インターネットイニシアティブ(IIJ)は2024年10月29日、「COOKIE」(クッキー)の利用の同意を確認する「クッキーバナー」の自由度を高めた新サービス「STRIGHT」の開始を発表した。なぜこうしたサービスが必要なのか、その背景を確認してみよう。
-
「クッキーバナー」の自由度を高めた新サービス「STRIGHT」
世界的なプライバシー保護とCOOKIE規制の流れ
-
STRIGHTの説明を行う、IIJビジネスリスクコンサルティング本部・ビジネスリスクコンサルティング部長の中西康介氏
今回発表された「STRIGHT」は、ウェブサイトにおいてCOOKIE使用に際し、ユーザーの同意を確認するために表示される「クッキーバナー」に関するサービスだ。
Webサイトを利用する際に、IDやパスワード、前回利用したサービスの状態など、ユーザー個別の情報を保存するために使われる技術が「COOKIE」だ。ほぼあらゆるサイトで利用されている便利な技術だが、これを利用してどんなサイトを閲覧しているか、サイト上でどんな行動を取っているかなどを解析する「トラッキング」という技術がある。トラッキングは主に広告業界などで、ユーザーの興味などをもとにした「ターゲティング広告」などに使われている。
しかし、こうして取得されたトラッキングデータがユーザーの意思にかかわらず、第三者(サードパーティベンダー)に提供されるようになる。これは一種のプライバシーの侵害であるとして、COOKIEの使用を制限しようという動きが現れる。
2017年ごろから一部のWebブラウザがトラッキング防止機能を搭載し始め、2018年にはEUが「EU一般データ保護規則」(GDPR)を、2020年には米カリフォルニア州で「カリフォルニア州消費者プライバシー法」(CCPA)が、2022年には日本でも「改正個人情報保護法」が施行され、Webサイトを表示する際に、COOKIEを利用して個人情報を得る場合はその旨をユーザーに告知して了解を得ることなどが法的に整備されるようになった。特にGDPRはEU加盟国全ての居住者に対してサービスを提供する場合にも適用されるため、グローバルにサービスを提供する企業では対応が必須となっている。
COOKIE同意のためのツール「クッキーバナー」
こうした規制に対して、世界的にもクッキー等を使う際には、クッキーの利用可否や保存する情報の範囲を設定するツール「同意管理プラットフォーム」(Consent Management Platform:CMP)が広がってきた。そのCMPの代表的なものが、今回の発表の中心となる「クッキーバナー」(クッキー同意バナー)だ。
-
IIJのウェブサイトにCOOKIEがない状態でアクセスすると、画面の下に現れるのが「クッキーバナー」。ちなみにAppleの「Safari」ブラウザは、標準設定では1週間でCOOKIEを削除するので、受け入れても毎週バナーが蘇る
こうしたクッキーバナーを利用すると、サイトでは来訪者が自分のデータをどのような目的で、どのサードパーティベンダーに提供されているかを把握でき、またどこにどのデータを提供するかをコントロールできるというわけだ。
ただし、クッキーバナーならなんでもいい、というわけではない。一部のサイトで導入されている、「スクロールすることでプライバシー設定に同意したとみなすバナー」や、「画面全体をバナーが覆い、同意しなければ閲覧できない」(クッキーウォール)、さらには「同意」以外のボタンがない、「『同意』と『拒否』のボタンはあるが、『同意』だけが目立つような色になっている」といったバナーも、GDPRでは規制されている(日本では違法ではない)。
また、実装方法も地域によって異なり、GDPRでは標準で、ユーザーが同意したときにのみCOOKIEを発行する「オプトイン」方式を、CCPAでは標準でCOOKIEを発行し、ユーザーが拒否したときのみ停止する「オプトアウト」方式が選ばれている(ちなみに、日本はオプトアウト方式推奨)。各国の法律に対応させようと思うと、なかなか面倒臭いというのが実情だ。
あまり進んでいないクッキーバナーの採用
GDPRやCCPAといった国際的な法規制への対応により、クッキーバナーは日本でも徐々に広がりを見せているが、まだ課題も多い。IIJは日本におけるクッキーバナーの9割近く、ドメイン数にして3500件以上の導入実績があるというが、このうち2900ドメインがコーポレート(企業)サイトで、特定の製品やブランドを紹介する「ブランドサイト」での導入は約500ドメインにすぎない。
-
500万以上あるブランドサイトのうち、クッキーバナーに対応しているのはまだごく僅か。そもそもまだクッキーバナーの導入は日本ドメインのサイトの10%に満たないという指摘もある
クッキーバナーがブランドサイトへの導入が進んでいない理由としては、デザイン性を損なうこと、サイトからの離脱率が上がることなどがあり、法的に対応を進めたい法務・広報部門と、デザイン性や利便性を損いたくない事業部門との意識の違いが挙げられる。しかし、そのためにプライバシー保護に必要な機能が提供できないのでは、GDPRに抵触してしまい、対象地域での営業活動に支障を与えてしまう可能性もある。
さまざまな法規制に対応する「STRIGHT」
クッキーバナーの重要性と、導入に関する課題についてはお分かりいただけたと思うが、こうした諸問題に対応するべく開発されたのが、IIJが発表した「STRIGHT」だ。
STRIGHTでは、オプトイン・オプトアウトの双方に対応し、表示方法や言語、バナーの表示位置などを自由にカスタマイズできるクッキーバナーを作成できる。電気通信事業法の外部送信規律や、GDPRやCCPAといったグローバル規制への対応、バナーの管理ダッシュボードといった多彩な機能が用意されている。
18歳未満や特定地域以外のユーザーへ提供するサービスを制限するために、年齢や居住地域の確認など、利用できるバナーそのものの種類も多彩だ。中にはバナーとして積極的に表示せず、設定画面へのボタンだけを用意する「出さないバナー」といった選択肢も提供する。
-
「STRIGHT」では、カスタマイズの自由度が高く、複数の地域に対応できるクッキーバナーを自在に作成できる
-
第一層と呼ばれる、直接細かなセッティング画面である第二層へのフローティングボタンを用意する「出さないバナー」といった実装も用意されている
特に「出さないバナー」はデザイン性を損なうことなく実装できるため、ブランドサイトに最適であるとしている。
「きちんとした」クッキーバナー普及に期待
世界的なプライバシー保護の強化により、消費者の意識も高まっており、プライバシーは経営リスクのひとつに数えられるのが現状だ。しかしグローバル展開している企業であっても、各国の法規制を把握できているわけではなく、クッキーバナーひとつ取っても、対象地域ごとに最適化するのは難しい。そんな中、STRIGHTは地域や対象ごとにマスターが用意されており、カスタマイズ性も高く、なによりグローバルで合法的というのが魅力的だ。
いかに日本では問題ないとしても、「スクロールすると同意とみなす」「画面全体を覆う」といったGDPRに抵触するようなバナーの存在には、多くのユーザーが不満を覚えているだろう。STRIGHTのようなサービスが普及することで他のサービスも追随し、ユーザーによって使いやすいサイトが増えてくれることを期待したい。
