Cookieの規制によって、デジタルマーケティングが大きく変わろうとしています。
そもそもCookieとは何か？なぜ規制されるのか？改正個人情報保護法においては、Cookie同意が必要なのか？個人情報やプライバシーに関わる問題なので、ウェブ/デジタルマーケティング担当者の方が知っておきたい必須の基礎知識から、対策における考え方までを詳しく解説します。

そもそもCookieとは

本来、Webサイトはブラウザから「ページ閲覧のリクエスト」をもらったら、単純にそのリクエストに応えて「該当するウェブページを表示」させる、という動作が基本です。
そのため、Webサイト側からは、そのユーザーが初めてのサイト訪問なのか、2回目以上の訪問なのかは識別する方法がありません。
そこでCookieの登場です。Cookieとはサイトに訪問しているユーザーを識別するために、サーバーがブラウザに対して発行するテキスト情報のことを指します。
このCookieの仕組みを活用した場合、Webサイトは、訪問したユーザーに対して、Cookieのファイルを持っているのか、持っていないのかを確認し、「持っていない場合＝初めての訪問」「持っている場合＝2回目以降の訪問」という識別をします。
一般的な店舗などに例えると、来店したお客様に発行する会員証のような役割を果たしています。
Cookieの仕組みを活用することで、ユーザーを判別することができるため、Cookieを持ったユーザーが再度サイトへ訪問したり、サイト内で移動したりすると、その度にそのユーザーが再訪問なのか、その後、どんなページを閲覧したのか、なども把握することができます。アクセス解析ツールによって、サイト内のアクセス履歴を把握できるのもこの仕組みを活用しているためです。
また、通常ユーザーにとっては特に意識することのないCookieですが、比較的、目に見える形で利用されているのが、会員サイトなどのログインの仕組みなどです。過去にログインしたことがある場合は、ユーザーIDなどは自動で表示してくれるなど、サイトに訪問したユーザーの利便性を高めるためにも活用されています。

覚えておきたい2つのCookieの違い（ファーストパーティとサードパーティ）

Cookieには、「ファーストパーティCookie」と「サードパーティCookie」の2つがあります。それぞれ発行元や用途に違いがあります。

ファーストパーティCookieとは

ファーストパーティCookieとは「訪問したWebサイトのドメイン」が直接発行するCookieのことです。たとえば、「it-comm.co.jp」というサイトに訪問した場合に、「it-comm.co.jp」のサーバーから発行されるCookieを指します。（下図ご参照）

このファーストパーティCookieによって、サイトに訪問しているそれぞれのユーザーを識別し、前述したように、ログインの操作がスムーズになったり、サイト内の閲覧履歴によって、おすすめの表示をしたり、アクセス解析のデータを蓄積することなどができます。サイトに訪問しているユーザーにとっては直接意識することは少ないのですが、サイトを運営する側にとっては活用の幅が広く、欠かせない存在になっているのがファーストパーティCookieです。

サードパーティCookieとは

では、もう一つのサードパーティCookieは何かと言いますと、「訪問先のWebサイトのドメイン」ではなく、別のドメイン（第三者）が発行したCookieを指します。
例えば、「it-comm.co.jp」というサイトに訪問した場合、訪問先のサーバーである「it-comm.co.jp」ではなく、第三者のサーバー（ここでは「47ps.net」）から発行されるCookieのことになります。（下図ご参照）

近年、自社のサイトではアクセス解析やオンライン広告、その他の外部サービスを利用し、ユーザーに対するおもてなしや広告配信さらにユーザーの行動分析などを行うことが広く普及してきました。その背景には、サードパーティCookieの活用があるのです。

