企業がデジタルマーケティングを行う際に、重要な情報のひとつなのがユーザーのCookie情報。プライバシー保護の観点から、海外ではすでに規制されており、日本でも規制されるようになります。
この記事では、Cookieの基礎(意味やメリット・デメリット)からCookie規制の概要までをわかりやすく解説します。
Cookieの意味・仕組みやキャッシュとの違い
パソコンやスマホのブラウザ(Google ChromeやSafariなど)でWebサイトを閲覧していると、「Cookieを有効にしてください」といったメッセージが表示されることがありませんか?
そもそもCookieとは何なのかわからず、戸惑った経験をお持ちの方も多いのではないでしょうか?
まずは、Cookieの意味や種類を理解することが大切です。
Cookie(クッキー)とは?
「Cookie」は、「クッキー」と読みます。
Cookieとは、Webサイトを訪れたユーザーの情報を、ユーザーごとに識別する目的で一時的に保存する仕組みのことです。
CookieはIDや閲覧情報などを記録し、ユーザーが再びWebサイトを訪れた際に、スムーズに情報を表示できるようにしてくれます。
Cookieは、ユーザーが閲覧しているWebサイトのサーバーやJavaScriptから、ユーザーが使用しているウェブブラウザに送信されます。送信されたCookieのファイルはパソコンやスマートフォンのブラウザに保存され、ウェブサイト再訪時などに使用されます。
Cookieとキャッシュの違いは?
Cookieとよく似た意味を持つ言葉としてキャッシュがあります。
キャッシュは、Google ChromeやsafariなどのWebブラウザで閲覧したページを一時的に保存する仕組みです。通常、ブラウザでWebページを閲覧する際には、閲覧するWebページのデータをダウンロードする必要があります。
そのWebサイトに掲載されているファイルデータが大きい場合、ダウンロードには時間がかかり、表示速度が遅くなるケースがあります。
しかし、一度訪問したページの画像やHTMLデータはキャッシュに保存されているため、再表示のスピードが上がります。
Cookieの種類
Cookieは大きく分けて「ファーストパーティーCookie」と「サードパーティーCookie」の2つがあります。以下では、それぞれの意味について解説します。
ファーストパーティーCookieとは?
ファーストパーティCookieとは、ユーザーが閲覧しているWebサイトのドメインから直接発行されるCookieのことを指します。
あなたがインターネットで買い物をするシーンを思い浮かべてください。
買い物をするためにAmazonや楽天のようなECサイトを訪問する際、そのサイトがあなたの会員IDや商品閲覧の履歴、購買履歴などを保存するために、ファーストパーティーCookieが発行されます。
ちなみに、ファーストパーティーとは「当事者」を意味する英単語ですので、ECサイトの場合はサイト運営者のドメインを指します。
サードパーティーCookieとは?
サードパーティーCookieとは、ユーザーがアクセスしているWebサイト以外のドメインから発行されるCookieのことを指します。
サードパーティーCookieは、複数のサイトでの閲覧履歴を横断的に追跡するために使用され、この情報は様々なデータと紐付けて使用されます。
このサードパーティーCookie、上記の特徴から、主にアクセス解析や広告配信などをおこなう際に発行されます。たとえば、Webサイトに貼られているバナー広告。掲載先Webサイトのドメイン以外の広告サーバーがサードパーティーCookieを発行することでパーソナライズされた広告が配信されるのです。
なお、サードパーティーは、当事者(例:サイト運営者)やユーザー以外の第三者を意味します。
Cookie規制とは?規制の背景を解説
ここまではCookieの概要についてお伝えしてきましたが、このCookieの利用が近年制限されつつあります。
なぜCookie規制がされるようになってきているのでしょう?その背景について、企業・ユーザーにとってのCookieの有用性と懸念点を切り口に、わかりやすく解説します。
企業がCookieを利用するメリット
Cookieには、Webサイト上でのユーザーの行動が記録されます。つまり、Cookieを活用すれば、Webサイトにおけるユーザーの行動を追跡、ひいては、ユーザーの興味関心を知ることが可能になります。
ユーザーの興味関心を知ることができれば、ユーザー一人ひとりにパーソナライズされた広告を配信できるようになり、売上・収益を高めることにつなげられます。
このように、デジタルマーケティングの文脈において、Cookieは企業にとって貴重な情報資源だといえます。
ユーザーがCookieを有効にするメリット・デメリット
Cookie規制の背景を語る上で、ユーザーがCookieを有効にするメリット・デメリットを知る必要があります。
というのも、ユーザーの権利を守るためにCookieは規制されるからです。
なにが良く、なにが悪く、なにを改善する必要があるのでしょうか?
