専門家コラム
Expert Column

最近になって、WEBサイトを開いたとき、最初にCookieの同意を求めるポップアップが表示されるようになりましたね。いったいどういうことなのか、本日は記したいと思います。

Cookie(クッキー)とは

Cookieは、該当のWEBサイト等をご覧になったという情報を、その方のコンピューター(またはスマートフォンやタブレットなどのインターネット接続可能な機器)内に記憶させておく機能のことです。Cookieを利用することで、WEBサイトの訪問回数であったり、訪問したページの情報であったりを取得することが可能となります。
自社のWEBサイトや記事、ECサイトの商品等、訪問者がどのような情報に興味を示しているのか、どのようなWEBサイト等なら見てもらえるのか、等、WEBサイト等の運営者にとっても、PR戦略や商品販売等のためにとても重要な情報を得られることになります。
一方、訪問者としては、そのWEBサイトやWEBページを見たことが相手企業等に知られ、意図せず、広告や営業等に利用される場合もある、ということになります。これは個人情報やプライバシーの観点からどうなのか、という点が以前から問題視されていました。

EUにおける規制の開始

この点でまず動いたのがEUでした。EUでは、EU一般データ保護規則(General Data Protection Regulation:GDPR)が2016年5月に発効され、2018年5月25日から適用が開始となりました。
この規則により、個人データの処理、個人データの移転、基本的権利の保護、という観点から、厳しくかつ細かい個人情報に関するルールが定められました。しかも、企業に対し様々な義務を課すとともに、違反した場合には多額の制裁金を課すことでルールの遵守を厳格に働きかけています。
この規則の中で、CookieやIPアドレスなどのオンライン識別子は、他のデータと組み合わせることで、個人識別につながる場合に個人データの保護の対象とされています。
実際に、2019年にはGoogleがCookie使用により制裁を受けることになる等、規制が厳しくなっていた、という状況がありました。

日本への影響

このようにEUから始まった規制に対し、国内企業への影響、という意味では、以下の場合を除き、Cookieの使用や同意の取得に関してあまり影響はない、と言われてきました。

  1. EUに子会社、支店、営業所を有している企業
  2. 日本からEU域内の個人(消費者)に対して商品やサービスを提供している企業
  3. EUから個人データの処理について委託を受けている企業

しかし、我が国でも2022年4月1日に施行された改正個人情報保護法をきっかけに、上記のようなEUを相手にしている企業だけでなく、EUを相手にしていない国内企業においても、Cookieへの同意を管理するためのツールである「Cookieポップアップ」の実装を開始している、という状況があります。

本来、英語ページもなく、日本国内からのアクセスしかないWEBページ等の場合、GDPR対応(Cookieポップアップの実装)の必要はありません。ただ、改正個人情報保護法を根拠としたガイドラインも近々公開される見込みであるため、今後対応が必須である、ということで、先行して対応している企業が多く出てきている、というわけです。

自社での対応

以上のような流れがあるため、今後国内企業・国内向けのWEBサイト・WEBサービス等においても、Cookieを使用する場合にはその同意を求めるポップアップの実装は必要な対応となってくると思われます。
その場合に、プライバシーポリシーや利用規約においてCookieの使用に関する条項を設ける必要も出てくると思いますし、「Cookieポリシー」を新たに制定する企業もさらに増えてくると思います。
利用者・お客様からのクレームや訴訟提起をされる前に、事前に対応できることを早めに対応する、ということが今後ますます重要になると思います。
プライバシーポリシーやCookieポリシー等でお悩みの方はぜひ一度当サービスにお問い合わせいただけたらと思います。