クッキーポリシーが必要なケースと、同意取得・管理方法を解説(雛形DLあり)

Cookieデータ管理・活用 2023.01.16
クッキーポリシーが必要なケースと、同意取得・管理方法を解説(雛形DLあり)
>>パーソナルデータ利用の悩みを解決!同意取得から管理、連携までワンストップで実現するには?

近年、ウェブサイトを訪れると「クッキーポリシー」とともに同意を求める文言を記載したバナーを見かけることが増えてきました。

本記事では、そもそもCookieとは何かという基礎的な内容から、クッキーポリシーの概要や必要記載事項、同意取得する際の文言例をご紹介いたします。

1. クッキーポリシーとは?

1-1. そもそもクッキー(Cookie)とは

Cookieとは、Webサイトやサーバーにアクセスした際にWebブラウザに保存されるテキストファイルのことを指します。具体的には、そのWebサイトで入力したログインIDやサイト上の閲覧履歴、訪問回数などの情報が記録されています。

同じブラウザで以前訪れたサイトを再訪問すると、ログイン情報の入力を省くことができたり、買い物カゴに入れていた商品がそのまま残っていたりするのはCookieによるものです。

Cookieによく似た仕組みとして「キャッシュ」がありますが、こちらは一度閲覧したホームページの画像やテキストなどを保存し、再訪問の際にページ読み込み速度を素早くするための仕組みです。

1-2. クッキーポリシーとは

クッキーポリシーとは、Cookie情報の利活用についてユーザーに知らせるための文言、または文言が設置されたページのことを指します。

主に、そのウェブサイトで利用されるCookie情報の種類、利用目的、Cookie情報の送付・共有先、設定を変更する方法などが説明されています。

個人情報に関する取り扱いについて説明する「プライバシーポリシー」の中の一項目としてクッキーポリシーが含まれている場合(よくあるケースとして、「Cookieの取り扱いについて」という見出しの項目による説明)もあれば、プライバシーポリシーから独立した形式、すなわち「クッキーポリシー」として説明される場合もあります。

近年では、クッキーポリシーを独立させ、プライバシーポリシーとは別ページに設けている企業が増えてきています。その理由については、次の章でご紹介いたします。

2. クッキーポリシーの作成が必要なケース

近年、ヨーロッパをはじめ、世界各国でプライバシー保護の動きが強まっています。

Cookieは、ユーザーそれぞれのユニーク情報が保存される仕組みのため、法令や各種ガイドラインによって、適切に取り扱うことが求められています。

EUには、GDPR(一般データ保護規則)という法令がありますが、そこではすでにCookieが個人データ扱いとなっています。また、アメリカのカリフォルニア州の法令であるCCPA/CPRA(カリフォルニア州消費者プライバシー法)でも同じくCookieは個人情報とされており、収集される前に消費者に通知しなければなりません。

GDPR上の「個人データ」、CCPA上の「個人情報」は、日本の個人情報保護法上の「個人情報(法2条1項)」の定義とは異なります。ご留意ください。

詳しくはこちらの記事もご一読ください。
参考:GDPRとは?概要や日本企業が対策すべき項目を解説
  :CCPA(カリフォルニア州 消費者プライバシー法)とは?GDPRとの違いも解説

GDPR対応でクッキーポリシーが必要とされるケース例としては、以下が挙げられます。

  • EUに子会社、支店、営業所を有している企業
  • 本からEUに商品やサービスを提供している企業
  • EUから個人データの処理について委託を受けている企業

日本企業であっても、EU域内へサービス提供を行っている場合などはGDPR対応が求められる可能性がある点に注意が必要です。

一方、日本の個人情報保護法上の定義によると、単体でのCookieは個人情報に該当しませんので、Cookieを第三者に提供する場合、原則として利用者本人の同意は必要ありません。しかし、Cookieは、令和2年改正により定義された「個人関連情報(改正法2条7項)」に該当すると考えられます。つまり、提供先の第三者において、個人関連情報が個人データとして取得される時は、提供先においてあらかじめ本人の同意を取得し、提供元において当該同意の取得を確認しなければなりません。

こうした背景から、Cookie情報利用についてユーザーから同意を取得するために、クッキーポリシーを設置する企業が見受けられるようになってきました。

厳密には、クッキーポリシーをプライバシーポリシーと別ページとして設置することが義務化されているわけではありません。

しかし、クッキーポリシーには、利用ツールに関する説明の記載が求められており、各種ツールの利用実態に変更があるたびに更新が必要です。したがって、プライバシーポリシーを頻繁に改定することの実務上の不都合を鑑み、プライバシーポリシーからクッキーポリシーを独立させ、別ページに設置する企業が増えていると考えられます。

3. クッキーポリシーに記載する内容は?(雛形ダウンロードあり)

ここからは、クッキーポリシーに記載する内容を具体的な文言例と併せてご紹介いたします。クッキーポリシーでは、次のような項目が記載されることが多いです。

  • Cookieが何であるかの説明
  • Cookieの利用目的・保存期間の説明
  • 3rd Party Cookieの発行元である広告配信事業者のリストと、オプトアウト用のWebページへのリンク
  • ブラウザを用いてCookieをブロックする方法の説明

詳細な記述については、雛形をダウンロードしてご覧ください。

3-1. Cookieが何であるかの説明

クッキーポリシー以前に、そもそも「Cookie」が何を指しているのかや、Cookieの仕組みついて知らないユーザーも少なくありません。そのため、冒頭で以下のようにCookieについての説明があると親切です。

「Cookie」とは、お客様がウェブサイトにアクセスした時に、ウェブサーバからお客様のコンピューターまたはモバイルデバイス(以下、あわせて「デバイス」といいます)のブラウザに送信され、デバイスのハードディスクドライブに保存される小さなテキストファイルです。

