自社サイトにGoogleアナリティクスやタグマネージャーを導入しているウェブ担当者・マーケターのなかには、「Cookie規制への対応が必要らしいが、何をすればよいかわからない」と感じている方も多いのではないでしょうか。実は「Cookie規制」という名称の法令は日本にも海外にも存在せず、実務上は複数の法律・規制をまとめてそう呼んでいるにすぎません。本記事では、Cookie(クッキー)規制の全体像を整理したうえで、日本のウェブサイト運営者が取るべき具体的な対応策を解説します。
目次
Cookie規制とは、Cookieの利用を制限する法律・規制の総称
Cookie規制とは、Cookie(クッキー/ウェブサイトがユーザーのブラウザに保存する小さなデータファイル)の利用を制限する法律・規制の総称として使われている言葉です。ログイン状態の維持やカート情報の保持といった用途のほか、広告配信のためのユーザー行動追跡にも使われており、なかでもユーザーが訪れたサイト以外の第三者が発行する「サードパーティCookie」がプライバシー上の問題として規制の主な対象となっています。
なお、前述のとおり「Cookie規制」という名称の法令は存在せず、複数の法律・規制の総称です。対応すべき法律を正確に把握していないと、必要な対応が漏れたり、過剰な対応をしてしまったりするリスクがあるため、本記事では各規制を整理したうえで具体的な対応策を解説します。
Cookie規制はいつから始まったのか
Cookie規制と呼ばれる規制は、国内外で異なるタイミングで施行されています。それぞれの施行時期を時系列で整理しておきましょう。
海外ではGDPRが2018年5月、CCPAが2020年1月に施行されており、EU域内やカリフォルニア州のユーザーにサービスを提供する日本企業はすでに対応が求められてきました。
国内では2022年4月に改正個人情報保護法が施行され、個人関連情報の第三者提供に関する規制が開始されました。当時、この改正をもって「Cookie規制が始まった」と報じるメディアも多く、業界での認知が広まったのはこの時期といえます。その後、2023年6月16日に改正電気通信事業法(外部送信規律)が施行され、対象事業者に対して外部送信ツールの通知・公表義務が課されるようになりました。
各規制の詳細については次の章で解説します。
Cookie規制に関わる4つの法律・規制
ウェブサイトの運営実務において「Cookie規制」と呼ばれるものは、主に次の4つの法律・規制が中心となっています。
- 改正電気通信事業法(日本)における外部送信規律
- 改正個人情報保護法(日本)における個人関連情報の第三者提供
- GDPR(EU一般データ保護規則)
- CCPA(カリフォルニア州消費者プライバシー法)
それぞれの内容と対象範囲を正確に理解することが、適切な対応への第一歩です。
改正電気通信事業法(外部送信規律)
改正電気通信事業法の施行により、2023年6月16日から「外部送信規律」が適用されました。この規律は、特定のサービスを提供する事業者に対し、利用者の端末から外部サーバーへ情報を送信するツール(GoogleアナリティクスやMetaピクセルなど)を利用する場合に、その旨を利用者に通知または公表することを義務づけています。
ただし、適用対象はすべての事業者ではありません。SNSや検索エンジン、ニュースサイトなど特定のサービスが対象であり、一般的なコーポレートサイトや自社商品のみを扱うECサイトは原則として対象外です。
自社サービスが対象かどうかの判断については「改正電気通信事業法とは?外部送信規律(Cookie規制)をわかりやすく解説」で詳しく解説しています。
改正個人情報保護法(個人関連情報の第三者提供)
2022年4月に施行された改正個人情報保護法では、「個人関連情報」に関する第三者提供規制が新設されました。
個人関連情報とは、生存する個人に関する情報のうち、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないものを指します。Cookie識別子を利用して収集した閲覧履歴、位置情報などがこれに当たります。
改正法のポイントは、個人関連情報を第三者に提供する際、「提供先の第三者が個人情報と結びつけて利用することが想定される場合」には、あらかじめ本人の同意が取得されていることを確認する義務が課されるという点です。たとえば、広告配信事業者がCookieを通じて取得した行動履歴データを、提供先で個人情報に紐づくことが分かっていながら広告主に提供するといったケースが規制の対象になりえます。
