2019年にリクルートが運営するリクナビ「内定辞退率予測」が問題になり、個人情報の扱い方を見直す企業が増えています。世界的にも個人情報保護の動きが加速しており、2020年以降は日本企業もより厳しい基準でデータを扱わなければならなくなりそうです。

特に多くのインターネット企業に影響を及ぼしそうなのが「Cookieの規制」です。ターゲティング広告などインターネット広告にもよく活用されているCookie が、今までのように使えなくなる可能性があります。

今回は、IT企業や広告担当者が知っておくべきCookie規制について徹底解説。個人情報保護の基礎知識や、国内・国外でどんな動きや規制が生まれているか、どんな問題が起きているかも詳しくご紹介します。2020年代もトラブルなく施策に取り組めるよう、今のうちに対策しておきましょう。

Cookieとは

「クッキー(Cookie)」とは、ウェブブラウザのログイン情報を蓄積したデータ、あるいはホームページを訪問したユーザーの情報や閲覧したホームページを一時的に保存する仕組みのことです。ユーザー情報として蓄積されるのはメールアドレスやユーザーID、パスワード、メールアドレス、訪問回数などであり、詳細な個人情報なのでユーザーの自動特定も可能です。

Cookieを利用することには多くのメリットがあります。ユーザーIDやパスワード、メールアドレスを記憶させておくことで、前に訪問したホームページに再ログインする時に自動入力や自動ログインができ、自分でユーザー情報を入力する手間が省けます。

また、ユーザーの年齢や性別、訪問したホームページの傾向を踏まえて属性や趣味嗜好を想定し、ユーザーにマッチした情報を提供することも可能です。いわゆるターゲティング広告が自動で表示されるようになり、興味のある広告が表示されやすくなるなどユーザーにとって便利なインターネット環境を構築できるでしょう。

なぜCookieの利用が規制され始めているのか

一方で、Cookieにはデメリットもあります。最近注目されているのが個人情報の問題。Cookieと他情報を照らし合わせることでホームページに訪れたユーザーを特定できるのです。2019年、就職情報サイト「リクナビ」の運営元であるリクルートキャリアが、就職活動中の学生のサイト閲覧履歴などを参考に学生の「内定辞退率」を予測し、その情報を採用企業に提供していたことが発覚し、大きな問題になりました。

企業が一方的に個人情報を収集して商用利用すると、個人情報が許可なく利用されことになり、ユーザーに不利益を与えるリスクがあるため問題視されています。

Cookie規制の動き

この問題を受け、2019年11月に個人情報保護委員会が「Cookieの利用でデータの提供先企業が個人情報を扱う場合、新たな規律を検討する」と公表しました。データを提供した企業が本人の同意なくCookieとほかの情報と照らし合わせ、個人を特定・提供する行為を防ぐことが目的です。

現行法のままではユーザーが一方的に個人情報を利用されてしまうリスクがあります。リクルートの問題は法的にも倫理的にも批判されていて、同様のトラブルが起きないように法規制をして再発を防ぐ必要があるでしょう。詳細は未定ですが、改正案を2020年1月の通常国会で提出する見込みです。

海外の動き

インターネット社会が進化するにつれて、個人情報の保護が重視されるようになりました。こうしたCookie規制の動きも世界的に活発化しています。

GDPR

ヨーロッパでは、2018年に個人データを保護する法律「GDPR(EU一般データ保護規則)」が施行されました。ビッグデータの活用が普及するなかで、顧客データや行動履歴がさまざまな企業でサービス開発や販促に利用されるようになり、情報の取り扱い方が大きく変わりました。

こうした変化に対応する新しい情報保護の仕組みがGDPRです。一般消費者だけでなく従業員や企業の担当者の個人情報も保護対象になります。GDPRはEUの法律ですが、日本企業であってもEUに子会社や支店があったり、EU居住者のデータを扱っていたり、EU向けにサービス提供していたりすれば適用されます。違反時には高額な制裁金が請求されるため、注意が必要です。

CCPA

アメリカでは、2020年よりカリフォルニア州消費者プライバシー法(CCPA)が施行される予定です。アメリカ初の個人情報法保護の州法であり、ほかの州でも同様の個人情報保護法整備への動きが生まれています。

また、Googleも2020年1月に「今後2年以内にChromeでのサードパーティ製Cookieのサポートを段階的に廃止する」と発表しました。一度ホームページに訪問したユーザーを見込み顧客として追跡するインターネット広告を多用する広告業界や出版社に大きな影響を与えるでしょう。

サイバーセキュリティ法

中国でも2017年6月にサイバーセキュリティ法が施行されました。GoogleやFacebookの台頭を背景に、データのセキュリティを強化し、国外へのデータ移転について規制・制御を行っています。

ただ、サイバーセキュリティ法は個人情報保護よりも中国国家の安全保障と重視しており、一般的な個人情報保護法とやや毛色が異なっています。

Cookie法(eプライバシー規制)

2019年春以降、EUをはじめとして世界各国でCookie規制が広まっています。もともとeプライバシー指令のもとでCookie規制が行われていたのですが、GDPRの同意要件が厳しくなったことにより、ドイツ、フランス、イギリスなどが相次いで見直しをし、2020年からCookie規制が強化される見込みです。

今後は日本企業への訴訟リスクも高まるため、Cookieポリシーを提供し、オプトインの同意を取得するまでCookieを取得しないことを最低限順守すべきでしょう。

Apple・Google

Appleでは、2020年3月にリリースしたiOS、iPadOS、macOSの「Safari 13.1」でサードパーティーCookieのブロックを実装しました。Googleも、2年以内にCookieデータの外部提供を廃止していく方針を2020年1月14日にChromium Blogで発表しています。

参考:
Chromium Blog: Building a more private web: A path towards making third party cookies obsolete
Cookie利用規制が今必要な理由を整理する- ITmedia マーケティング