重要性が高まる「クッキーバナー」サイトへの実装を体験してみた! IIJ東京開催「2時間で学べる STRIGHT（ストライト）ハンズオンセミナー」をレポート

欧州のGDPRや日本の電気通信事業法などの法令への対応やWebサイトの信頼性確保に向けて、クッキーバナーの実装が重要になってきた。クッキーバナーの不適切な表示は特に海外では罰則の対象になり得るだけでなく、サイト訪問者のユーザービリティの低下や企業姿勢に対する信頼を失うことにもつながりかねない。企業のクッキーバナーへの向き合い方にメスが入るなか、インターネットイニシアティブ(以下、IIJ)は新たにリリースしたプライバシーツール「STRIGHT」の基本的な使い方を、実機操作しながら短時間で学ぶことができる「2時間で学べる STRIGHTハンズオンセミナー」の定期開催をスタートした。本稿では、ハンズオンセミナーの様子を、IIJのマスコットキャラクター「バリーくん」とともにダイジェストでお届けする。

2時間で学べる
STRIGHT ハンズオンセミナー概要はこちらから

プライバシー保護に向けてWebサイトに求められるようになった「クッキーバナー」

Webサイトを初めて訪れたときなどに、利用しているクッキーに対する同意を求めるクッキーバナーが表示されるようになった。欧州のGDPR(一般データ保護規則)では、Webサイトで利用しているクッキーは個人データと見なされている。また、クッキーの収集にあたってはユーザーの明示的な同意が必須となっており、グローバル展開する日本企業も2018年のGDPR施行以降対応が求められてきている状況だ。

クッキーバナーは、個人情報やプライバシー保護の観点から、Webサイト運営者、ユーザー双方にとってメリットをもたらすものでもある。しかし一般にポップアップ型のバナーは、ユーザーに煩わしさを感じさせるものになりやすいのが実情だ。

では、実際にどのようにクッキーバナーを導入していけばよいのか。そこで参考になるのが今回のハンズオンセミナーだ。ハンズオンセミナーでは、法規制対応や社会的責任の観点からクッキーバナー普及の推進を図るIIJが、各国の法規制の動向から、クッキーバナーの仕組み、STRIGHTを通してWebサイトへの実装方法、使い方まで、実践形式でわかりやすく解説。

「出さないバナー」で、法務担当、デジマケ・Web制作担当、消費者の「三方よし」を実現

まず、セミナー名にもなっているSTRIGHTを紹介しよう。

STRIGHTは、IIJが開発した「プライバシーツール」だ。いわゆるクッキーバナーやCMP(同意管理プラットフォーム)と呼ばれるツールで、クッキー管理に限定せず、端末識別子や追跡技術にも対応するプライバシーツールであることがSTRIGHTの特長だ。

「IIJではインターネットの安心安全をお届けするために、各国のプライバシー保護やデータ保護規制を追いかけながら、日本でのツール提供を行ってきました。この度日本法への対応や日本語による迅速なサポートなど、日本のビジネス環境に合った国産ツールのニーズが高まってきたため、開発したのがSTRIGHTです」と担当者は語る。

日本では、クッキーバナーに対する捉え方が、企業の法務担当、デジマケ・Web制作担当、消費者の3者でそれぞれ異なっているという課題がある。

法務担当者はプライバシーに配慮していることをサイト訪問者に示したいものの、デジマケ・Web制作担当はブランドサイトのデザインがクッキーバナーによって崩れることを嫌ったり、消費者はサイト訪問の度にクッキーバナーに同意する作業を負担に感じたりすることが多いという。

この3者をバランスのとれた関係にするのがSTRIGHTだ。法務担当者は、透明性のある情報提供と消費者が同意を撤回したい場合に簡単に撤回できる本人関与機会を正しく提供でき、デジマケ・Web制作担当はクッキーバナーに邪魔されないデザインが可能に。また消費者は信用できる見やすいWebサイトを利用できるようになる。

「出さないバナー」を実現するSTRIGHTは、フッターなどに同意管理画面へのリンクを設置し、そのリンク先で取得・送信している追跡技術やクッキーを一覧表示したり、本人関与機会(同意/非同意の選択)を提供することが可能だ。これにより、Webサイトで利用されているサービスなどの情報や、本人関与機会を提供しながら、ブランドサイトのデザインを損ねずにクッキーバナーを実装できる仕組みが整っている。