ただし、すべての企業が個人関連情報のやりとりをしているわけではありません。「本当に個人情報や個人関連情報を第三者に提供しているか」を、法務担当者なども交えて確認することが重要です。
GDPR(EU一般データ保護規則)
GDPR(一般データ保護規則)は、EU(欧州連合)が制定した個人データ保護に関する規則です。EU域内に居住する人のデータを取り扱う場合、事業者の所在地がEU域外であっても適用される可能性があります。
GDPRの適用対象となる企業が特に注意すべき点は、GDPRにおけるCookieの取り扱いです。日本の個人情報保護法では個人情報に該当しないIPアドレスやCookie等のオンライン識別子も、GDPRでは個人データとして扱われます。そのため、GDPRが適用される場合は、Cookie利用に関するユーザーの同意取得が必要になります。
英語ページを開設・運営しているからといって、即座にGDPRが適用されるわけではありません。自社サービスがEU域内の利用者を対象としているかどうか、対価を得て商品・サービスを提供しているかどうかなどを踏まえて、適用対象か否かを判断する必要があります。
CCPA(カリフォルニア州消費者プライバシー法)
CCPA(カリフォルニア州消費者プライバシー法)は、2020年1月にアメリカのカリフォルニア州で施行された個人データ保護法です。「カリフォルニア州の法律だから日本企業には関係ない」と思われがちですが、カリフォルニア州の消費者の個人情報を取り扱う事業者であり、法定要件を満たす場合、所在地を問わず適用対象となりえます。日本企業であっても、カリフォルニア州のユーザーに向けてウェブサービスや広告配信を行っている場合は、対応が必要になる可能性があります。
GDPRと同様に、CCPAでもCookieやIPアドレスなどのオンライン識別子が個人情報として広く定義されています。リターゲティング広告の配信やソーシャルメディアのプラグイン埋め込みを行っているウェブサイトは、該当する可能性があるため確認が必要です。
CCPAの特徴として、利用前の同意取得を原則とするGDPRとは異なり、ユーザーがデータ販売を拒否できる「オプトアウト方式」を採用している点が挙げられます。
2023年1月にはCCPAをより厳格化した改正法「CPRA」が施行されており、消費者の権利や事業者の義務がさらに拡張されています。
なお、法律・規制の動向と並行して、ブラウザ側でもCookieに関する制限が進んでいます。
ブラウザによるCookie規制の動向
法律・規制と並行して、ブラウザ側でもCookieに関する動きが続いています。
SafariはITP(Intelligent Tracking Prevention)を通じて、サードパーティCookieの有効期間を大幅に制限しており、FirefoxもデフォルトでサードパーティCookieをブロックしています。一方、Googleが開発するChromeについては、サードパーティCookieを廃止するという計画が長らく議論されてきましたが、2024年7月にその廃止方針は撤回されています。現時点では、ChromeはサードパーティCookieの利用を継続しており、廃止の時期は明らかになっていません。
ただし、ブラウザ側の方針は今後も変化しうるものであり、特定ブラウザのサードパーティCookieに依存したマーケティング施策は、継続的なリスクを伴う点に注意が必要です。
Cookie規制がウェブ・広告マーケティングに与える影響
Cookie規制の進展は、ウェブマーケティングや広告運用の実務に多くの影響をもたらしています。
まず、リターゲティング広告(行動履歴をもとに特定のユーザーに再アプローチする広告手法)の精度が低下しつつあります。SafariやFirefoxなど、すでにサードパーティCookieを制限しているブラウザでは、ユーザーの行動を横断的に追跡することが難しくなっています。これにより、広告の配信精度やコンバージョン計測の信頼性が下がるケースが報告されています。
次に、アトリビューション分析(どの広告・チャネルがコンバージョンに貢献したかを特定する分析)の精度にも影響が出ています。サードパーティCookieによるクロスサイトトラッキングが制限されることで、広告効果の可視化が難しくなっています。