次にサードパーティCookieの最大の特長と言える「異なるドメインを横断して識別することができる」という点について解説します。
たとえば「it-comm.co.jp」「sub.it-comm.co.jp」という別のサイトがあり、それぞれのサイトでは「47ps.net」という共通の外部サービス（第三者サーバーが存在）を利用しているケースです。
ファーストパーティCookieは「it-comm.co.jp」、「sub.it-comm.co.jp」それぞれのサーバーからそれぞれ別のCookieが発行されます。
サードパーティCookieの場合、「it-comm.co.jp」のサイト訪問時に呼び出される外部サービスサーバーである「47ps.net」から発行されます。そして「sub.it-comm.co.jp」に遷移した際にも呼び出された「47ps.net」サーバーは、すでに「47ps.net」からのCookieが発行済みであることが確認できます。（下図ご参照）

整理すると「it-comm.co.jp」、「sub.it-comm.co.jp」のCookieについては、それぞれ別のサーバーが発行しているCookieのため、例えば「sub.it-comm.co.jp」のサーバーが持つCookieを確認しただけでは、このユーザーが過去に「「it-comm.co.jp」サイトに訪問したかどうかを知ることができません。
ですが、サードパーティCookieによってブラウザの動きを識別できている「47ps.net」サーバーでは「it-comm.co.jp」、「sub.it-comm.co.jp」の両方のサイトへ訪問したということを知ることができるのです。

このように、行動履歴の把握という観点では、ファーストパーティCookieは、訪問したサイト内の履歴しか知ることができません。しかし、サードパーティCookieの場合は、異なるドメインのサイト内の履歴を横断的に見ることができます。つまり、膨大なサイトと提携しているようなサービスの場合は、それだけ多くのサイトにおける行動履歴を元にプロファイリングができるため、精度の高いレコメンドサービスや広告配信のターゲティング技術などに活用されているのです。

サードパーティCookie規制が進む背景

私たちがよく目にするレコメンドや広告配信の背景には多くの場合、先ほど説明したサードパーティCookieの存在があり、サードパーティCookieによる閲覧ページの履歴などを元にして、「性別」「年代」「興味関心」などを類推し、それらを活用したサービスとして提供されています。
このサードパーティCookieによる情報の取得、分析の取り組みは近年非常に高まりを見せており、Cookie自体には個人情報が含まれていなかったとしても、外部の会員サイトの会員情報などと突合することで、個人の閲覧履歴や興味関心についても高い精度で把握することも技術的には実現可能な世の中になってきました。
このような状況で問題になるのが、Cookie情報の濫用によるプライバシー侵害です。

欧米においては、元々プライバシー保護に関する意識が高いという背景もありましたが、2018年頃からCookieの取扱いについてもプライバシー保護の観点から個人情報もしくは個人情報相当として扱うことなどを定めた法整備が進みました。
これらを受けて、日本においても個人情報保護法の改正時のトピックのひとつとして、Cookieの取り扱いについても検討がされました。
結論から言いますと、2022年4月から施行されている改正個人情報保護法においては、Cookieは「個人情報」という扱いではなく、「個人関連情報」という位置づけになりました。

Cookieは個人情報ではなく個人関連情報。取扱い上の注意点は？

前述した通り、改正個人情報保護法において、Cookieは「個人関連情報」という扱いです。では、その「個人関連情報」とは何を指すのでしょうか。
個人情報保護法では「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう、としており、ガイドラインでは以下のように事例が紹介されています。
事例1）Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴
事例2）メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等
事例3）ある個人の商品購買履歴・サービス利用履歴
事例4）ある個人の位置情報
事例5）ある個人の興味・関心を示す情報
※1 個人情報保護法
※2 個人情報保護法ガイドライン（通則編）

上記の事例１)にある通り、Cookieが個人関連情報とされているのが分かると思います。
では、扱いとしては「個人情報」ではないCookieですが、最近のウェブサイトにおいて、Cookieの取得に関する同意を得るポップアップバナーが表示されるケースが増えているのはなぜでしょうか。
それには「個人関連情報」の取扱いにおける注意点を理解する必要があります。

