丸山です。
こんにちは。
QA ZEROにもCookieに関する問い合わせが入るようになり、日本でもプライバシー関連の機運が高まってきています。
そんな中、現在の最新状態を反映した「Cookieポリシー作成のポイント(中央経済グループパブリッシング)」が5月30日に発売されましたので読んでみました。
共著になっており、アクセス解析業界で有名なOptionの柳井さん、メルカリの中井氏が技術面をサポートされ、法律面はTMI総合法律事務所の数多くの弁護士の方、そしてAlston & Bird LLPの方が海外の法律関連で入られています。
今日は、本書を読んだレビューに近いですが、内容のご紹介と感想を書きたいと思います。
目次
内容
本書は、全4章からなっています。
- 第1章 Cookieの基本知識
- 第2章 技術的側面から見るトラッキングの現在値
- 第3章 日本におけるCookie関連規制とCookieポリシーの策定
- 第4章 EU・英国および米国におけるCookie関連規制
1章と2章が技術で、3章と4章が法律です。
Cookieポリシーとプライバシーポリシーの違い
本書でも説明されていますが、Cookieポリシーとプライバシーポリシーは違います。
プライバシーポリシーは、個人情報に関する取り扱いを述べるものですが、Cookieポリシーは、Cookie情報の取り扱いを述べるものです。もし事業形態が電気通信事業法に該当する場合は、Cookie情報の送信先などについても言及する必要があります。
Cookieポリシーを作成するために
本書は、Cookieポリシーを作成するためのマニュアルになっています。とはいえ、どうしてもCookie技術や法律自体が難しいのですよね。一回読んだだけで全てを理解して使いこなすという類いのものでありません。読んだ感想としては、優秀なマニュアル・参考書として一冊おいておくと、必要な時や困った時に大変役立つのではないかと思いました。
本記事では、各章の良さや特徴を、概念や補足を交えてご紹介します。 もし興味があれば、本書をぜひ一度手に取ってみてください。
第1章 Cookieの基本知識
Cookieとはどういうものなのか?という技術的説明が書かれています。
内容はかなり詳しく、 実はCookieはブラウザに保存されているファイルであり、WindowsのChromeの場合ディレクトリに入っているなど、詳しい説明がされています。またサードパーティーCookieとファーストパーティーCookieの違いについても図を用いて説明されています。
25ページを割いてCookieについていろいろ説明されており、しっかり知りたい人にとって、満足のいく内容になっていると思います。
第2章 技術的側面から見るトラッキングの現在値
トラッキング技術について、ブラウザやアプリでのトラッキング技術について解説されています。
識別子についても、クロスドメイントラッキングなどがどのように実装されるのかも図示して解説されています。またCookieが使えなかった場合の代替手段としてフィンガープリンティングと共通ID(これは厳密にはCookieに分類される)が紹介されています。2節では主にAppleとGoogleという主要ベンダーについて、それぞれのトラッキング規制技術と方針について解説がされています。
AppleのITP(Intelligent Tracking Prevention)やサードパーティCookieブロック、リファラ規制についても、Cookieの保存期間など含めて正確に記載されているので、とても勉強になる内容です。
多くのウェブサイトがITPやクロスドメイントラッキングなどの説明を試みていますが、やはりウェブページだけでは難しいことが多く、数行でパッと理解できるようなものではないので、正確に知りたい場合は本書を読み解くというのはとてもよいと思いました。願わくば図がカラーだとよりよかったですが、それは価格も高くなってしまうし欲張りすぎですね。
(※補足)第1章、第2章を読む前に知っておきたい知識
下記の知識があると、具体的なイメージをしながら読み進められると思います。
Cookieとは何か?
