2019年にリクルートが運営するリクナビ「内定辞退率予測」が問題になり、個人情報の扱い方を見直す企業が増えています。世界的にも個人情報保護の動きが加速しており、2020年以降は日本企業もより厳しい基準でデータを扱わなければならなくなりそうです。

特に多くのインターネット企業に影響を及ぼしそうなのが「Cookieの規制」です。ターゲティング広告などインターネット広告にもよく活用されているCookie が、今までのように使えなくなる可能性があります。

今回は、IT企業や広告担当者が知っておくべきCookie規制について徹底解説。個人情報保護の基礎知識や、国内・国外でどんな動きや規制が生まれているか、どんな問題が起きているかも詳しくご紹介します。2020年代もトラブルなく施策に取り組めるよう、今のうちに対策しておきましょう。

Cookieとは

「クッキー(Cookie)」とは、ウェブブラウザのログイン情報を蓄積したデータ、あるいはホームページを訪問したユーザーの情報や閲覧したホームページを一時的に保存する仕組みのことです。ユーザー情報として蓄積されるのはメールアドレスやユーザーID、パスワード、メールアドレス、訪問回数などであり、詳細な個人情報なのでユーザーの自動特定も可能です。

Cookieを利用することには多くのメリットがあります。ユーザーIDやパスワード、メールアドレスを記憶させておくことで、前に訪問したホームページに再ログインする時に自動入力や自動ログインができ、自分でユーザー情報を入力する手間が省けます。

また、ユーザーの年齢や性別、訪問したホームページの傾向を踏まえて属性や趣味嗜好を想定し、ユーザーにマッチした情報を提供することも可能です。いわゆるターゲティング広告が自動で表示されるようになり、興味のある広告が表示されやすくなるなどユーザーにとって便利なインターネット環境を構築できるでしょう。

なぜCookieの利用が規制され始めているのか

一方で、Cookieにはデメリットもあります。最近注目されているのが個人情報の問題。Cookieと他情報を照らし合わせることでホームページに訪れたユーザーを特定できるのです。2019年、就職情報サイト「リクナビ」の運営元であるリクルートキャリアが、就職活動中の学生のサイト閲覧履歴などを参考に学生の「内定辞退率」を予測し、その情報を採用企業に提供していたことが発覚し、大きな問題になりました。

企業が一方的に個人情報を収集して商用利用すると、個人情報が許可なく利用されことになり、ユーザーに不利益を与えるリスクがあるため問題視されています。

Cookie規制の動き

この問題を受け、2019年11月に個人情報保護委員会が「Cookieの利用でデータの提供先企業が個人情報を扱う場合、新たな規律を検討する」と公表しました。データを提供した企業が本人の同意なくCookieとほかの情報と照らし合わせ、個人を特定・提供する行為を防ぐことが目的です。

現行法のままではユーザーが一方的に個人情報を利用されてしまうリスクがあります。リクルートの問題は法的にも倫理的にも批判されていて、同様のトラブルが起きないように法規制をして再発を防ぐ必要があるでしょう。詳細は未定ですが、改正案を2020年1月の通常国会で提出する見込みです。

海外の動き

インターネット社会が進化するにつれて、個人情報の保護が重視されるようになりました。こうしたCookie規制の動きも世界的に活発化しています。

GDPR

ヨーロッパでは、2018年に個人データを保護する法律「GDPR(EU一般データ保護規則)」が施行されました。ビッグデータの活用が普及するなかで、顧客データや行動履歴がさまざまな企業でサービス開発や販促に利用されるようになり、情報の取り扱い方が大きく変わりました。

こうした変化に対応する新しい情報保護の仕組みがGDPRです。一般消費者だけでなく従業員や企業の担当者の個人情報も保護対象になります。GDPRはEUの法律ですが、日本企業であってもEUに子会社や支店があったり、EU居住者のデータを扱っていたり、EU向けにサービス提供していたりすれば適用されます。違反時には高額な制裁金が請求されるため、注意が必要です。

CCPA

アメリカでは、2020年よりカリフォルニア州消費者プライバシー法(CCPA)が施行される予定です。アメリカ初の個人情報法保護の州法であり、ほかの州でも同様の個人情報保護法整備への動きが生まれています。