ユーザーがCookieを有効にするメリット
パソコンやスマートフォンなどでCookieを有効にすると、Webサイトの閲覧がスムーズになります。
例えば、会員登録したサイトを思い浮かべてください。CookieにIDやパスワードが保持されるので、そのWebサイトを訪れるたびにそれらを入力する必要がなくなります。
また、ECサイト(楽天やAmazon)では、ショッピングカートに入れた商品をそのままに、ページを離れることができます。再度、サイトを訪問したときにも、ショッピングカート内に商品が残っているのはCookieのおかげです。
想像してみてください。
- ページを離れるたびにIDやパスワードを再度入力しなければならないの再入力を求められる
- ショッピングカートに追加したはずの商品が、ページから離れたら消えてしまっていた
もし、そんな状況を目の当りにしたらどう思いますか?とても不便でしょう。
ユーザーがCookieを有効にするデメリット
一方で、ユーザーにとっても便利なCookieにはデメリットもあります。
Cookieが有効になっていれば、発行している企業(ウェブサイト運営会社や広告配信会社など)に行動履歴を追跡されます。
ともすれば、Cookieを有効にしたという認識がないまま自分の情報を企業に収集される可能性もあります。
極端な表現かもしれませんが、これはプライバシーの侵害にもつながりかねないことなのです。
Cookie規制の目的
企業がCookieを使ってユーザーの行動を追跡すれば、趣味や嗜好、購買履歴のみならず、家族構成や政治信条なども知ることができます。
ユーザーが予期しない・意図しない情報取得はプライバシー保護の観点からも見過ごすことはできません。
また、Webサービスの利用方法が多岐にわたるようになり、ますます便利な世の中になっている反面、企業における個人情報の取り扱いに不安を覚える人は少なくないでしょう。
このような背景から、企業によるCookie使用を制限する動きが活発化しています。
個人データの第三者提供が問題になった例1|リクナビの内定辞退率予測
ユーザーが予期しない・意図しない情報取得はプライバシー保護の観点からも見過ごすことはできないと述べましたが、インターネット上で企業に渡した個人情報が、本人の感知しないところで第三者に提供されて問題になった例があります。
ひとつめはリクナビの事例です。
2019年に、就職情報サイト「リクナビ」を運営するリクルートキャリアが、ユーザーの内定辞退率を予測したデータを無断で企業に提供していました。データを利用していた企業は行政指導を受け、リクルートキャリアも指導・勧告を受けています。
個人情報の第三者提供が問題になった例2|Facebookのいいねボタン
2つ目に取り上げるのは、Facebookの「いいね!ボタン」の問題です。こちらは、2018年に個人情報保護委員会による行政指導に至ったケースです。
いいね!ボタンは、Facebook以外のウェブサイトやブログにも設置することができます。いいね!ボタンをクリックすると、ユーザーの閲覧履歴などの情報がFacebookに送信されることは、想像に難くないでしょう。
しかし、当時のいいね!ボタンの仕様は、そうではなかったのです。
ユーザーがいいね!ボタンをクリックしたかどうかに関わらず、ユーザーの閲覧情報がFacebook側に送信されていたのです。これは、サードパーティーCookieと同様の仕組みですね。
当時の個人情報保護法では、ブラウザの閲覧履歴自体は個人情報とはみなされておらず、その点においては特段問題ありませんでした。問題は「Facebookが持つ会員の個人情報とCookie情報を照合することが可能だったこと」です。
つまり、特定の個人を識別することができる情報だったのです。これは、ユーザーにとって予想外の情報提供であり、プライバシー保護の観点から問題視されました。
Cookieは個人情報?個人情報ではない?
