Writer:Imada (22.06.08)
今回、はじめてCookie管理ツールを導入する機会がありましたので、備忘録としてまとめました。
今回導入したサービスはCookiebot
Cookiebotは、GDPR(EU一般データ保護規則)、CCPA(カリフォルニア州消費者プライバシー法)やLGPD(ブラジル一般データ保護法)等に準拠したCookie同意バナーを簡単に生成・埋め込みできるサービスです。
特徴
- GDPR、CCPA、LGPD等に準拠するための機能が備わっている。
- サイトで利用しているCookieの自動抽出・リスト化と管理を行う。
- 無料版以外はサイトの規模のみで価格の区別がされており、有償の一番安いプランでもGDPR対策が可能。
- 2022年6月現在、500ページ以下のサイトは12ユーロです。
- 日本語が通じる代理店があり、サポートが受けられる。
導入時のポイント
- オンラインで申し込み可能。
- 基本的にスクリプトを埋め込むだけの簡単設置。すべてのページの<head>にひとつと、Cookieポリシーを掲載するページにひとつ。
- Cookieポリシーは、お客さまと内容を精査する必要あり。
- ポップアップ等のカスタマイズは管理画面よりcss、htmlの編集で可能。
GDPRのおさらいと、国内法
「EU一般データ保護規則」(GDPR:General Data Protection Regulation)は、個人データ保護やその取り扱いについて詳細に定められたEU域内の各国に適用される法令のことであり、2018年5月25日に施行されました。EU圏内で活動する組織、およびEU圏内の個人に商品やサービスを提供するEU域外の組織が対象です。
(今年、Yahooのサービスが英国やEUからの撤退を表明したのも記憶が新しいですね)
多くのケースで、EU域外の企業にも準拠が求められます。個人情報アセット(個人情報資産)は、すべて個人に帰属し、個人がコントロールできるものというのが原則的な考えです。
また、アメリカ(カリフォルニア州消費者プライバシー法)やブラジル(ブラジル一般データ保護法)などでも同じような規制が始まっており、個人情報への意識の高まりが世界的に広まっています。
日本でも2022年4月1日に改正個人情報保護法が施行されCookieは個人情報と定義されています。日本はかなり遅れていると言われますが...。
どのような時に導入するのかを考えてみると
NTTコム オンラインさんのコラムが分かりやすくまとまっています。記事には【見せかけのCookie同意は危険と認識する】とあり、それを踏まえると次の考え方が現時点望ましいのではないでしょうか。
- Cookie利用について、利用者の同意取得を確実に行うためにCookie同意ツールを利用する。
- リスクヘッジの側面から、特に英語サイトを持つ企業は導入しておく。
- 取引先等の顧客へのアピールとしてCookie対応をしておく。
(言葉で書くといやらしいのですが、案外重要なことかと思います)
Cookieポップアップの実装に当たっては注意すべき点があります。「同意前にCookieを取得する」ことは避けるべきですし、「個人関連情報の第三者提供を拒否する場合には、以下のボタンをクリックしてください」等のように、「拒否(オプトアウト)」を選択させる方法は、「拒否をしない限り同意したものとみなす」というみなし同意にあたり、改正法で求められている本人の同意を取得したとはいえません。「閲覧を継続するならばCookieの取得に同意したと判断する」といった文言も、ユーザーが「同意する」を選択していない場合、たとえそういった文言があったとしても「みなし同意」という扱いになります。
「Cookieに同意しなければサービスの利用やウェブサイトの閲覧が不可能になる」といった文言は、改正法では明確に規制されていないものの、GDPRでは望ましくないとされているため、避けたほうが良いでしょう。
当社のクライアントには、営業担当から順次ご案内いたします。
コラム執筆中
アイビーネットでは、ホームページに関するコラムを随時執筆中です。
