インターネットイニシアティブ(IIJ)はこのほど、改正個人情報保護法とデジタルマーティングに関するオンラインセミナーを開催した。来年4月1日施行の改正個人情報保護法では、外国にある第三者への個人データ提供における情報開示義務が強化されることから、デジタルマーケティングにも影響を及ぼすと言われている。

本稿では、IIJ ビジネスリスクコンサルティング本部 シニアコンサルタント 井澤寛延氏によるセッション「改正個人情報保護法施行までにクッキーバナーの導入は必要か:実装事例から学ぶ現実的対策」の模様をお届けする。

  • IIJ ビジネスリスクコンサルティング本部 シニアコンサルタント 井澤寛延氏

Cookieが問題視される背景とは

WebブラウザからさまざまなWebサイトにアクセスすると、サイトを訪れた日時、訪問回数、ログインIDなどの情報が、「Cookie(クッキー)」としてPCやスマートフォンに保存される。クッキーが端末に保存されると、SNSに再ログインする際にIDとパスワードを入れる必要がなかったり、ネットショッピング中にWebサイトを離れても再訪時にカートの商品がそのままだったりと、情報入力の手間を省くことができる。

しかしGDPR(EU一般データ保護規則)では、Cookieがプライバシーに関わるとして規制が強化されるなど、個人情報保護の観点からは、Cookieを規制する流れが強まっている。日本では、4月に個人情報保護法が改正されることに伴い、Cookieは個人関連情報と定義される。これにより、提供先において個人データとなる個人関連情報は原則として本人からの同意の取得が必要となる。そのため、Cookieの取り扱いをどうすべきか、注目が集まっている。

井澤氏は、Cookieを活用したデジタルマーケティングにおいて、サイトの閲覧者が「与えられている情報と自己認識にズレを認知した時、プライバシーをないがしろにされた」と感じるケースがあると指摘した。

例えば、リターゲティング広告において、Webブラウザの閲覧したページの履歴を消去しても、Cookieが残っているために、意図しない閲覧履歴に関連した広告が頻繁に表示されることが起きる。また、行動ターゲティング広告では、自分の考えからは極端にかけ離れた広告が表示されることが起き、ユーザーに嫌悪感を与える可能性がある。

経営リスクとなりつつあるプライバシー

現在、「DX(デジタルトランスフォーメーション)による個人データの利活用推進」「世界各国のプライバシー保護規制強化」「消費者の権利意識の向上」「SNSによる悪評が拡散される環境」といったトレンドがあるが、これらが重なり合うことで「プライバシー」は新たな経営リスクになりつつあるという。井澤氏は、「プライバシーを適切に保護しなかったら、最悪の場合、市場から事業撤退しなければならない可能性もある」と指摘した。

  • プライバシーはDX時代の新たな経営リスクになる

Cookieや検索ワード、アクセスしたURLといったさまざまな情報を収集し、勝手にプロファイルングを行って、それをもとに莫大な利益を上げる企業が出現しており、消費者はプライバシーに対する権利意識が向上しているとのことだ。

さらに井澤氏は、GDPRの施行によって、プライバシー保護がコストから投資に変わったと説明した。GDPR施行前は、プライバシー保護は最低限の法令順守対応という意識だったが、GDPR施行後はプライバシー保護に企業の社会的責任という要素も加わり、個人の信用を獲得し続けるための投資に変わった。

そして井澤氏は、「プライバシー保護は、企業の差別化の要因になると考えられる」と述べた。なぜなら、企業がプライバシー保護とセキュリティ対策を万全にすることで、「安心・安全」のブランドを構築することが可能になるからだ。今後、消費者は個人データを預ける企業を選ぶようになり、プライバシー保護ができない企業から個人データを引き上げることが予想される。

  • プライバシー保護は企業の差別化要因にもなりうる

Cookieバナーはなぜ必要か?

ここで出てくるのが、セッションのタイトルでもある「Cookieバナー」だ。前述したように、改正個人情報保護法で、Cookieは個人関連情報と定義され、透明性のある情報開示などの自主的な取り組みが期待されているという。

また、JIAA(日本インタラクティブ広告協会)は行動ターゲティング広告に関するガイドラインを出しており、その中で、透明性のある情報開示とユーザーがいつでも情報取得を拒否できる画面の提供を推奨している。

こうした背景から、「本人が情報開示と拒否が行える環境として、Cookieバナーが必要」と井澤氏は説明した。同社はCookieバナーの実装を支援するサービスを提供しているが、2021年度上期は約300社の問い合わせを受け、Cookieバナーを出そうとする企業が増加し、上期に入っても問い合わせは止まないそうだ。

Cookieバナーを出そうとしている企業の大半が法的義務ではないにもかかわらず、Cookieの使用に関する正確かつ積極的な情報開示、本人関与の機会の提供の意義を尊重しているという。

井澤氏は「Cookieバナーは完璧なソリューションではないが、現在実現可能なプライバシー保護技術としては最善の手段」と説明した。同氏は、Cookieバナーに関するソリューションを選定時のポイントとして、「同意管理が容易なこと」「設定が柔軟なこと」「経済的であること」「サポートが充実していること」を挙げた。

企業は今、デジタル化、データ活用の必要性に迫られているが、そうした中でも、リスクを低減することを忘れてはならない。プライバシーに関するリスクは企業の存続を揺るがしかねないからだ。Webサイトを運用している企業は、自社のプライバシー保護について今一度見直してみる必要があるかもしれない。