クッキーについて(3)
記事IT・テクノロジー
※本ブログは弊社Webサイトのコラムとして掲載したものをココナラ用に再編集したものです
こんにちは。 小さな会社のためのデジタル戦略室、株式会社ホットソウル代表・若杉です。
前回に引き続き、
最近、一部企業のホームページページやニュースなどで目にする機会が増えた「クッキー」というものについて、特に小さな会社ではどのように考えれば良いのかという観点で考えていきたい思います。
「うちの場合はどうしたら良いのだろう?」と不安を抱えていらっしゃる経営者様の、不安解消の一助になれば幸いです。
根拠となる法令等について
今回からは、なぜ近年クッキー(Cookie)が意識(問題視)されるようになってきたのか、その根拠となる法令等を、特に小さな会社が気を付けるべき点に注意しつつ、整理していきたいと思います。
話題に取り上げる法令等は、以下の3つになります。
①GDPR(EU一般データ保護規則)
②2022年4月施行 改正個人情報保護法
③電気通信事業法の改正
GDPR(EU一般データ保護規則)
GDPRとは、General Data Protection Regulationの略称です。
欧州連合(EU)で2018年から施行された規則(EU加盟国に適用される法律)で、ホームページでは自ら以下のように説明しています。
The General Data Protection Regulation (GDPR) is the toughest privacy and security law in the world.
「一般データ保護規則(GDPR)は、世界で最も厳しいプライバシーおよびセキュリティ法です。」(Google翻訳より)
EUの法律だから、日本の会社には関係ないでしょ?!と思うなかれ。
以下のどれかに当てはまる場合は関係してくるものとなります。また、罰則が非常に厳しいため、油断は禁物です。
①EU内に子会社・事務所・代理店などの事業拠点がある
②(事業拠点がEUにあってもなくても)EU向けに商品やサービスを提供している
③(国籍や普段住んでいる国を問わず)EU域内にいるユーザーの行動監視をしている
③は、トラッキング目的で使用するCookieが当てはまります。例えば、日本人旅行者がEU圏内からアクセスしてきた場合もこのパターンに該当するので、注意が必要です。
GDPRについて不安に思ったら
GDPRについて「うちは大丈夫かな?!」と不安に思われた方は、中小機構が運営する『海外ビジネスナビ』というサイトをぜひ1度ご確認ください。
Q&A形式で分かりやすくコンパクトに解説されています。何度でも無料の相談窓口も用意されているようです。
初めてのGDPR(EU一般データ保護規則)- 海外ビジネスナビ
分かりにくい点について
既にECサイトを運営されている事業者様においては、GDPRに対する認識はあり、改めて不安になったという方は少ないのではと推測しています。
今回「うちは大丈夫かな?!」と不安に思われた方の多くは、弊社のように、
・日本国内だけを意識してホームページを作っている
・けど、Googleアナリティクスを使ってアクセス解析を行っている
といった事業者様だったりしませんでしょうか。
そういった不安に対する回答は、先ほど紹介しました「初めてのGDPR(EU一般データ保護規則)」をよく読むと書いてあるのですが、やや分かりにくので、ポイントをまとめてみます。
先にお断りです。
これ以降は、海外ビジネスナビの記事「初めてのGDPR(EU一般データ保護規則)」を読んで私が解釈した内容であり、海外ビジネスナビを運営する中小機構の公式見解ではありません。
(1)日本国内だけを意識してホームページを作っている場合
ホームページを作りインターネットで公開した以上、たとえ日本国内向けの内容だったとしても、世界中からアクセスされる可能性があります。EU圏内から問い合わせを受ける可能性もあります。
ただ、このような偶発的なアクセスによる個人データ(Cookieも含む)の取得については、GDPRの適用範囲には含まれない、とのことです。
なので(1)のみであれば、特に何も対処せずとも問題はありません。
(2)日本国内だけしか意識していないけど、Googleアナリティクスを使用している場合
Googleアナリティクスにより設定されるトラッキング目的のCookieにより、ユーザーの行動履歴を収集していることになります。
その中にはEU圏内からアクセスしているユーザーも含まれるかもしれません。
広く解釈すると、GDPRの適用範囲に含まれる「EUのユーザーの行動監視をしている場合」に該当すると考えます。
日本国内だけを対象としているホームページに、(勝手に)EU圏内からアクセスしてきて「GDPR違反だ!」と主張するのは嫌がらせとしか思えませんが、そうしたリスクから身を守る意味では、以下の対策が有効です。
①個人データの取扱いの詳細(利用目的、取扱いの法的根拠、本人の権利など)を記載したプライバシーポリシーを制定して公開する。
②プライバシーポリシーとは別にクッキーポリシーも制定して公開する。
③ホームページの利用者にクッキー利用の同意を取る。
④問い合わせフォーム等で個人データを取得する際は、個人データの取扱いについて同意を取る。
クッキーポリシー
クッキーポリシーとは、具体的にどのようなものかは、以下のホームページなどを参照するとよく分かります。
・東京都のホームページ
・JFEホールディングス株式会社のクッキーポリシー
ご覧いただくと分かりますが、小さな会社のホームページで、ここまでの内容を盛り込んでいくのは、現実的には難しいのではないかと思います。
長年ITエンジニアをしている私でも、事実と異なる記載が無いよう正確にこれだけの内容をまとめていくのは、相当骨の折れる作業です。
そこで代替の方法として、GoogleがCookie利用について整理している以下のページへのリンクを載せておくことが考えられます。
Googleポリシーと規約 > テクノロジー > GOOGLE による COOKIE の利用方法
同意を取る仕組み
ユーザーからチェックボックス等で同意を取る仕組みについては、簡単に実現できる場合もありますし、思っている以上に大変になる場合もあります。
まずは、ホームページ制作を委託した業者さん等に、問い合わせされてみてはいかがでしょうか。
もちろん、弊社でもご相談承ります。
今回のまとめ
今回は、Cookie利用に対する制約の根拠になっている法令等のうち、もっとも厳しいと言われているGDPRについて触れてみました。
GDPRは重厚な規則で、はじめから全てを理解して対応するのは困難です。先ほどもご紹介した中小機構の相談窓口などを利用しながら、徐々に理解を深め、ホームページの改善を重ねていくのが現実的かと思います。
次回は、『2022年4月施行 改正個人情報保護法』の話題を予定しております。
お楽しみに!
