)
機能 ・目的・2回目以降のログインの自動化
・フォーム等の入力情報の保存
・ECサイトのカートへの商品情報の保存
・アクセス解析 など
・ドメインを横断したアクセス履歴の追跡
・アクセス履歴に合わせた広告の配信
・広告効果の測定
・広告貢献度の分析 など
今後の動向継続して利用可能 2023年までに段階的に廃止

Cookieの危険性

Cookieは、WebサイトのUX向上やマーケティングに役立つ反面、以下のような危険性があります。

  • 盗難や共有デバイスでの情報漏洩(他人によるECサイトでの購入など)
  • ユーザーのプライバシー侵害(アクセス履歴の追跡)
  • Cookie情報の盗聴による不正ログイン(セッションIDの偽装アクセス)

セッションID偽装による被害例

  • 機密情報の漏洩
  • オンラインバンクの不正出金
  • 登録情報の改ざん
  • クレジットカードの不正利用

Cookie規制と個人情報保護の流れ

3rd party Cookieで複数のWebサイトを横断しアクセス履歴を収集することは、個人情報保護の観点から規制が拡大し廃止に向けて進んでいます。

2017年9月:AppleがITPリリース(クロストラッキング奉仕) 2018年5月 EUが一般データ保護規則(GDPR)施行 2019年9月 Firefoxでサードパーティクッキーをブロック 2020年1月 米国カリフォルニア州消費者プライバシー法(CCPA)施行 2020年3月 AppleがSafariでサードパーティクッキーを完全排除 2020年6月 AppleがiOS14でIDFAの利用を制限 2022年4月 改正個人情報保護法の施行 2023年 サードパーティクッキーを廃止

※IDFA (Identifier for Advertisers) とは、Appleがユーザーの端末にランダムに割り当てるデバイスIDで、各iOS端末におけるユーザー行動のトラッキングが可能になります。

Cookie規制とGDPRなど世界の個人情報保護法

Cookieを個人情報保護の対象として法律で規制する動きが世界的に拡がっています。
2018年5月にヨーロッパ(EU)でGDPR(EU一般データ保護規則)が施行され、EU加盟国の国内法やアジア・オーストラリアにCookieの法規制が拡がりました。
米国ではカリフォルニア州でCCPA(カリフォルニア州消費者プライバシー法)が施行されています。

Cookieに関連する各国の個人情報保護法

Cookieに関連する各国の個人情報保護法 シンガポール ブラジル アメリカ ケニア タイ ベトナム スペイン イタリア イギリス フランス ドイツ オーストリア EU オーストラリア

GDPR(EU一般データ保護規則)とは

GDPRとは、EUの居住者の個人データの移動と取り扱いを定めた法令です。Cookieは個人情報とみなされ、取得や活用には本人の同意が必要とされます。

  • EU領域外の事業者にも適用
  • Webサイトのユーザーに個人情報利用の同意を求める必要
  • Cookieなどで得られる個人データも対象

GDPR違反の制裁金事例

GDPRの制裁金は、対象企業の世界年間売上高の4%または€2000万(約26億円)のいずれか高い方を最大としています。

GDPR違反の制裁金事例

CCPA(カリフォルニア州消費者プライバシー法)とは

CCPAは、米国カリフォルニア州民の個人情報が無断で第三者に販売されているという現状から、プライバシー保護を目的に制定されました。

  • カリフォルニアに拠点がない事業者も対象
  • どのような個人情報が収集、利用、共有、販売されたのかを知る権利
  • 事業者が収集した自身の個人情報の削除を要求する権利
  • 規定されるプライバシー権を行使した際に不当な扱いをされない権利

個人情報保護法改正(2022)とCookie規制

日本国内でも、2022年4月1日に改正個人情報保護法が施行され、Cookieが規制の対象になりました。Cookieに関連する個人情報保護法の改正内容とその影響をご紹介します。

個人情報保護法改正のポイントと影響

改正のポイントは「個人の権利拡大」と「個人関連情報の規制対象化」の2点です。

①個人の権利拡大

個人情報を扱う事業者に対し、本人からの個人データの利用停止や削除請求ができるケースが追加されました。

  • 従来:「目的外利用や不正取得のような法律違反があった場合」に限定
  • 改正後:「本人の権利または正当な利益が害される恐れがある場合」を追加
情報管理体制の整備が必要に

個人情報の開示・利用停止などの請求を行いやすくなったため、個人情報を扱う事業者は情報開示や削除の要求に対応できる情報管理体制が求められます。

②個人関連情報の規制対象化

  • Cookieは個人関連情報に該当
  • Cookieなど個人関連情報の第三者提供に本人の同意取得が必要

個人関連情報とは

個人関連情報とは「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」とされ、個人情報に照合し個人情報となることが想定されるデータです。Cookie情報やインターネットの閲覧履歴、IPアドレスなどが個人関連情報に該当します。

