WEBZINNE

site-multilingualizationのサムネイル

サイトの多言語化

Cookie利用の同意オプトイン「クッキーバナー」は必要なのか?

WEBZINNEトピックス編集部のアイコンWEBZINNEトピックス編集部

公開日:2020年9月25日

海外サイトでよく見るCookie利用の同意オプトイン「クッキーバナー」は必要なのかを法令や実例と照らし合わせて検証しました。

大手サイトがCookie(クッキー)利用の同意を取る理由

ここ数年で、ページにアクセスした際にCookie利用の同意を取る(いわゆるクッキーバナー)サイトが主に大手サイトで増えてきました。

かつてから個人情報保護の観点から自主的に設置するサイトはありましたが、基本的にはページの閲覧に邪魔になるため、設置されるのはごく限られたサイトでした。しかし、現在では海外サイトではほぼ全ての見られるようになりました。

その要因となっているのがEUで2018年5月25日に施行された「GDPR(一般データ保護規則)」です。

GDPR(一般データ保護規則)とは何か?

個人情報を保護するための規制ですが、原則的には「利用ユーザーの許諾なしにデータを取得したり、EU域外に出してはならない」という取り組みです。

ジェトロのサイトによると、

GDPRは、EUを含む欧州経済領域(EEA)域内で取得した「氏名」や「メールアドレス」「クレジットカード番号」などの個人データを EEA 域外に移転することを原則禁止しており、現地進出の日系企業に勤務する現地採用従業員や、日本から派遣されている駐在員も含まれるため注意が必要とされます。行政罰規定があり、違反行為に対しては、高額の制裁金が課されるリスクもあります。

EU 一般データ保護規則(GDPR)について | ジェトロ

とあります。

つまり、ユーザーの行動データなどの個人情報を日本などのEUの外に出すことが禁止されているのです。GDPR自体は、主にGoogleやFacebookなどの大手企業を狙った政策と言われていますが、対象は企業やサービスの規模に関わらず適用されます。

問題なのは罰則規定で、「前年度の全世界売上高の4%もしくは2000万ユーロ(約25億円)のどちらか高い方を制裁金として課す」という、とんでもない金額の罰金が設定されています。

日本のWebサービスはGDPRの影響を受けるのか?

基本的には「EU域内のユーザーに対して、個人情報を伴うサービスを提供」していれば、会社の所在地がどこでも、サーバーの設置場所がどこでも適用されます。ざっくり言えば「EU域内のユーザー」が関わった(アクセスした)時点でGDPRの影響を受けると考えても良いでしょう。

ルール的には上記のようになっているので、仮にEU域内のユーザーを想定していないサイトだったとしても、「EU域内のユーザーがアクセスしてきたら対象」となり得るのが厳しいところです。

CookieはGDPRの対象か?

GDPRは、「識別子を元にユーザーの閲覧履歴などの個人情報を”勝手に”取得すること」を回避するために制定された側面があります。その識別子として利用されてきたのがCookieです。

一方で、GDPRは個人情報を保護するルールですので、Cookieを一律で対象としているわけでありません。また、個人情報を取得するために利用されていれば、CookieでもSession StorageでもIndexedDBでも同じでしょう。

自サイトので設定しているCookieが個人を特定可能データでないのであれば、Cookie利用の同意(オプトイン)は原則不要です。

例えば、「閲覧した商品」ページなどで利用される「閲覧したページのURLの一覧”だけ”の配列データ」であれば、個人情報と絡めていないデータの羅列であれば対象外となるでしょう。

一方で、「閲覧した商品」で言えば、Cookieを使ってログインユーザーデータと閲覧データを紐づけるのために使われるのが一般的ですので、そうした場合は、Cookieは「ユーザーやブラウザを識別するための識別子を保存するために利用される」ため、GDPRの適用となるでしょう。

Google Analyticsとドイツのサイトの例

Cookieというと、日本のWebサイト管理者で気になるのがGoogle Analyticsです。

例えば、EU域内のドイツで展開しているWebサイトがGoogle Analyticsを利用している際は、Cookie同意のオプトインが必須となっているようです。

Google Analyticsを提供しているサイトをドイツ向けに公開するとGDPR違反? |IIJ

上記ページの解説によると、

  1. Google Analyticsでサイト運営者が取得するデータは、「サイトの動き」だけで「個人情報」ではない
  2. しかし、Google自体はGoogle Analyticsを通じて閲覧者の個人情報を自社のために利用している
  3. つまり「Google Analyticsを使う = EU域外のGoogleにデータを提供する協力者」である
  4. だから、Cookie利用の同意オプトインが必要だ

ということだそうです。

この例を見る限り、Google Analyticsを利用している海外ユーザーの多いサイトは対応しておいた方が良さそうです。

日本向けサイトでも対応が必要か?

EU当局も、日本のサイトを全てチェックしているわけではないでしょうから、EU域内からユーザーアクセスが少ない場合は、対応しなくても良いでしょう。

しかし、EU域内からユーザーアクセスが一定数ある場合は、面倒でもクッキーバナーを設定しておいた方が安心です。

「サイトの多言語化」の記事