世界的に加速するCookie規制に対応するOneTrust！OneTrustの特徴についても解説

昨今、情報通信技術やビジネスのグローバル化は目まぐるしい勢いで発展を遂げています。これに伴い、ネット社会で受送信される個人情報の在り方についても見直しが必要とされ、2022年4月1日に改正個人情報保護法が施行されました。

改正法では、Webサイトで利用されているCookie利用時の規制も含んでいます。

これまでCookie規制は、国内の法令では規制されておらず、ユーザーに向けた「同意表示の設置」は企業の方針に委ねられていました。しかし、今後はWebサイトを扱う多くの企業が、Cookieの同意取得に気を配る必要性があるのです。

一方他国ではすでにプライバシー保護によるCookie規制の厳格化が進んでおり、日本のプライバシー保護に関する意識は、他国と比較すると後手にまわっています。

本記事では、Webサイトやマーケティングを運営する上で不可欠となったCookie規制と、Cookie規制に対応した同意管理プラットフォーム「OneTrust」について解説していきます。

1. OneTrustが選ばれる理由

OneTrustは、米国に拠点を置くOneTrust社が提供する同意管理プラットフォームで、世界各国で12,000社以上の導入実績を誇ります。

OneTrustは既存のプライバシーポリシーなどから、Webサイトのコンプライアンス対応を確認したり、アクセス元IPアドレス情報からWebサイト訪問者の地域を検知することができ、これによりGDPRやCCPAといった世界中で適用されるプライバシー保護法やデータ保護規制などに自動対応が可能です。

1-1. 優れたCMP（同意管理プラットフォーム）

CMP（Consent Management Platform／同意管理プラットフォーム）とは、Webサイトなどの運営者（企業）が、利用者（Webサイト訪問者）に対し、Cookieを取得すること、またそのCookieを用いて取得した利用者のデータをどのように活用するのか利用目的を明らかにした上で、利用者本人からCookie利用の同意を取得し、管理するためのツールのことです。

Webサイトの運営者が設定した仕様によって、ユーザーが確認できる同意管理画面は異なり、Cookie受け入れの同意を「はい」か「いいえ」でシンプルに問うものもあれば、用途が詳しく表示され、項目ごとに同意/非同意が選択できるCMPもあります。

OneTrustは、同意表示バナーを自社のブランドイメージや方針に合わせてカスタマイズしたり、各国によって異なるCookie規制に自動で対応したりと、複雑な工数を一元化してくれる優れたCMPなのです。

1-2. 各国のCookie規制法に自動対応

日本でも改正個人情報保護法が制定されているように、世界各国でさまざまなCookie規制を含んだ法令が存在します。

なかでも後述するGDPRが最も大きな規制法で、主にEU諸国で採用している国が多い法令ですが、定められている法令が守られていない場合、罰則となる金額がかなり多額です。

このように各国で適用されているCookie規制を把握し、各々で管理するのは手間もかかり、手動で網羅するには時間がかかります。

OneTrustは、100ヵ国以上の多言語に対応しており、設置された一つのスクリプトのみでサイト訪問者の言語設定を自動検知が可能です。これによりサイト訪問者に合わせて適切な言語で通知表示ができます。

また、ジオロケーションによって閲覧者のアクセス元IPアドレスを検知し、各国の法規制ごとに適切な同意テンプレートを表示させることもできます。

なおOneTrustは、日本法にはまだまだ対応しきれていない点に注意が必要です。

1-3. カスタマイズ可能な同意取得バナー設定

OneTrustでは、同意表示で使用するバナーやテンプレートのカスタマイズも可能です。custom CSSを使用すれば、自社内でCookieバナーのデザインを細かくカスタマイズできます。

デザインや同意表示の種類は「各法令ごと」「PCやモバイルのWebサイトごと」など用途に合わせて異なるバナーやテンプレートを使用可能です。

専門的な知識を持たないユーザーにとって、たくさんの項目を設定する同意表示よりも、シンプルに同意を求められる方が負担が少なくなります。

そのため、細かな指定がないサイトの場合は「シンプルな同意表示バナー」を、WebやIT、法令などの専門的なサイトには「詳細設定できる同意表示バナー」を設置する、などの使い分けをすると、サイト離脱率の減少も見込めるでしょう。

2. 世界的に加速するCookie規制

冒頭でも触れましたが、日本は世界的に見るとプライバシー保護に対する意識が脆弱です。個人のプライバシーを重視しているEUなどでは、厳しい罰則を定めた規制法の整備を行っており、今や個人プライバシーの尊重は当たり前となってきています。

日本でも今やほとんどの企業がWebサイトを持っているため、今後も個人情報保護の観点から、Cookie規制がますます厳しくなることが見込まれます。

2-1. Cookieとは

そもそもCookieとは、サイトに訪れたユーザーの情報を一時的にユーザーのブラウザに保存する仕組みを指します。

Cookieが記憶できるユーザーの情報は以下のようなものが挙げられます。

• サイトログインID・パスワード
• メールアドレス
• 訪問回数
• ECサイトの買い物カゴの商品

このような情報が記憶されることで、ユーザーが同一サイトを訪れた際にログインパスワードが自動入力されたり、買い物を途中で中断しても商品が入った状態から再開できたりなど、ユーザーにとっても便利にWebサイトを利用できるようになるのです。

また、Cookieは企業側でもユーザーのターゲティング広告などマーケティングに活用されています。ユーザーがどのようなサイトを経由したか、どのような商品をチェックしていたか、などを記憶することにより、ユーザーの好みの商品を広告として打ち出すことが可能です。

2-2. Cookieの種類

Cookieには「1st Party Cookie」と「3rd Party Cookie」の2つの種類があり、Cookie規制で問題視されているのは3rd Party Cookieです。