「同意取得」の対応が必要な対象企業とは
改正法に関連するガイドライン等の整備に向けた論点についての図表
出典:個人情報保護委員会「改正法に関連するガイドライン等の整備に向けた論点について(個人関連情報)

企業のCookie規制

AppleとGoogleは、ユーザーのプライバシーに配慮し、3rd party Cookieを廃止する方向へ動いています。一般企業には、GDPRなど法規制への対応や、世界的なCookie規制の影響で、Cookieの取得・利用にあたってユーザーの同意を得る動きが拡がっています。

AppleのITPによるCookie規制

Appleは、2017年9月からiOS11で「ITP(Intelligent Tracking Prevention)」をブラウザ「Safari」に実装し、3rd party Cookieの利用を制限してきました。
ITPとはサイトトラッキング(ユーザーのネット上での閲覧履歴の追跡・記録)を防止する機能で、3rd party Cookieによるトラッキングの制限やユーザーデータの蓄積を防止しています。
2020年9月にリリースされたiOS14では、アプリ内ブラウザもITPに追加されました

ITPによるCookieの有効期限の変遷

ITP
(アップデート)
3rd Party Cookie1st Party Cookie
ITP1.0
(2017年9月)
24時間無期限
ITP2.0
(2018年9月)
即時 無期限
ITP2.1
(2019年2月)
即時 7日間
ITP2.2
(2019年4月)
即時24時間
ITP2.3
(2019年9月)
即時24時間

Googleの3rd party Cookie廃止への動き

GoogleもAppleの後を追い、3rd party Cookieの規制を段階的に推進しています。

2019年5月「Chrome」のプライバシーとセキュリティを向上
2021年3月すべての広告で近い将来に個人を追跡しないことを明言
2021年6月「Chrome」の3rd Party Cookieの2023年後半の段階的廃止を発表
2022年1月Cookieに代わる新技術「Topics」の2022年内開始を発表

企業サイトのCookie同意ポップアップ実装

ヨーロッパで事業を行う企業は、GDPRの影響でCookie同意ポップアップのWebサイトの実装が標準化しています。
今後、世界的にCookieが個人情報として扱われ、Cookie同意ポップアップの実装が、国や地域を問わず拡がることが予想されます。

Cookie同意ポップアップの実装率と設置場所

ブラウザのCookie規制

主要ブラウザで3rd party Cookieの規制が拡大し、ユーザーの行動データを利用した広告配信や広告効果測定の精度が低下しています。
さらに、日本国内のモバイル(スマートフォン)では、3rd Party Cookieが利用できないSafariが約6割を占め、ユーザーの行動データを利用した広告配信の配信量、精度とも大きく低下していると見られます。

主要ブラウザのCookie利用状況(2022年4月)

ブラウザ3rd Party Cookie1st Party Cookie
Safari× 24時間(一定の条件)/7日間
Google Chrome 2023年以内に利用不可に
Microsoft Edg
Mozilla Firefox×
〇:利用可能  ×利用不可

参考 主要ブラウザの国内シェア(PC/スマートフォン)

日本国内デスクトップブラウザシェア Chrome60.5% Edge21.4% Firefox8.0% Safari5.4% その他4.7%
日本国内モバイルブラウザシェア Safari(iPhone)59.2% Chrome(Android)34.6% その他 6.2%

出典:https://gs.statcounter.com/browser-market-share/

Cookie規制と個人情報保護のFAQ

  1. Cookie規制が拡大したのは、なぜですか

    主に広告配信に活用されるCookie(サードパーティクッキー)が、ユーザーのサイト閲覧データを同意なく取得し、プライバシーを侵害しているという認識が高まったからです。

  2. Cookie規制によって、Webサイトの成果は下がりますか?

    はい。Webサイトの訪問や商品ページの閲覧履歴によって、ターゲットに配信する広告(リターゲティング広告)を利用していたサイトは、ターゲティングの精度が低下し、成果が下がることが予想されます。

  3. Cookie規制で、Cookieが使えなくなるのは結局いつですか?

    2023年までに、リターゲティング広告などに利用されるCookie(サードパーティクッキー)は、ほぼ利用できなくなります。ただし、アクセスしたWebサイトから発行されるCookie(ファーストパーティークッキー)は、これまで通り利用できます。

Cookie規制についてのご依頼やご質問・ご相談など、 お気軽にお問い合わせください

あとらす二十一

Webサイト構築・運用をご検討中の皆様へ
Webサイト構築サービス及び運用サービスをぜひご参照ください。

タイトルとURLをコピーしました