日本には個人情報保護法という法律があります。同法律によって、個人情報の取り扱いは規定されています。しかし、Cookieは「個人情報」には該当しません。したがって、個人情報保護法によって保護される対象外なのです。
Webサイト事業者でユーザーの氏名などとCookieを照合し、容易に個人を識別できる場合にのみ個人情報の一部となります。Cookieは、それ自体が個人情報として規制されるものではないのです。
しかし、2022年4月改正の個人情報保護法において、Cookieは「個人関連情報」になり、第三者提供の規制対象となります。
ユーザーとしては今後の動向から目が離せませんし、企業としては然るべき対応が求められることになります。
規制の対象はサードパーティーCookie
Cookie規制の対象となるのは、サードパーティーCookieです。
サードパーティーCookieは、ユーザーがアクセスしたWebサイト以外でも使用されます。したがって、プライバシー侵害につながる可能性があります。
一方で、基本的に自社でのみ利用するファーストパーティーCookieは、規制の対象になりません。
Cookie規制はグローバルに進んでいる!世界の現状とは?
アンチトラッキングの流れが世界的に加速している
Cookieなど用いて、Webサイトを訪問したユーザーの追跡することを「トラッキング」といいます。このトラッキングを防ぐことを「アンチトラッキング」と呼びます。アンチトラッキングは世界的に支持を集めており、ブラウザサービスを提供する事業者も、デフォルトでクッキーを規制する対策を取り始めています。
ブラウザのCookie規制とは?
Appleが提供する標準ブラウザ・SafariはサードパーティーCookieの使用を制限しており、Googleは2022年頃までに、ChromeにおいてサードパーティーCookieを規制すると発表しています。Mozilla Foundationが提供するブラウザ・FireFoxも、サードパーティークッキーを無効にする設定がデフォルトでなされています。
海外のCookie規制の状況
国や政府単位での、法令面の規制も進んでいます。
EUのケース|GDPR(EU一般データ保護規則)
EUでは個人情報保護の流れが世界に先駆けて生じています。2018年(平成30年)5月に施行されたGDPRによって、個人データ・プライバシー保護が規定されています。GDPRでは、CookieやIPアドレスなどを個人データの範疇に加えています。事業者は、EU域内でCookieを使用する際に、ユーザーから利用に関する同意取得が義務付けられています。
アメリカのケース|CCPA(カリフォルニア州消費者プライバシー法)
米国カリフォルニア州では、住民のプライバシー保護を定めたCCPAにより、Cookieに関する規制が実施されています。住民は、企業による個人情報の取得を拒否する権利を持っており、Cookieもその対象に含まれています。
事業者は、Cookieを取得した際、ユーザーに通知することが義務付けられています。もしこの義務に違反した場合、罰金が科せられることもあるのです。
日本のCookie規制は遅れている?
欧米ではすでにCookieの規制が始まっているため、多くの企業は自社サイトにバナー・ポップアップを設置し、Cookieの使用許諾を得ています。日本では、このような対応をしている企業はまだ少ないようです。
しかし、日本でも2022年4月に改正される個人情報保護法により、Cookieに対する規制が強化します。
改正個人情報保護法によるCookie規制
Cookieは、原則的に個人情報ではありません。しかし、改正法では、Cookieを「個人関連情報」と位置づけ、第三者提供の規制を設けました。
改正個人情報保護法施行後、ユーザーからCookieの提供を受けた企業が、自身が保有する個人情報と組み合わせて利用する場合、ユーザー本人に利用目的を明示する必要があります。また、情報を提供する企業は、提供先企業の同意が得られているかどうかを確認する必要もあるのです。
Cookie規制はどれほどの影響力を持つのか?