また、コンプライアンスの観点からも変化が生じています。GDPRや国内法への対応として、Cookie同意バナーを設置するサイトが増えており、ユーザーがCookieの利用を拒否した場合には、そのユーザーに関するデータが取得・分析できなくなります。その結果、実際のアクセス数と計測データの間にズレが生じる場合があります。
こうした変化を踏まえると、サードパーティCookieへの依存を減らし、ファーストパーティデータの活用を強化するという方向性が、マーケティング戦略における重要な課題となっています。
法令上の義務がなくても、Cookie規制に対応すべき理由
Cookie規制に関連する各法律には、それぞれ適用対象の条件があり、すべての企業が義務として対応を求められるわけではありません。では、法令上の義務がない企業はCookie規制への対応を何もしなくてよいのでしょうか。
対応が求められる理由は、規制そのものの義務よりも「なぜ規制が生まれたか」という背景にあります。
Cookie規制が国内外で議論・立法化された背景には、Cookieを使った無秩序な情報収集・追跡に対するユーザーの不満や懸念、そして世論の高まりがありました。つまり、規制は「ユーザーが知らないまま自分のデータを利用されることへの抵抗感」に応える形で生まれたものです。
法律で義務づけられているかどうかにかかわらず、ユーザーに対してCookieの利用目的を説明し、同意を得るというプロセスは、信頼できるウェブサイト運営者としての誠実な姿勢を示すことにつながります。Cookie規制への対応は、コスト・手間と捉えるのではなく、ユーザーからの信頼獲得への投資と位置づける視点が求められます。
Cookie規制への具体的な対応方法
Cookie規制への対応は、大きく3つのアプローチに整理できます。
プライバシーポリシーの整備
まず取り組むべきは、自社サイトでのCookieの利用実態を把握したうえで、プライバシーポリシーを整備することです。どのようなCookieを使用しているか、その目的、外部送信先の情報、ユーザーが同意を撤回する方法などを明記することが求められます。
プライバシーポリシーはテンプレートをそのまま流用するだけでは不十分です。自社サイトで実際に使用しているCookie・タグ・トラッキングツールの実態を調査し、それをもとに内容を記載することが重要です。特にGDPRの適用対象となる場合は、法的要件を満たした記載内容が必要になるため、専門家への確認も検討しましょう。
また、サイトに新しいタグやツールを追加するたびにプライバシーポリシーを更新する運用体制を整えることも、継続的なコンプライアンス維持のうえで欠かせません。
Cookie同意バナーの設置(CMPツールの活用)
利用実態の把握と並行して進めたいのが、Cookie同意バナーの設置です。Cookie同意バナーとは、ウェブサイトを訪問したユーザーに対し、Cookieの利用目的を説明し、同意または拒否を選択できるようにするUIのことです。
GDPRが適用される場合、Cookieの利用開始前に同意を取得することが原則として求められます。改正電気通信事業法の対象事業者においても、外部送信ツールに関する通知・公表の手段としてCookie同意バナーが活用されます。
Cookie同意バナーを自社で実装するには、技術的・法的な要件を満たす必要があり、開発コストがかかります。こうした対応を効率化できるツールとして、CMPツール(同意管理プラットフォーム)の活用が有効です。
たとえばwebtru(ウェブトゥルー)では、同意バナーの実装だけでなく、外部送信先をサービス単位で自動検知する機能やプライバシーポリシーの整備支援も備えており、一連の対応をまとめて進めることができます。
ファーストパーティデータの活用
Cookie規制の進展に対応する長期的な対抗戦略として、ファーストパーティデータの活用強化が挙げられます。
ファーストパーティデータとは、ユーザーが自社サイトやアプリで直接提供したデータ(会員登録情報・購買履歴・アンケート回答など)を指します。サードパーティCookieが制限される環境においても、ファーストパーティデータはユーザーの同意のもとで収集・活用できるため、マーケティング活動の精度を維持するうえで重要な資産となります。
ファーストパーティデータを充実させるためには、ユーザーが自発的に情報を提供したくなる仕組みを設計することが重要です。会員向けコンテンツ、ポイントプログラム、パーソナライズされたレコメンド機能など、データ提供のメリットをユーザーが感じられる体験を構築することが、持続可能なデータ活用につながります。