また、最初の画面でクッキーバナーを表示せず、テキストやホバーボタンで誘導できるため、ブランドサイトのデザインを邪魔することがなく、ユーザーが離脱するリスクも避けることができる。

これにより、法務担当、デジマケ・Web制作担当、消費者の「三方よし」を実現するというわけだ。

改正電気通信事業法ではサイトから外部送信される利用情報への対応が義務に

そもそもクッキーバナーに対して各国はどう対応しているのか。

「欧州GDPRや米国CCPA(カリフォルニア州消費者プライバシー法)ではクッキーバナーの実装は必須となっており、違反すると罰則もあります。例えば、欧州での執行事例として、フランスのデータ保護監督機関(CNIL)は 2022年12月、マイクロソフトが運営する検索Bing.comのクッキーバナーがEU法に違反するとして、6,000万ユーロの制裁金を課す決定を下しました」と、担当者は各国の対応状況について説明する。直近の2025年3月には、本田技研工業の米現地法人がCCPAに違反するとして、約63万ドルの制裁金の支払いが命じられたことが公表された。

また、国内でも個人情報保護法によって「クッキーと個人情報が紐付く特定の場合」に規制対象となるほか、2023年の改正電気通信事業法により、特定の事業者はサイトがどのような情報を外部に送信するのかについて情報提供することが義務づけられた。

具体的には、Google AnalyticsやGoogle広告、Facebook広告などで用いる3rd Party クッキーなどを明示することが求められる。その際、情報提供、同意取得、オプトアウト機会提供いずれかの対応が必要となる。

日本企業が対応するにあたってのポイントについて、担当者は次のように解説する。

「日本の場合はいまのところ、法令対応というよりは、消費者訴求としてのバナー実装がトレンドです。ただ、クッキーバナーはWebサイトの透明性を高めることに大きく貢献します。透明性を高め、本人関与機会を提供することは、ユーザーへの安心感を提供し、信頼感、ブランド価値向上につながります」

また、クッキーバナーは、欧州各国の監督機関のガイドラインでNGとされている使い方がある。例えば、クッキーバナーでサイトのコンテンツをブロックし、同意しなければサイト閲覧ができないような「クッキーウォール」がそうだ。こうしたNGケースは「ダークパターン」と呼ばれ、日本でも一般社団法人ダークパターン対策協会によるダークパターン対策のガイドラインは公開されており、今後ユーザーが信用できるサイトを見分けられるような事業者認定制度も開始される予定だ。

こうした各国の取り組みや日本での取り組みの状況を見ると、クッキーバナーへの対応はいずれ待ったなしの状況になることは間違いないと言えそうだ。

クッキーバナーの作成方法やカスタマイズ方法をハンズオン形式で解説

では、実際にどのようにクッキーバナーを導入していけばよいのか。ハンズオンセミナー後半では、STRIGHTを使ったクッキーバナーの作成方法や、カスタマイズ方法がワークショップ形式で解説された。

STRIGHTはすぐに利用できるテンプレートがあらかじめ用意されており、さまざまな国や言語、法域に対応したバナーを簡単に作成できる。例えば、欧州向けにGDPR対応の英語表記バナー、米カリフォルニア州のCCPA対応バナー、日本向け日本語バナーなどを使って、Webサイト訪問者の属性に合わせて表示内容を切り替えることができる。

オプトインやオプトアウトを選択する画面を追加したり、表示する内容やボタンの形、色などをカスタマイズすることも簡単にできる。その際に、HTMLやスタイルシートなどの知識は必要ない。また、Webサイトをスキャンして、サイト上でどのようなクッキーが用いられているかのリストを自動作成することも可能だ。これらは、国内で求められる電気通信事業法の情報提供にも対応している。

実際にSTRIGHTをサイトへ実装するには、次のような手順を踏む。

　1. 対象サイトの要件確認
　2. 対象サイトのクロール(スキャンとリスト自動作成)
　3. 対象サービスの特定(Google Analytics、Facebook広告など)
　4. バナーテンプレートの作成・設定
　5. バナーを表示するためのスクリプト生成
　6. 検証サイトへの実装、検証作業
　7. 本番サイトへの実装、運用

ハンズオンでは講師の指示のもと、デモサイトを用いて、1 から 6 までをステップバイステップで体験していった。