Cookie規制はなぜ強まるのか？取り巻く状況の変化を解説！

インターネット利用シーンにおいて、私たちにより便利な体験をもたらしてくれる「Cookie」。そのCookieが規制されつつあることをご存知でしょうか。
インターネットユーザーの情報を収集し、ウェブサイトの利便性の向上に大きく貢献してきたCookieの一部は今、その役目を終えようとしています。ここではCookieがどのような目的で利用され始め、なぜ規制されつつあるのかを説明します。

Cookieはどのような目的で利用され始めたの？

Cookieは、インターネットの利便性を高める目的で利用され始めました。ここでいう利便性とは、以下のようなものです。

• インターネットユーザーの情報を保持し、次回以降の入力を省略する
• インターネットユーザーの情報をもとに、ユーザーに適した広告を配信する

たとえば、会員制サイトに入力したID・パスワードが次回ログイン時に自動で入力されていたり、複数のサイトで同じジャンルの広告が表示されたりなど、インターネットにおける私たちの便利な体験はCookieによりもたらされています。
Cookieは「1st Party Cookie」と「3rd Party Cookie」の2種類に大別できます。それぞれの違いは以下のとおりです。

• 1st Party Cookie：基本的に、訪問サイト内のみで利用されるCookie
• 3rd Party Cookie：複数サイトをまたいで利用できるCookie

両者の詳細な違いや役割については以下で詳しく解説しております。

＞＞Cookieとは？役割や種類、メリット・デメリット、仕組みについて徹底解説

Cookie規制はなぜ強まるのか？

Cookie規制の最大の理由はプライバシーの保護にあります。Cookieはインターネットを便利にする技術ですが、「行動を細かく監視する」という特性からユーザーのプライバシーを侵し過ぎているのでないかと懸念が広がっていました。
世界には、すでにCookieの利用に対して厳しい取り決めを設けている地域もあり、適切な対応を怠ったことで重いペナルティを受ける事例も増えてきました。罰金による経済的な損失はもちろん、ユーザーと信頼関係を築くにあたってプライバシーへの配慮不足は深刻な障害となるため、個人情報を取り扱うウェブサイトを運営する企業にとって、Cookie規制への対策は喫緊の課題となっています。

では次に、Cookie規制における世界基準がどのように変わってきているのかを確認しましょう。

各国のCookieに関する法令・規制はどうなっている？

2018年に欧州で施行されたGDPR（EU一般データ保護規則）は、Cookieをはじめとするオンライン識別子を個人データの一つとして厳格に管理するよう規定を設けています。Cookie情報を取得する際にはユーザーから同意を得ることが強く求められ、取得目的を始めとする諸条件の開示が必須化されました。
また、2020年にアメリカのカリフォルニア州で施行されたCCPA（カリフォルニア州消費者プライバシー法）も、同じくCookieを法令の適用範囲としており、個人が法令を利用して企業にデータの情報開示・削除を請求できるよう規定が設けられています。

そのほか、2022年11月1日に施行が予定されている中国個人情報保護法にも要注目です。中国個人情報保護法はGDPRと規定内容が類似しており、Cookieの取り扱いについてもGDPR同様に積極的な配慮が必要になると予想されています。
GDPRやCCPAについては以下で詳しく解説しています。

＞＞放っておくと経営危機レベルの制裁金も！ GDPR・CCPA・個人情報保護法それぞれの対策の必要性を解説

日本国内でのCookieに関する法令・規制はどうなっている？

上記のように各国が規制を強めるなか、日本でもCookieに対する風当たりは日増しに強まっています。
2022年4月に全面施行が予定されている改正個人情報保護法では新たに「個人関連情報」と呼ばれる枠組みが創設されました。Cookie情報などに代表される、現行法において個人情報ではないと整理されてきたデータに対して、限定的ではありますが、新たに規制が設けられたのです。個人関連情報の取り扱いに際して以下の規制がかかります。

個人関連情報取扱事業者が、提供先が個人関連情報を個人データとして取得することが想定されるときは、あらかじめ当該個人関連情報に係る本人の同意等が得られていることを確認しないで、当該個人関連情報を提供してはならない
引用：個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について（個人関連情報）」

これまでにも、例えば会員制のECサイト（氏名・生年月日など個人を特定できる情報と一緒にCookie情報が保存されているケース）などではCookie情報を個人情報として取り扱う必要がありましたが、それに加えて、今回の改正では、「提供元においては個人情報ではないが、提供先において個人データとなるデータ」についても、規制が及ぶ旨、明確にした形です。

Googleは2023年後半までに3rd Party Cookie廃止を決定

このような国内・海外のCookie規制の流れを受け、世界で最も利用されているWebブラウザ「Google Chrome」は、2022年までに3rd Party Cookieのサポートを停止すると決定しました（その後、2023年後半までの廃止予定へと延期済み）。さらに、Cookie廃止後の代替案として「プライバシーサンドボックス」と呼ばれる枠組みを提案しており、すでに試験運用も開始されています。

＞＞Googleの秘策、Cookieに代わるプライバシーサンドボックスとは？

広告事業を収益の主とするGoogleにとって、Web広告の重要な部分を担っている3rd Party Cookieを廃止することは難しい決断であったと予想されますが、プライバシー強化の傾向が強くなっている状況を考慮すれば賢明な判断だといえるでしょう。
また、特に日本国内のユーザー比率が高いブラウザ「Safari」は、すでにITPと呼ばれる技術により3rd Party Cookieを完全にブロックする仕様となっています。

＞＞ITPでWeb広告はどう変わる？Cookie規制による影響とは

各国のCookieに対する見方が厳しくなり、主要ブラウザも軒並みCookieを否定する姿勢を見せている今、3rd Party Cookieはもはやその役目をほぼ終えたのかもしれません。

3rd Party Cookie規制で1st Party Cookieはどうなる？

前項でご紹介した通り、3rd Party Cookieは廃止が予定される等、厳しい規制がかけられていきます。では、1st Party Cookieはどうなるのでしょうか。1st Party Cookieは、むしろその重要性が高まると予想されています。
誰もが3rd Party Cookieから情報が得られなくなることで、相対的に1st Party Cookieから得られる情報、すなわち「ファーストパーティデータ」の価値は向上します。ファーストパーティデータは、自社内で分析まで完結するのであれば第三者提供に関する各種取り扱いの制限を気にする必要もなく、活用も比較的容易です。3rd Party Cookie廃止後の世界でも顧客の行動・ニーズを理解し続けるための、大きな手助けとなるでしょう。

すでに「企業がCookie廃止後の世界で生き残るためにはファーストパーティデータの収集が必須になる」との声もあり、Googleのプライバシーサンドボックスとあわせてその動向を注視していくことが求められます。

まとめ

インターネットの利便性を高める役割を担ったCookieも、世界的なプライバシー保護意識の高まりを受けてついに規制されるに至りました。すでに各国で法規制が始まっているほか、GoogleやAppleなどのテックジャイアントもCookie廃止後の世界に向けて動き出しています。
2022年には改正個人情報保護法の全面施行が予定され、2023年後半までにはGoogleの3rd Party Cookie廃止が控えているなど、今後もプライバシーの在り方を左右する重大な出来事が続きます。引き続き、Priv Labで最新情報をご確認ください。

公開日：2020年8月28日