Cookie取得時に同意が必要となるケース

現行の個人情報保護法（2022年4月改正）において、Cookie取得時に本人の同意を得る必要は基本的にはありません。ただし、以下のケースに該当する場合は同意が必要となります。

1. 取得したCookieを第三者提供し、なおかつ
2. 第三者提供した先で個人データと個人関連情報を付加する等による利用をする場合

例えば、このようなケースです。
A社では、個人関連情報としてCookieを取得しています。この状態だけであればA社はCookie取得の際に同意は不要です。
ただし、A社が取得したCookieをB社に第三者提供し、かつB社では提供されたCookieとB社が保有する個人データを結合して、利用する場合においては、あらかじめA社側でCookie取得時に第三者提供される旨やその後の利用目的などに関する同意を取得する必要があります。

Cookie同意管理バナーを設置する企業と設置しない企業の違いは？

ここまで、CookieとCookie規制の背景、改正個人情報保護法におけるCookieの取扱いをご紹介してきましたが、現在の日本の個人情報保護法では、Cookieの取得時にポップアップバナーを表示し、同意を得ることは必須ではありません。
では、なぜ多くの企業が同意管理バナーを実装しているのでしょうか。ポップアップバナーを実装し、同意を得るべき企業の状況を整理しました。

1. 欧米圏からの訪問を想定したウェブサイトである場合（欧米向けのビジネスをしている）
   →欧米はGDPRやCCPAといった日本国内の法規制よりも厳しい規制があります。そのため、Cookieも個人情報として取得する必要があります。そのため、欧米圏からのアクセスを想定しているウェブサイトの場合は、同意管理バナーの実装は必須と言えます。
   
   
2. データ活用ビジネス、デジタルマーケティングなどの取り組みが明確な場合
   →自社で取得したCookieを第三者提供も含めて、活用することが予定されている場合は、利用目的等含めて、同意に必要な事項を明確にし、同意を得ることが必要です。
   
   
3. 社会的な影響・責務や企業ブランドを考慮した場合
   →法律上、同意不要であれば問題ないのか？という議論に対して、企業の方針によって、訪問者にとってより透明性のある姿勢をとるべきである、などの結論に至った場合は、同意管理バナーの実装を推奨します。

Cookie同意管理バナーには、CMPサービスの利用がおすすめ

では、実際に同意管理バナーをウェブサイトに実装しようとする場合は、CMPサービスを利用するのがお勧めです。
Cookieの同意管理バナーにおいては、ドメイン毎にメッセージの出し分けや同意をしないとページの閲覧そのものができないようにするCookie WallなどCMPによって柔軟性に違いがあります。当社では、CMPサービスとして、トップクラスのシェアを誇り、機能面においてもGDPRなど欧米のCookie同意にも柔軟に対応できる「One Trust」を推奨しています。

まとめ

デジタルマーケティングに関わる人にとって、Cookie規制の話題はしっかりと身につけておきたい基礎知識の一つです。また、これを機に個人情報の取扱いにおける原則を学ぶことで個人の権利やプライバシーの保護を尊重する現代における意思決定の考え方も身につけられると思います。
本コンテンツでは

• そもそもCookieとは何か？
• 個人情報保護法におけるCookieの位置づけとは？取扱い上の注意点は？
• Cookieの同意管理をする必要性は？
• 同意管理を実現するCMP選び

などを紹介してきました。

デジタルマーケティングに携わる同僚の方、社内教育資料として、本記事の内容を教材としてまとめたコンテンツをご用意しましたので、必要に応じてご活用ください。

ITコミュニケーションズでは、Cookie規制に対応するためのCMPの導入やそもそもCMPを導入するべきか、どうか悩んでいる、という企業様に対して実務的なアドバイスから法律の専門的な観点からのコンサルティングメニューまでご用意しています。

個人情報やCookieの取扱いにおいて、何かお悩みのことがありましたら、お気軽にご相談ください。