世界中でCookie規制が実施されていますが、日本でも個人情報保護法の改正に伴い、規制が強化されることになりました。ここでは、Cookie規制によって何が変わるのかを見ていきましょう。
影響1|Cookie利用の同意取得が必要になる
改正個人情報保護法により、Cookieの使用について、ユーザーから同意を得なければならない場合があります。
すべての状況において、Cookieの使用に関する同意取得が義務化されるのではありませんが、たとえばWebサイト上にクッキーの使用許諾のポップアップ表示などを設置するべきでしょう。
影響2|リターゲティング広告の利用ができない
リターゲティング広告は、一度サイトを訪れたユーザーをターゲットとして配信される広告です。サイトを訪問したあと離脱してしまったユーザーに対して、行く先々を追跡して広告配信することで、再訪を促すことにつながります。
リターゲティング広告は、サードパーティーCookieを使用するしくみです。したがって、Cookieの規制がかかってしまうと利用できなくなってしまいます。
影響3|ビュースルーコンバージョン計測が不可能に
ビュースルーコンバージョンとは、広告をクリックしたけれどコンバージョンに至らなかったユーザーが、別ルートでサイトにアクセスし、成約に至るコンバージョンのことです。
ビュースルーコンバージョンを計測することで、間接的な広告成果を測定することができます。しかし、この手法もCookie規制によって制限されてしまうのです。
Cookie規制に備えるために企業がとるべき3つの対策
Cookie規制によって、企業のマーケティング活動は重大な影響を受ける可能性があります。Cookie規制に関する対応をまだ検討できていない企業は、早急に検討を開始する必要があります。具体的には、以下のような対策方法が考えられます。
対策1|オウンドメディアやホワイトペーパーなどの魅力的な独自コンテンツを自社サイト内に保有する
サードパーティーCookieの規制が迫る中、ユーザー行動情報を得るための最も正確な方法はファーストパーティCookieと言っても過言ではないでしょう。
ファーストパーティーCookieを最大限に活用するためには、ユーザーにサイトに流入してもらい、サイト内を回遊してもらう必要があります。
加えて、自社ウェブサイト上で、メールアドレスなどの情報を取得するしくみを作っておくとなお良いでしょう。そこで活躍するのが、オウンドメディアやホワイトペーパーです。
有意義なコンテンツにユーザーは集まり、再訪・回遊し、時にはさらに情報を得るために自身の情報を能動的に提供してくれることもあるでしょう。
こういった施策をうまく進めるためには、従来からある王道的なWebコンテンツ試作であるSEOやSEM、独自コンテンツの拡充、CRMなどがますます価値あるものになると考えられます。
対策2|SNSやメルマガ、LINEを通じてユーザーにアプローチする
自社サイトの活用の他に、重要度を増すことが予見されるのが、SNSを活用した集客です。
SNSを活用することで、広範なターゲットユーザーに低コストでリーチすることができます。フォロワーが多いアカウントの場合、特に情報の拡散力が強いのは言うまでもありません。今まで、あなたの会社・取り扱う商品やサービスを知らなかったユーザーにも簡単にアプローチすることができます。
また、オウンドメディアやホワイトペーパーをフックに獲得した顧客情報(メールアドレスやLINE)にアプローチをかけるのも非常に有効です。
自社サイトで得たメールアドレス宛にメルマガを配信し、メルマガ上のリンクをクリックしてもらえれば、アクセスするブラウザが異なったとしてもCookie紐付けができます。これはLINEによるアプローチでも同様です。
こういったアプローチは、企業側から能動的に働きかけることでユーザーの記憶を呼び起こし、結果的に自社Webサイトへの再訪につなげられます。
広告に頼らない集客・情報の利活用のためには、多角的にユーザーに働きかける必要があるのです。
対策3|個人情報の管理体制を見直す
クッキー自体は個人情報ではありませんが、今後は個人関連情報として管理していく必要があります。
ユーザーの個人情報を管理するデータベースに、どのようなシステムが連携しているか把握していますか?顧客情報を定期的にメンテナンスし、適切に管理していますか?ユーザーからの開示請求に迅速に対応する体制をとっていますか?
場合によっては、社内の業務フローやマニュアルの一部を変更したり、Webサイトに掲載しているプライバシーポリシーの文章を見直したりする必要があるかもしれません。
今回の改定を機に、自社の個人情報保護の体制が整っているかどうかを再確認してみてはいかがでしょうか。
Cookie規制まとめ
プライバシー保護の観点から、個人情報の取り扱いへの意識が高まりつつある昨今、世界的にCookie規制が進んでいます。日本でも、2022年に施行される改正個人情報保護法において、Cookie規制が強化されます。企業はCookie、ひいては、個人情報の取り扱いに注意するとともに、リターゲティング広告などに依存しないデジタルマーケティング施策による集客を検討する必要があります。2022年4月は日本にとって大きな転換点となるでしょう。これを機に社内体制や取り得る施策を整理しましょう。