また、Googleも2020年1月に「今後2年以内にChromeでのサードパーティ製Cookieのサポートを段階的に廃止する」と発表しました。一度ホームページに訪問したユーザーを見込み顧客として追跡するインターネット広告を多用する広告業界や出版社に大きな影響を与えるでしょう。

サイバーセキュリティ法

中国でも2017年6月にサイバーセキュリティ法が施行されました。GoogleやFacebookの台頭を背景に、データのセキュリティを強化し、国外へのデータ移転について規制・制御を行っています。

ただ、サイバーセキュリティ法は個人情報保護よりも中国国家の安全保障と重視しており、一般的な個人情報保護法とやや毛色が異なっています。

Cookie法(eプライバシー規制)

2019年春以降、EUをはじめとして世界各国でCookie規制が広まっています。もともとeプライバシー指令のもとでCookie規制が行われていたのですが、GDPRの同意要件が厳しくなったことにより、ドイツ、フランス、イギリスなどが相次いで見直しをし、2020年からCookie規制が強化される見込みです。

今後は日本企業への訴訟リスクも高まるため、Cookieポリシーを提供し、オプトインの同意を取得するまでCookieを取得しないことを最低限順守すべきでしょう。

Apple・Google

Appleでは、2020年3月にリリースしたiOS、iPadOS、macOSの「Safari 13.1」でサードパーティーCookieのブロックを実装しました。Googleも、2年以内にCookieデータの外部提供を廃止していく方針を2020年1月14日にChromium Blogで発表しています。

参考:
Chromium Blog: Building a more private web: A path towards making third party cookies obsolete
Cookie利用規制が今必要な理由を整理する- ITmedia マーケティング

日本国内の動き

日本国内でも規制への動きが生まれています。2019年8月、公正取引委員会が公表したガイドライン案「デジタル・プラットフォーマーと個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方(案)」によれば、利用者の同意がないCookieの収集・利用が「独占禁止法違反になる恐れがある」として、規制を検討しています。

ガイドライン案では、グーグル、アップル、フェイスブック、アマゾンなどプラットフォームサービスを提供するIT企業「デジタル・プラットフォーマー」が「個人情報等」を取得・利用する際、消費者に優越した強い立場となって「優越的地位の濫用」をするリスクを問題視しています。

ガイドライン案では「個人情報等」にCookieが含まれるかは明記されていませんが、「不当性があれば不当性があれば規制対象に含める方向で検討している」という認識が発表され、日本国内でも今後Cookie規制が強化されるのではという見方が強まっています。

Cookieの利用が規制されるとどうなるのか

こうしたCookie規制が強化された場合、どんなことが起きるのでしょうか?

まず、情報利用の同意を得るサイトが増えると思われます。現在はユーザー登録時に確認する長文の中に、個人情報の取り扱いについての項目があり同意する形になっていますが、これだと消費者は十分な確認ができなかったり、Cookie利用のことまでは明記されていなかったりとトラブルになりやすい状況です。EU諸国に増えてきたように、初回アクセス時に「Cookie取得に同意するか」をバナーポップアップでわかりやすく確認するサイトが増えるでしょう。

Cookie規制はターゲティング広告にも大きな変化をもたらします。広告プラットフォーム事業を手掛けるログリーは、2019年5月、ネット広告配信時にCookieを使わずにユーザー属性を推定する技術を開発し、特許を取得しました。ユーザートラッキングによるアクセスログをパターン化し、ユーザーの属性や性別、年齢などを推測します。シミュレーションしたところクリック率改善に貢献しており、今後はCookieに頼らないターゲティング広告が主流になる可能性が高まるでしょう。

国内だけでなく国外の規則も注視すべき

国内外で個人情報保護を強化する流れが生まれつつある今、セキュリティの見直しは企業の必須課題です。Cookie規制の可能性も考慮し、今から対応策を考えてビジネスに支障が出ないように準備しておきましょう。
グローバル展開している企業や、海外顧客を抱える企業は国外の規則も把握しておく必要があります。国内の規制は国外の流れを追う傾向がありますから、早めの対策を考えたい方にもおすすめです。違反金などのリスクを回避するためにも、広い視野を持って対応しましょう。