Cookie活用時に企業が注意すべき危険性とは？仕組み・活用法を交えて解説

Cookieは、インターネットユーザーの利便性を高め企業のマーケティングにも活用されており、インターネット利用者の多くは何らかの形でその恩恵を受けています。

一方で、Cookieの持つ「プライバシー侵害のリスク」が問題となっており、欧州を起点に規制の流れが強くなってきました。

本記事では、Cookieがどのような役割を持っているのか解説し、問題となっているその危険性と注意すべき事項をご紹介します。

1. Cookie（クッキー）とは？

Cookieとは、サイトに訪れたユーザー情報を保持する仕組み、およびユーザー情報そのものを指します。過去に利用したサイトへ再びログインする際にIDやパスワードが自動入力されたり、通販サイトのカート情報が保持されるのは、Cookieの働きによるものです。

2. Cookieは何に活用されているの？

Cookieは以下のようなシーンで活用されています。

• フォーム画面
• 通販サイト（ECサイト）
• インターネット広告
• アクセス解析・効果測定

また、Cookieは「1st Party Cookie」と「3rd Party Cookie」に分類されます。それぞれどのように活用されているのかご説明します。

2.1．1st Party Cookie

1st Party Cookieは、ユーザーが訪問したサイトから発行されるCookieです。

IDやパスワード、名前や住所などを入力するフォーム画面に自動で情報が入力される現象は、1st Party Cookieによる働きです。また、時間を空けて通販サイトに再度ログインした際、カートに入れた商品がそのまま保持される機能も1st Party Cookieによるものです。

2.2．3rd Party Cookie

3rd Party Cookieは、現在訪問しているサイト以外から発行されたCookieです。

とある通販サイト（Aとします）から別のサイトへ（Bとします）移動したとき、Bのサイト上でAの商品広告が表示されるのは3rd Party Cookieの情報を利用しているためです。

また、訪問したユーザーの属性を把握したり、あるページから商品・サービスが成約（CV）した数を計測したりする用途にも使われます。

3. Cookieを取り扱う際の危険性・企業の注意点

Cookieそのものに危険性はありませんが、取り扱いを誤るとユーザーからの信頼を損ねたり企業の評判を悪化させるなどのリスクがあります。

ここでは、Cookieを取り扱う際の危険性、企業が注意すべき点をご説明します。

3.1．ユーザーに配慮してCookieの取得・利用をおこなうべき

日本の個人情報保護法では、Cookieは個人情報に該当しません。しかし、2020年6月に可決された個人情報保護法の改正によって、他の情報と照合することで個人を特定できる情報（個人関連情報）は、第三者提供の際にユーザーの同意取得が必要となりました。

個人関連情報にはCookieも該当するため、改正が施行される2022年春頃からは、同意のないCookieの第三者提供は違法行為となります。また法人に対するペナルティの最高額引き上げもおこなわれるため（1億円以下の罰金）、取り扱いを誤れば多額の罰金を科せられる危険性があります。

3.2．海外でCookie規制の違反に高額ペナルティ

EUで施行されているGDPR（EU一般データ保護規則）は、Cookieを含むオンライン識別子を保護すべき個人データと定義し、Cookieの取得時にユーザーから同意を得ることを必須としています。さらに取得目的や保有期間の開示が求められ、違反すると「全世界年間売上の4%」または「2,000万ユーロ（約25億円）」の高額な方がペナルティとして科せられます。

自社のプライバシー管理を法令に適応させていなければ、多額の制裁金を科せられる危険性があります。

GDPRのほか、米カリフォルニア州で施行されたCCPA、日本国内で施行されている個人情報保護法については以下の記事で解説しています。本記事とあわせてご参照ください。

＞＞放っておくと経営危機レベルの制裁金も！GDPR・CCPA・個人情報保護法それぞれの対策の必要性を解説

3.3．Cookieに頼らないマーケティング施策の模索

Apple社のブラウザSafariのほか、Microsoft社のブラウザEdge、Mozilla Foundation社のブラウザFirefoxもCookieを制限しています。また、世界トップシェアのブラウザGoogle Chromeも2022年を目途に3rd Party Cookieのサポートをフェーズアウトする見込みと表明しました。

完全に3rd Party Cookieが廃止されれば、既存のインターネット広告やアクセス解析・効果測定が機能しなくなります。Cookie規制に適応し、新たなマーケティング施策を実行できるよう、今後はCookieに頼らない方法の模索が必要となります。

3.4．Cookie単体では個人を特定できないが管理は要注意

Cookieは、Cookie名や発行元のドメイン、Cookieの有効期限などから構成されます。個人を特定する情報は含まれず、単体でプライバシー侵害を引き起こす危険性はほとんどありません。

しかし不特定多数の人が利用できるパソコン（インターネットカフェなど）にCookieやアクセス履歴を残したりCookie情報を盗まれたりした場合、下記の不正利用をされる可能性があります。

• なりすましによるインターネットショッピング
• 社内システムへの不正アクセス

通販サイトで自動ログインを利用している場合、第三者が利用者になりすまして不正にインターネットショッピングができてしまいます。またブラウザに社内システムへのアクセス履歴を残した際は、従業員以外にアクセスされるケースも考えられます。

不正アクセスにより通販サイトの会員情報や従業員の情報が盗まれることも想定できるため、アクセス制御やCookieの付与条件の設定をして情報漏洩や第三者侵入を防ぐことが大切です。

4. まとめ

Cookieは特定の条件下でプライバシーに抵触する可能性があるため、Cookieを収集・管理する企業は取り扱いに注意しなければなりません。

3rd Party Cookieに関しては、多くの大手サービスで段階的に廃止となる見込みです。この流れはユーザーにとって安心感につながる一方、3rd Party Cookieを利用してきたマーケティング担当者にとっては深刻な問題だといえます。

今後に関しては、Cookieに代わる技術の登場も期待されています。マーケティング施策において後れを取ってしまわないよう、マーケティング担当者には最新情報にアンテナを張っておくことが求められます。