グーグルアナリティクスや広告等で利用しているcookie。
このcookieを利用すれば個人の特定やその行動を観察できるため、近年、プライバシー保護の観点から
問題視され、様々な対応が必要になってきています。
今回は、cookieの概要や規制状況、日本向けWebサイトでグーグルアナリティクスを導入している場合の対応を解説させていただきます。
※内容はWebアナリストの私見であり、法的な解釈や対応策を保証するものではありません。
※cookie規制は定まっていない面もあり、今後の個人情報保護法の改定などにより、Webサイト立ち上げ時の状況とは異なる場合があります。
目次
cookieとは?
cookieはユーザーのデバイスに保存されるテキストファイルで、ブラウザ単位で保存されます。
このcookieには訪問日時、訪問回数、ログイン情報などのユーザーのWebサイトの訪問情報が記録されています。
このcookieを利用すれば個人の特定やその行動を観察できるため、近年、プライバシー保護の観点から問題視され、以下のような環境変化が起こっています。
・EU圏内などの一部の地域
EU県圏内の「GDPR」やカリファオルニアの「CCPA」など、地域によってはcookieを個人情報として扱い、その取得や運用には厳格な規制が敷かれています。
・safari
iphoneやMacに搭載されているsafariでは通常、数年間単位で保存するcookieを7日間、条件によっては1日に限定されるようになりました。
・グーグルアナリティクス
利用規約などにcookie規制に関しての条項が追加されています。
日本向けWebサイトにクッキーポリシーは必要?
現在、日本の改正個人情報保護法ではcookieを「個人関連情報」として定めており、cookieを個人情報とし紐づけている場合は事前にユーザーに同意を得ることが義務づけられています。
参考)改正個人情報保護法について
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/
※出典:個人情報保護委員会ウェブサイト
個人情報と紐づけないcookie運用については、現状、具体的な対応は定まっていないと考えます。
ただし、以下のGAの利用規約に従い、クッキーポリシーの事前説明は必要になります。
また、今後、日本でも数年の間にEUなどと同様にcookieが個人情報と定義され、事前説明や同意は必要になる可能性はあります。
参考)Google アナリティクス利用規約
https://marketingplatform.google.com/about/analytics/terms/jp/
7、プライバシーより抜粋
お客様はプライバシー ポリシーを公開し、そのプライバシー ポリシーで cookie の使用、モバイル デバイスの識別情報(Android の広告識別子、iOS の広告識別子など)、またはデータの収集に使われる類似の技術について必ず通知するものとします。
また、Google アナリティクスを使用していること、および Google アナリティクスでデータが収集、処理される仕組みについても開示する必要があります。
ソーシャルプラグインにも注意が必要
例えばFacebookにログインしたまま、facebookのいいねボタンが設置されているニュースやブログ等の
ページを閲覧した際にボタンをクリックしていなくてもFacebookへユーザーIDやアクセス情報が送信され、
同社側で個人の特定が可能なようです。
その他のSNSもページの閲覧時点やボタンのクリック時に同じようにユーザーIDなどを送信している可能性があるため、ソーシャルプラグインを利用する場合は、最新の注意が必要です。
参考)個人情報保護委員会 SNSの「ボタン」等の設置に係る留意事項
https://www.ppc.go.jp/news/careful_information/sns_button/
※出典:個人情報保護委員会ウェブサイト
参考)[いいね!]ボタンや他のソーシャルプラグインが実装されたサイトにアクセスした場合、Facebookにcookie情報は送信されますか?
https://www.facebook.com/help/206635839404055?ref=dp
日本向けサイトでグーグルアナリティクスを利用する上で必要な対応
・グーグルアナリティクス関連の規約確認
・クッキーポリシーの明示(ソーシャルプラグインを利用している場合は注意点も記載)
日本向けWebサイトのクッキーポリシーに必要な要件
アネモネが解釈している日本向けWebサイトのクッキーポリシーに必要な要件は以下の通りです。
・クッキーの説明
・クッキーを利用している事の明文化
・クッキーの利用目的
・クッキーを取得しているツール情報
・クッキー取得の拒否方法(オプトアウト)
・ソーシャルプラグインの注意点
・クッキーポリシーのお問い合わせ先
・その他、自社ポリシーや取り組んでる個人情報関連フレームに準じた内容
海外向けのクッキー規制対応について
海外向けのクッキー規制への対応は基本、オプトイン対応が必要になりcookieの管理と運用を求められ、対応するエリアによって対応フレーム(透明性と同意のフレームワーク(TCF)など)も異なります。
単純にcookie同意バナーを表示させれば良いだけではないため、ご注意ください。
あとがき
アネモネは、法律家ではないため、cookie規制対応の法的な判断はできませんが、Webアナリストとして技術的な観点から国内向け、海外向けWebサイトのcookie対応をサポートしています。
是非、お気軽にご相談ください。