サードパーティCookieへの依存度を下げながら、自社独自のデータ資産を育てていくアプローチは、広告・マーケティング施策の長期的な安定性を高めることにも寄与します。
Cookie規制対応をサポートするCMPツール『webtru』
Cookie規制への対応は、「どのツールが外部に情報を送信しているか」の把握から始まり、プライバシーポリシーの整備、同意バナーの実装まで、複数の工程を並行して進める必要があります。社内リソースだけで対応しようとすると、技術・法務・運用の各面で相当な負荷がかかります。
webtru(ウェブトゥルー)は、こうしたCookie規制対応の一連のプロセスをワンストップでサポートするCMPツール(同意管理プラットフォーム)です。
1.外部送信先の自動検知・整理
自社サイトからどのサービスにどのような情報が送信されているかを、サービス単位で自動的に検知・整理します。手作業での調査が不要になり、実態把握にかかる時間を大幅に短縮できます。
2.Cookie同意バナーの実装
GDPRやCCPA、改正電気通信事業法など、各規制の要件に対応した同意バナーをウェブサイトに設置できます。ユーザーの同意・拒否の選択を適切に管理し、コンプライアンスを維持します。
3.プライバシーポリシーの整備支援
Cookieの利用状況に合わせたプライバシーポリシーの作成・更新をサポートします。サイトに新しいタグやツールを追加した際の更新作業も、webtruの検知機能と連動して効率化できます。
Cookie規制への対応をこれから始める方も、現状の対応に不安を感じている方も、まずはwebtruの機能をご確認ください。
日本でCookieに関連する規制として対応が求められるのは、主に「改正電気通信事業法(外部送信規律)」と「改正個人情報保護法(個人関連情報の第三者提供)」の2つです。改正電気通信事業法は2023年6月16日に施行され、対象事業者に対して外部送信に関する法定項目の通知・公表を義務づけています。ただし、一般的なコーポレートサイトやECサイトは対象外です。個人情報保護法については、Cookieを利用して収集した個人関連情報を第三者に提供し、提供先が個人情報と紐づけて利用する場合に、提供先で本人の同意取得がされている確認が必要になります。
詳しくは「Cookie規制として対応すべき4つの法律・規制」をご確認ください。
Cookieの規制が生まれた背景には、ユーザーが知らないうちに自分の行動データが収集・追跡・活用されることへの不満や懸念が世論として高まったことがあります。広告配信や行動分析を目的としたCookieの無秩序な利用が問題視され、ユーザーのプライバシー保護を求める声が各国で立法化につながりました。規制はユーザーの権利を守るためのものであり、ウェブサイト運営者には「何のためにCookieを使うか」を透明性をもって説明する責任が求められるようになっています。
詳しくは「法令上の義務がなくても、Cookie規制に対応すべき理由」をご確認ください。
GDPRはEU(欧州連合)が制定した規則であり、2018年5月25日から施行されています。GDPRは「日本の法律」ではないため、日本国内で単独で施行されるものではありません。ただし、EU域内に居住するユーザーに対してサービスを提供している日本企業には、所在地に関わらずGDPRが適用される可能性があります。日本の個人情報保護法では個人情報に該当しないCookieやIPアドレスなどのオンライン識別子も、GDPRでは個人データとして扱われます。自社サービスがEU域内のユーザーを対象としているかどうかを確認し、該当する場合は専門家への相談を含めて対応を検討しましょう。
詳しくは「GDPR(EU一般データ保護規則)」をご確認ください。
はい、Googleは2024年7月にChromeにおけるサードパーティCookieの廃止計画を撤回しています。長らく「廃止する」という方針が業界で注目されてきましたが、現時点ではChromeはサードパーティCookieの利用を継続しており、廃止の具体的な時期は決まっていません。ただし、SafariやFirefoxはすでにサードパーティCookieを制限しており、ブラウザ全体の動向としてはプライバシー保護の方向に向かっています。Chromeの方針も今後変わる可能性があるため、サードパーティCookieへの依存を前提としたマーケティング施策については、継続的に動向を注視することが重要です。
詳しくは「ブラウザによるCookie規制の動向」をご参照ください。