その際、利用実態に応じて、Cookieの種類(1st Party Cookie、3rd Party Cookie)や、ビーコン(またはピクセル)などのCookie類似の仕組みについての説明があるとより良いでしょう。

3-2. Cookieの利用目的・保存期間の説明

Cookieを何のために利用するのかを以下のように記載します。

こちらの例では項目のみを取り上げていますが、それぞれの項目について、その仕組みや利用する情報の内容、共有先などを具体的に説明すると良いでしょう。また、保存期間についても記載しておきましょう。

(1) サービス利用のためのCookieの利用
(2) アクセス状況等の解析などのためのCookieおよび類似技術の利用
(3) 広告配信のためのCookieの利用

3-3. 3rd Party Cookieの発行元である広告配信事業者のリストと、オプトアウト用のWebページへのリンク

Cookieを第三者提供する場合、提供先についての情報も併せて記載しておくことが望ましいです。例えば、アクセス解析ツールとしてGoogle Analyticsを利用している場合は以下のように記載します。

この分析にあたっては主に以下のツールが利用されますが、ツール提供者にも上記の情報が提供され、お客様に対する広告配信等に利用されることがあります。

(1)Google Analytic
 ・ツール提供者: Google Inc.
  ・Google Analytics利用規約(リンク)
 ・Googleプライバシーポリシー(リンク)
 ・ツールを通して収集される情報:お客様のウェブサイトの利用状況(アクセス状況、トラフィック、 ルーティング等)

自社サイトで利用しているツールに応じて、同様に記載しましょう。

3-4. ブラウザを用いてCookieをブロックする方法の説明

クッキーポリシーでは、利用しているCookie情報を一方的に提示するのではなく、ユーザー自身が情報提供やCookieの利用を拒否するための方法も併せて提示しておく必要があります。

ブラウザから全てのCookieを拒否する場合は、以下のように各ブラウザのCookie設定の変更方法を記載したページへのリンクを設置すると良いでしょう。

一般的に普及しているブラウザについての情報と、Cookieの設定の変更方法については、以下のリンク先をご参照ください。

・Apple Safari (リンク)
・Google Chrome (リンク)
・Microsoft Internet Explorer (リンク)
・Microsoft Edge(リンク)
・Mozilla Firefox (リンク)

それぞれのツールごとに特定のCookieを拒否する場合は、以下のようにツール提供会社のプライバシーポリシーと情報送信停止の方法を記したページへのリンクを設置しておきましょう。

前条(2)項に記載するツールへの情報提供を停止するための方法は以下に記載するリンク先にそれぞれ記載されています。
主なツール提供会社 プライバシーポリシー 情報送信停止の方法
Google Inc Googleプライバシーポリシー(リンク) Google アナリティクスオプトアウトアドオン(リンク)

>>クッキーポリシーの雛形ダウンロードはこちらから

4. Cookie利用には同意取得・管理も必要!同意確認文言のサンプル

Cookie利用に関する同意取得や管理には、CMP(コンセントマネジメントプラットフォーム)が便利です。サイト訪問者に対して同意取得のためのバナーを表示し、その同意情報を管理するデータベース機能もあります。

>>CMPについて知りたい方はこちらから

ここからは、同意取得をバナーにより行う場合の文言サンプルを、良い例とそうでない例に分けてご紹介いたします。

4-1. 良い例

下記は比較的シンプルな文言例です。弊社Priv Techのサイトでは下記の文言を掲載し、「クッキーポリシー」という箇所を、弊社クッキーポリシーページへとリンクさせています。

私たちはクッキーポリシーに基づきデータを利用しています。クッキーポリシー記載の「1.個人関連情報の第三者提供」について同意をお願いいたします。

以下はより丁寧な文言例です。同意する場合の操作方法や、クッキーポリシーページへのアクセス方法が丁寧に記載されています。

当ウェブサイトでは、お客様により良いサービスを提供するため、クッキーを利用しています。クッキーの使用に同意いただける場合は「同意」ボタンをクリックし、クッキーポリシーについては「詳細を見る」ボタンをクリックしてください。

どちらの文言の方が同意率が高くなるかどうかはユーザーの好みによりますので、ABテストをするなどして、よりユーザーから同意を取得しやすい文言を見つけ出すのがおすすめです。

4-2. 好ましくない例

さまざまな企業のWebサイトをみていると、以下のような文言を見かけます。この文言では、サイト利用を続ける場合は自動的に利用に同意したものとみなすという形になっています。

このように同意を強制するような文言は、あまり望ましくありません。他にも、同意ボタンのみしか表示されていないバナーや、予めチェックボックスにチェックが入っているバナーは、実際にGDPR違反として報告されています。文言や、バナーの設計にも十分に気をつけましょう。

当ウェブサイトでは、サイトの利便性向上を目的に、クッキーを使用しております。詳細はクッキーポリシーをご覧ください。 また、サイト利用を継続することにより、クッキーの使用に同意するものとします。
当ウェブサイトでは、お客様により良いサービスをご提供するため、クッキーを利用しています。このまま当ウェブサイトをご利用になる場合、クッキーの使用に同意いただいたものとみなされます。
詳細については「クッキーについて」をご覧ください

まとめ

GDPRや改正個人情報保護法が施行された現在、プライバシー保護の体制・仕組み構築は急務です。

クッキーポリシーを作成するだけでなく、 この機会にCookieの同意取得・管理体制までしっかり整えておくようにしましょう。

公開日:2023年1月16日

パーソナルデータの取扱いにお悩みの方に

  • 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
  • 誰にどこまで同意を取ったか管理するのが大変…
  • ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
  • 同意は管理できても他社システムを上手く連携して使えないと…

Trust 360で、すべて解決!