2つのCookieには以下のような違いがあります。

• 1st Party Cookie...サイト運営社が発行しているID
• 3rd Party Cookie...第三者が発行しているID

1st Party Cookieが規制の対象にならないのは、IDが自社サイトから発行され、他のサイトや企業に情報を提供することがないためです。

Webサイトを離れた後もユーザーの行動を追跡する3rd Party Cookieのようなシステムは、個人のプライバシー問題につながると考えられるようになりました。

2-3. Cookie規制で求められる対応

Cookie規制によって企業が真っ先に講じるべき対策は、サイトを訪れたユーザーにCookie利用の同意を得るバナー・テンプレートを設置することです。

それと同時に、同意したCookieがどのような目的をもって利用されるのかというCookieポリシーの提供や、ユーザーからCookie同意を取得するまでCookieで個人情報を取得しないゼロクッキーロードの対策も求められます。

また、度重なる規制法の改正に合わせて、最新のCookie情報の提供やCookie同意管理のためのサイト更新、継続的なメンテナンスも必要といえるでしょう。

3. Cookie規制を含む法令の比較

Cookie規制を含む法令は各国で制定されており、中には国外でも適用される法律も存在します。代表的なGDPRとCCPA（2023年1月にCPRAに改正）、ブラジルで施行されているLGPDも加え、３つの規制法と日本の規制法を比較してみます。

なお、各国それぞれ多少の違いはあるものの、個人データの定義は、以下の項目のように「個人を特定し得る情報」を前提とします。

• 氏名
• 住所、電話番号
• 生年月日、性別
• DNA、指紋その他の生体情報を変換した符号（規則2条）
• メールアドレス・IPアドレス・Cookie・GPS
• マイナンバー・クレジットカード番号・パスポート番号

詳しくはこちらの記事をご覧ください。

パーソナルデータと個人情報の違いとは？活用方法と活用時の注意点を解説

【GDPR】

• 対象企業...EEA域内（EU）に子会社や支店、営業所などを有している企業、日本からEU圏内に商品やサービスを提供している企業、EEA域内から個人データの処理について委託を受けている企業、GDPRの適用される地域に所在を置くユーザー情報を扱う企業
• 罰則・罰金...最大で企業の全世界年間売上高の4％以下、もしくは2000万ユーロ（約29億円）以下のいずれか高い額

【CCPA】

• 対象企業...カリフォルニアで事業を行い以下を満たす事業者。年間総収入が2500万ドル（約28億円）を超えている事業者、50,000人以上のカリフォルニア州の居住者、世帯、またはデバイスの個人情報を購入、受信、または販売している事業者、カリフォルニア州の住民の個人情報を販売することによって、年間収益の50％以上を得ている事業者
• 罰則・罰金...請求1件に対して最大2,500ドル、故意であると判定された場合最大7,500ドル

【LGPD】

• 対象企業...ブラジル国内の個人に対しサービスもしくは商品を提供、ブラジル国内の個人のデータ処理、ブラジル国内で収集されたデータ主体の処理のいずれか
• 罰則・罰金...違法アプリによるサービス中止/停止命令、最大5,000万レアル(約9憶5000万円)または年収の2％

【改正個人情報保護法】

• 対象企業...（国内の）中小企業をはじめとするすべての事業者
• 罰則・罰金...1億円以下の罰金（法179条1項1号）

なお改正個人保護法により、Cookieから得た情報を他の情報と紐付けることで、個人の特定も可能であるとされ、企業は3rd Party Cookieを介したマーケティング施策を行う場合、個人情報の第三者提供について同意を得る必要があります。

詳しくはこちらの記事をご覧ください。

第三者提供とは？厳格化する個人情報の取り扱いと注意点

また他国4つの規制法と、改正個人情報保護法を比較してもわかるように、日本で定めている違反時の罰則は非常に軽くなっています。

詳細には、下記各国法解説記事をご覧ください。

GDPRとは？概要や日本企業が対策すべき項目を解説

CCPA(カリフォルニア州 消費者プライバシー法)とは？GDPRとの違いも解説

【最新】個人情報保護法改正で企業がしなければいけない対策は？要点を解説

4. ブラウザによるプライバシー対策

規制法が整備されたことで、世界中で利用されているブラウザに関しても各社でプライバシー対策の取り組みが実施されました。

ブラウザ使用率の高いApple社とGoogle社の取り組みを見てみましょう。

4-1. Apple社

AppleのブラウザであるSafariは、2017年からサードパーティCookieの制限をかけており、2020年3月にを全面的にブロックする取り組みを行いました。

Appleは、トラッキング防止機能を持つITP（Intelligent Tracking Prevention）をSafariに搭載して個人情報の追跡を防ぐなど、プライバシー保護の対策を積極的に取り入れています。

さらに、3rd Party Cookieだけでなく、1st Party Cookieも24時間の保存期間となるよう制限をかける対策を行っています。

4-2. Google社

Google社のChromeは、3rd Party Cookieのサポートを「2024年後半には段階的に廃止を開始する」と公表しています。これによりGoogleでは今後、3rd Party Cookieを使用しないプライバシー保護を前提に、これまでとは異なるシステムの開発を目標に掲げました。

具体的には、広告主が個人情報を利用せずともターゲティングができるようにすることを視野に、さまざまなシステムの構築を行っている段階であるということです。

5. まとめ

OneTrustは、さまざまなプライバシー法や個人情報保護法に自動対応できます。

個人情報保護法が改正されたことからも、日本も他国の影響を受け、これからさらにプライバシー保護の意識が強まることは言うまでもありません。

自社のWebサイトをグローバル化対応させるなら、OneTrustのような自動対応できるCMPの導入は必要不可欠となるでしょう。

公開日：2023年3月31日