インターネットイニシアティブ(IIJ)は10月29日、Webサイトにおけるクッキーの取得・利用において、サイトの利便性や製品・サービスのブランドを損なうことなく、利用者に透明性のある情報開示と同意の管理機会を提供するサービス「STRIGHT(ストライト)」を提供開始した。

クッキーは何が問題なのか?

新サービスを紹介する前に、クッキーについて整理しておきたい。現在、クッキーなどの端末識別子を用いて本人の知らないうちに行動を分析したデータが広告ネットワークを通じて流通していることが問題視されている。これらデータは所得、家族構成、病歴、思想などが推定可能なセンシティブな情報が含まれており、扱うにはルールが求められている。

実際、欧州や米国の海外規制では、クッキーバナーの掲出が一般的となっている。ビジネスリスクコンサルティング本部 ビジネスリスクコンサルティング部長の中西康介氏は、「世界各国の情勢を踏まえると、プライバシーは経営リスクとなる。法的要件を遵守するだけでなく、ステークホルダーが嫌な思いをしないようにする必要がある」と指摘した。

そのために、企業は自社のサイトにおいて、積極的に情報を開示するとともに、本人関与機会を提供する必要があるという。

  • インターネットイニシアティブ ビジネスリスクコンサルティング本部 ビジネスリスクコンサルティング部長 中西康介氏

クッキーの規制としては、本人関与機会を提供するため、オプトインまたはオプトアウトなどの実装が必要となる。日本では、サイト訪問時に処理を開始し、訪問者が処理を停止する機能の実装がJIAA(日本インタラクティブ広告協会)のガイドラインによって推奨されている。

中西氏は、消費者が同意に疲れた結果、同意が形骸化し、ダークパターンの助長につながることもあると指摘した。

ブランドサイトにおけるクッキーバナーの課題

加えて、クッキーバナーにも課題がある。ご存じの通り、クッキーバナーは、Webサイトに最初にアクセスしたときに目立つように表示されることが多い。中西氏は、「クッキーバナーを導入すると、『デザイン性が損なわれる』『ユーザーの離脱率が上がる』『測定が困難になる』といったことが起こりうる」と、クッキーバナーの問題点を指摘した。

しかも現時点では、クッキーバナーの掲出は法的義務ではない。そのため、クッキーバナーを導入したくないと考える製品・ブランドサイト担当者は多く、ブランドサイトではクッキーバナーが敬遠されているという。

しかし、中西氏は「法務や広報の担当者は、法的義務はなくてもクッキーバナーを導入して、自社がプライバシー保護を重視しているという姿勢を示したいと考えている。企業はクッキーバナーについて二者択一に迫られている」と語った。

さらに中西氏は、ブランドサイトでは消費者の信頼を得るためにプライバシー保護が重要であるにもかかわらず、クッキーバナーが入っていないことで、行動データに関する詳細な説明と望まない場合の処理を停止する機能が提供できていないと説明した。

クッキーの削除に関しては、ブラウザの設定で行わせるような案内も多く、ITリテラシーが低い人にとっては不親切な状況があるという。

STRIGHTで実現する新しいクッキーバナー戦略

そこで、「IIJはブランドサイトのセキュリティを底上げする方法として、クッキーバナーを入れないことを考えた」と、中西氏は述べた。

STRIGHTの最大の特徴は、Webサイト訪問時にクッキーバナーを出すことなく、視認性を損なわないエリアにプライバシー設定画面へのリンク情報を表示し、これをクリックすると利用者が同意・拒否を選択できる詳細設定バナーがポップアップする仕組みを提供する点だ。

中西氏は、「重要なことは、透明性をもって情報開示し、本人関与機会を提供すること。Webサイトのフッターにプライバシー設定のメッセージを出し、それをクリックすることで設定が開くようにすることで、いつでも設定がみられる」と説明した。

STRIGHTでは、フッターやハンバーガーメニューに「プライバシー設定」という文字列を入れ、そこをクリックすればクッキーバナーの設定画面(詳細の説明の閲覧、同意・同意の取り消しができる)を表示する。

  • STRIGHTによるプライバシー設定表示のイメージ

この仕組みにより、消費者、事業担当者、法務担当者の三方よしの解決策を実現する。消費者はストレスなく、クッキーに関する通知を見ることができ、安心感を得られる。事業担当者は、クッキーバナーにデザイン性を阻害されず、離脱率の上昇を防ぎ、測定データも取得できる。法務担当者は、説明責任を果たしながら本人関与機会も提供でき、自社のプライバシー保護の姿勢を打ち出せる。

STRIGHTの6つの特徴とは

中西氏は、STRIGHTの特徴として、以下6点を挙げた。

  • カスタマイズ自由度の高いバナー
  • 電気通信事業法、外部送信規律対応
  • クッキーレス時代に対応した外部送信サービスの検知・制御
  • グローバル対応
  • 豊富なテンプレート
  • 管理機能

クッキーバナーは「同意バナー(第1層)と「プライバシー設定バナー」(第2層)に分けられるが、STRIGHTでは、地域や法規制、内容に適したバナーを作成することができる。

例えば、「GDPR向け」「CCPA向け」「情報提供のみ」といった形で、同意バナーとプライバシー設定バナーをそれぞれ出し分けられる。また、地域と年齢に応じた変更にも対応する。

  • STRIGHTでは条件に応じてバナーを出し分けられる。さまざまな同意モデルを実装できる

  • STRIGHTでは条件に応じてバナーを出し分けられる。年齢に応じて出し分けることも可能

さらに、中西氏は出さないバナーの例として、「フッターやハンバーガーメニューなどの特定の文言からの呼び出し」「フローティングボタンからの呼び出し」を紹介した。このようなきめ細やかな設定を行う場合、他社製品では別なツールが必要だが、STRIGHTはそのための機能を標準で実装している。

これまで課題とされていた海外規制と日本規制の双方に対応している点もSTRIGHTの強みだという。

  • 第1層バナーを出さずに第2層バナーを呼び出す実装も可能

以上のように条件に応じて、クッキーバナーを出そうとすると、設定が煩雑と思われるかもしれない。だが、STRIGHTはさまざまなテンプレートが用意されているので、容易に設定できる。IIJには世界各国の法規制を調査するチームがあるので、変更などにも迅速に対応できるそうだ。

  • オプトイン用、オプトアウト用、情報提供のみ用など、多彩なテンプレートを提供

説明会では、「フッターにクッキーバナーを出すのでは目立たないのではないか」との質問が出たが、中西氏は「現在、クッキーバナーさえ出していないブランドサイトがほとんど。バナーさえ出していないところからの前進を目指したい」と語っていた。