ホームページにあるCookieって何?
Cookieはお菓子のクッキーとは別物です。
皆さんはクッキーと言う言葉をご存知でしょうか?
クッキーと聞いてお菓子のクッキーを想像する方もいらっしゃるかもしれませんがこのクッキーというのは”Cookie”といってWEBサイト(ホームページ)を閲覧するときに使われる便利な機能です。
例えば、IDとパスワードを一度入力すると次回そのサイトを訪問したときにログイン情報が保存されていて入力の必要がなかったり、ショッピングサイトでカートに入れたものが、ページを閉じたあともカート内に残っているのもこのCookieのおかげです。
Cookieとは、特定のページを訪問した履歴やログイン情報などの入力内容を記録する仕組みのことです。
このCookieはWebページを閲覧した時サイト側が個別に識別番号を発行し閲覧者のパソコンに保存させる仕組みです。
なぜ、今回このような話をしたかと言うと次の3つのキーワードが今注目されているからです。
- GDPR(一般データ保護規則 General Data Protection Regulation)
- 個人情報保護法の見直し
- Cookie同意管理ツール「同意ボタン」「拒否ボタン」の設置
GDPRとは
GDPRとはEUが2015年に施行された法案です。世間ではCookie法という呼ばれ方もしていて、WEB業界では世界基準になるのではないかと日本でも非常に注目されている法案で、ウェブサイトを運営する企業が今後の対応をどうするべきか考え始められている案件です。
世界に先駆けたEUのCookie法GDPR
GDPRでは個人のデーターを記録するCookie規制の強化がおこなわれており、Cookie取得の「同意」の概念が厳しく規制されています。中にはGDPR違反で1億8339万ポンド(約240億円)の罰金を受けたイギリス企業もあります。
あなたのWEBサイトを放置しておくとあなたにもこのような罰金が来るかもしれません。
Cookieの種類
Cookieには大きく分けて「ファーストパーティCookie」と「サードパーティCookie」の2つのCookieが存在します。両者の違いはCookieの発行元のドメインです。
あなたが、例えばwww.●●●●.comというサイトに訪れた場合、このサイトのログイン情報を保存し次回、名前などの入力を簡単にするための「Cookie①」が発行されます。
また、このサイトにはバナー広告がありwww.△△△△.co.jp(広告会社ぼぢメイン)から「Cookie②」が付与されます。
この閲覧ページのドメインから発行される「Cookie①がファーストパーティCookie」と言い、「他のドメインから発行されている「Cookie②をサードパーティCookie」と呼びます。
Cookieには個別の識別IDが割り当てられそのIDで閲覧者を判断します。
ファーストパーティCookieは色々種類がありアクセス解析などにも広く使われています。
ここで大部分の場合、問題となるのはサードパーティCookieです。
このサードパーティCookieは発行元の広告会社が閲覧情報を取得します。
あなたが広告が貼られているAと言うWEBサイト(ホームページ)を閲覧したとします。
次に同じ環境(同じパソコンやスマホで同じブラウザを使った時)で他のドメインのBと言うWEBサイトに訪れます。そのBに同じ広告会社の広告があった場合、Aで取得した、Cookieの識別IDが共有されます。
あなたがAやBで閲覧した情報がCookieの識別IDにより同じ人物だと関連付けられます。
つまり、あなたがどのようなサイトに訪れどのような商品に興味を持ったかという情報が第三者である広告会社に渡ってしまうということです。
閲覧情報が広告会社のサーバーに保存される、閲覧中のホームページにある広告に「あなたが一度見た商品やその商品に関連したもの」が表示されることがあった経験はないでしょうか?
ある時は「とても便利な仕組み」で、ある時は「不安を抱く」これがサードパーティCookieの一例です。
GDPRは遠いヨーロッパの話だと思っていてはいけません。ヨーロッパで商売をされている企業や日本で観光業をされている企業の方はもちろんのことインターネットは世界中の人が見るため、いつどこでトラブルに巻き込まれるかは想像がつきません。
今の所日本ではCookieが個人情報に当たらないとされています。
しかしEUのGDPRの影響で日本でもCookieの取得に対する「同意する」「拒否する」の選択が義務になる方向性に動いています。
個人情報保護法の見直し
個人情報保護法は3年毎に見直されることになっています。
次の見直しは2020年です。
2019年11月29日に行われた第128回個人情報保護委員会において「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱(骨子)」が決定されました。
<別サイト>
その中の「提供先において個人データとなる場合の規律の明確化」個人に関する情報の活用手法が多様化する中にあって、個人情報の保護と適正かつ効果的な活用のバランスを維持する観点から、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する。
とあります。
上記が今回のサードパーティCookieに関する部分です。
リクナビ事件
2019年8月、就職情報サイト「リクナビ」運営元のリクルートキャリアが、学生の内定辞退率を予測して他社に販売していたことが発覚した。同社は顧客企業から応募者のCookie情報の提供を受け、リクナビ上の情報と組み合わせることで、利用ブラウザや個人を特定する仕組みを採用。特定した個人と過去のリクナビユーザーの行動履歴と照合し、内定辞退率を算出していた。
同社は内定辞退率のスコアを顧客企業34社に納品したが、リクナビのプライバシーポリシーに不備があり、一部の学生から事前に同意を得ていなかったことも発覚。法的・倫理的な観点から批判を集め、サービスを中止する事態に発展した。(引用:tmedia.co.jp)
このことをきっかけに日本でもCookieによる個人特定に関する世論が高まり今回の個人情報保護法の見直しに組み込まれることになったと言っても過言ではありません。
企業ができる対策
Cookieの規制開始は間近に迫っています。
サイトに早くからCookie同意の対策ツールを導入すれば、ユーザーからの好感度は間違えなくアップします。
最近見かけるCookie管理の同意・拒否ポップアップの例。既に運用が始まっています。
また、Cookie同意の対策ツールの導入による同意・拒否の確認をできるサイトにする準備が間に合わない場合は、Cookieを一旦削除するゼロクッキーロード(Cookieの利用同意を得るまでCookie情報を一切取得しないと言う意味です。)というのも1つの選択です。
GDRPの法令違反の場合、最大で2,000万ユーロ 又は 年間売り上げの4%の高い方の罰金が課されます。
無駄なリスクが負わないに越したことはないですから。
ビジョン・サプライで対策が可能です。
どの法改正やサポート期間終了による対策などいつもバタバタするものです。
当社も2020年からCookie同意の「同意」「拒否」ボタンの設置を本格的に商品に組み込む予定です。
ビジョン・サプライでは
・Cookie同意の対策ツールの設置やご提案
・WordPressを使ったホームページのリニューアル
・ホームページのSSL化
などのお手伝いをしております。