本書第1章でも説明されていますが、
- Cookieとは各ウェブサイト毎にブラウザに保存されるファイル(一般的に)
- 発行元ドメイン情報が付随しており、そのドメインのみから読み書きされる
というイメージをもっておくと本章の理解を助けると思います。
たとえば、例えばGoogle広告が表示されるexample.comを閲覧している時。
example.comだけが読み書きできるファイル(Cookie)・・・ファーストパーティーCookie
google.comなど他ドメインから読み書きできるファイル(Cookie)・・・サードパーティーCookie
となります。
ユーザー識別トラッキングについて
前提として下記を知っておくと、本章の説明や、他のウェブページで記載されていること、ベンダーが行っていることなどが理解しやすくなると思います。
【原則】
Webサイトに来ているユーザーを識別する技術は、下記2つしか存在しない。
- Cookie
- フィンガープリント(IPアドレスやブラウザなどの情報)
その1つのCookieが気軽に使えなくなるので大問題になっています。
【トラッキング規制の経緯】
ウェブサイトでは、個人を識別し、追跡(トラッキング)するためにほぼデフォルトでCookieを使っており、それは個人特定技術ではなかったので、今まで問題はありませんでした。しかし、最近はテクノロジーが発展し、GoogleなどのビッグテックがCookieを利用して個人を追いかけて広告を出すなど、ユーザーに同意なく個人を特定に近いレベルで識別し、利用する技術が発展してしまいました。この結果、欧米各国の法律が同意なくユーザーを追跡するCookie規制に乗り出す形となり、違犯すると巨額な罰金対象となるGoogleやFacebookも追従することになっています。
一方、ビッグテックの中でも広告依存していないアップルはこの流れをチャンスと捉え、プライバシー保護をブランディングでも利用しており、個人特定につながりそうな情報を片っ端からブロックするようになっています。
下記にアプリで先行して起こったことがわかる参考記事を掲載しておきます。
第3章 日本におけるCookie関連規制とCookieポリシーの策定
この章では、日本の法律について記載がされた後、具体的なCookieポリシーの作成方法やひな形が載っています。
- 個人情報保護法
- 電気通信事業法
- JIAAガイドライン(広告に関する団体のガイドライン)
- スマートフォンプライバシーイニシアティブ(総務省のガイドライン)
法律は上2つです。
Cookieに関連する法律を効率良く知れる方法は少ないですし、ひな形探しにも苦労するので本書はありがたいですね。
第4章 日本におけるCookie関連規制とCookieポリシーの策定
この章は以下の節からなっています。
- EU・英国および米国におけるCookie関連規制
- 規制内容
- 対応方法
- 執行事例
- 米国におけるCookie関連規制と必要な対応
- 総論
- Cookieの利用に関連する米国法令
- 実務で必要なCookie利用に関する義務と対応策
- まとめ
そもそも欧米にどのような法律があるのかや、執行事例含めて知ることなどは難しいので、この章はとても参考になりました。
【補足】
Cookieを拒否できないようにして1億5000万ユーロ(250億円以上)の罰金の事例があったそうです。具体的にはCookieを拒否するには複数回クリックする必要があるようにCookieバナーを作成し、実質ユーザーがCookieを拒否できない状態になっていたというものです。
しかしそれだけで250億円の罰金。特別損失どころか、経営危機を迎えるレベルの罰金です。Cookieバナーを適当に入れればいいというスタンスは本当に危ないと思いました。
まとめ
本書「Cookieポリシー作成のポイント」は、Cookieポリシーを作成するためのマニュアルとして、技術的な側面から法律的な側面まで幅広くカバーしています。最近増えてきたCookieバナー対応や、海外の人が見るページを作る必要性がある人にとっては、傍に置いておくと安心できる一冊だと思います。
なお問い合わせが増えているQA ZEROは、個人特定に絶対につながらない形、かつCookieを使わずフィンガープリントを使った計測を行える珍しいツールです。
Cookieバナーを入れるため、GA4のデータが減ってこまる、Cookieポリシーで悩んでいるという方は、ぜひお気軽にお問い合わせください。