近年ECサイトでよく見るCookie同意の背景、法律、具体的な対策まで解説
サイトを訪問すると上記のようなポップアップが表示され、同意を求められることが近年増えたように感じる方もいらっしゃるのではないでしょうか。
しかしこれが何のために表示されているのか、何に同意したのか分からない方もいると思います。
今回はCookieとは何か、Cookie同意の背景と、自社ECサイトはどのように対応すべきか、ご説明いたします。
Cookieとは?
CookieはWebサイトが訪問者の情報を一時的に保存するために使用する仕組みです。主に以下の2種類があります。
・ファーストパーティCookie:訪問しているWebサイト自身が発行するCookie
・サードパーティCookie:訪問しているWebサイトとは別のドメインから発行されるCookie
これらのCookieによって、例えば以下のような情報を保存できます。
・ログイン情報
・閲覧履歴
・ショッピングカートに入れた商品
・Webサイトの設定
例として、ECサイトで気になる商品をカートに入れたものの、その時は購入せずサイトを離れたとします。後日、再びサイトを訪れると、カートに以前入れた商品が残っていました。これは、ECサイトがあなたの情報をファーストパーティCookieに保存しているためです。
また、ログイン情報が既に入力された状態でログインボタンを押すだけで済んだり、一度ログインしたサイトにしばらくログイン状態が維持され再ログインが不要になったり、閲覧・購入履歴に基づいておすすめ商品や関連商品が表示されるのも、Cookieによるものです。
このようにCookieは、Webサイトの閲覧や購入をより便利で快適にします。
Cookieとキャッシュの違い
Cookieとよく混同されがちなものに「キャッシュ」があります。アクセスしたサイトデータを一時的にブラウザに保存する「ブラウザキャッシュ」は、Cookieとは別物です。
Cookie
目的:Webサイトがユーザーの情報を記憶し、利便性向上やパーソナライズされた体験を提供するために使用されます。ユーザーの識別、ログイン状態の維持、設定の記憶、行動追跡などに利用されます。
保存する情報:ユーザーID、パスワード、設定情報、閲覧履歴、行動履歴など、テキスト形式の小さなデータです。
特徴:ウェブサイト側が発行し、ユーザーのブラウザに保存されます。Webサイトを跨いで情報を共有することがあります。プライバシーに関わる情報を含むことがあります。
キャッシュ
目的:Webページの表示速度を向上させるために、画像や動画などのデータを一時的に保存します。同じページを再表示する際に、サーバーからデータを再取得する手間を省きます。
保存する情報:HTMLファイル、CSSファイル、JavaScriptファイル、画像ファイル、動画ファイルなど、Webページの構成要素です。
特徴:ブラウザが自動的に作成し、ユーザーのデバイスに保存されます。基本的には、同じWebサイト内でのみ有効です。プライバシーに関わる情報はほとんど含まれません。
まとめ
・Cookieはユーザーの情報を記憶し、キャッシュはWebページの表示速度を向上させる
・Cookieはテキスト形式のデータを保存し、キャッシュはWebページの構成要素を保存する
・CookieはWebサイト側が発行し、キャッシュはブラウザが自動的に作成する
この通り、目的が全く異なります。
Cookieに同意すると個人情報が抜き取られる?
Cookie自体は、個人情報を直接抜き取るような機能を持つものではありません。Cookieに保存されるのは、あくまでウェブサイトでの行動や設定に関する情報です。
ただし、Cookieによって収集される情報は、単体では個人を特定できなくても、他の情報と組み合わせることで個人を特定できる可能性があるため、「個人関連情報」として扱われることがあります。
しかし注意が必要なのは、悪意のあるWebサイトや第三者が、Cookieを悪用して個人情報を不正に入手しようとする可能性があることです。たとえば、偽のログイン画面を表示してパスワードを入力させたり、Cookieを盗み取ってアカウントを乗っ取ったりするといった手口が考えられます。
Cookieによって収集された情報が、広告会社などに渡り、あなたの興味や関心に基づいた広告が表示されることがあります。これは「行動ターゲティング広告」と呼ばれ、便利な反面、プライバシーの侵害だと感じる人もいます。
つまり、Cookie自体が個人情報を抜き取るわけではありませんが、使い方によっては、個人情報が漏れたり、プライバシーが侵害されたりするリスクがあるということです。
安心してインターネットを利用するために、以下の点に注意しましょう。
・信頼できるWebサイトのみ利用: 不審なWebサイトや、プライバシーポリシーが不明確なWebサイトの利用は避けましょう
・Cookieの利用目的を確認: Webサイトのプライバシーポリシーなどを確認し、Cookieの利用目的を理解しましょう
・ブラウザの設定でCookieの利用を制限する: ブラウザの設定やWebサイトの同意バナーなどで、Cookieの利用を制限することができます
・Cookieの削除: 定期的にCookieを削除することで、情報収集のリスクを低減できます
なぜCookie同意を求められるようになったのか
近年Cookie同意を求めるポップアップが増えている背景には、いくつかの要因があります。
1. GDPR(一般データ保護規則)の影響
EUで2018年に施行されたGDPRは、Cookieを含む個人データの取り扱いについて厳格なルールを定めています。この法律の影響は大きく、世界中のWebサイトが対応を迫られました。
2. 日本の個人情報保護法の改正
日本でも2022年施行の改正個人情報保護法、2023年6月改正の電気通信事業法など、Cookieなどの利用者に関する情報の外部送信について、本人の同意が必要となりました。
3. ユーザーのプライバシー意識の変化
インターネット利用者の間で、自身の個人情報がどのように利用されているかに対する関心が高まり、プライバシー保護の重要性が認識されるようになりました。
これらの要因が複合的に作用し、Cookieの利用に際してユーザーの同意を求める動きが広まりました。
自社ECサイトのユーザーにもCookieの同意を取るべきか
結論から申し上げますと、適用される法律やガイドライン、およびECサイトの運用状況によって異なります。
日本国内向けECサイトの場合、すべてのCookieに対して同意バナーの表示が義務付けられているわけではありません。しかし、個人情報保護法や電気通信事業法の改正により、以下の場合はユーザーからの同意取得が必要となる、または推奨されます。
・第三者(広告配信サービス、アクセス解析ツールなど)へ個人関連情報を提供する場合
・行動ターゲティング広告を利用する場合
・Cookieを通じて取得した情報を、個人データと結びつけて利用する場合
特に越境ECを手掛ける店舗さんは、EUのGDPR(一般データ保護規則)やアメリカ・カリフォルニア州のCPRA(カリフォルニア州プライバシー権利法)など、海外の法規制にも注意が必要です。
EU向け:GDPRでは、Cookieの使用に関して明確な「事前同意」が求められます。
米国カリフォルニア州向け:CPRAでは、ユーザーに「オプトアウト(拒否)」の機会を提供する必要があります。
まとめ
・国内向けECサイトでは、Cookie同意バナーの設置は必須ではありませんが、特定の条件下では設置が推奨される
・第三者への情報提供や行動ターゲティング広告を利用する場合は、ユーザーからの「確認・同意」が必要となる
・海外ユーザー向けにサービスを提供する場合、GDPRやCPRAなどの規制に従う必要がある
・Cookieの同意バナーの設置のみならず、プライバシーポリシーの整備やCookie設定の管理など、包括的な対応が必要となる
インターネットを取り巻く規制は日々変化しており、ECサイト運営者は常に最新の情報を収集し、変化に対応する必要があります。最近ですと、クレジットカード決済の不正利用の急増を受け、2025年3月末を目処にECサイトへの本人認証(EMV 3-Dセキュア)の導入が義務化されることになりました。
経済産業省 クレジットカード・セキュリティガイドライン【5.0版】が改訂されましたhttps://www.meti.go.jp/press/2023/03/20240315002/20240315002.html
▼ ECナレッジ:3Dセキュアについての記事はこちら
https://shopserve.estore.jp/ecknowledge/whitepaper27/
しかし、個人で関連情報を収集し続けるのは大変な作業です。
Eストアーショップサーブは最新のガイドラインやEC業界の動向に常に目を向けながら情報収集し、多くの店舗さんのサポートを行なっております。ECサイト運営者が安心してビジネスに集中できるよう、我々がしっかりとサポートさせていただきます。ぜひお気軽にEC運営についてご相談ください。
