【2024年版】Cookie規制とは?日本の状況・影響・対策方法まで解説(その1)
Cookie規制とは、法規制やブラウザの自主規制によって、Cookieの利用が制限されることを指します。しかし、Cookie規制の詳しい内容や影響について正しく理解できている方はどれほどいるでしょうか。
「近々、Google ChromeもCookieを規制するらしい!」「Cookie規制って最近よく聞くけど、どんな対応をすればいいの?」
このように考えている方は、この記事を読んでCookie規制への理解を深めていただければと思います。
Cookieには主に「1st Party Cookie」と「3rd Party Cookie」の2つがあります。現時点でCookie規制の対象になっているのは主に3rd Party Cookieで、自社で集めた1st Party Cookieは今後も利用可能です。
3rd Party Cookieは、用途によってはユーザーが意図しない場所でもWebサイトを横断して行動履歴を収集しています。例えば、「Web検索した企業の広告が、後日SNSに表示された」といった経験をお持ちの方もいるのではないでしょうか。これはまさに、3rd Party Cookieが使われている事例です。
こうした追跡が個人情報保護の観点から問題視され、規制が行われるようになりました。
この記事では、企業がCookie規制にどう対応していく必要があるのかを理解するための第一弾として、海外と日本の法律やブラウザによるCookie規制の内容を解説します。
※2024年7月29日時点の情報です。
\ウェビナーアーカイブ/
今さら聞けない!?Cookie規制の影響とアドエビスの対策を30分で総整理
1. Cookie規制を理解するための基本知識
「Cookie規制」について理解する前に、「Cookieとは何か」について解説します。
Cookieの概要や種類についてご存じの方は「2. 法律によるCookie規制の状況(海外・国内)」「3. ブラウザごとのCookie規制の状況(Apple・Googleなど)」からお読みください。
1-1. そもそも「Cookie(クッキー)」とは
「Cookie」とは、「Safari」や「Chrome」といったWebブラウザに、訪問したWebサイトにおける行動ログや入力したユーザー情報を一時的に保管しておく仕組みのことです。
「Cookieを活用すると以下のようなメリットがあり、ユーザーにもサイト運営側にも便利な仕組みといえます。
1-2. Cookieには2種類ある
Cookieには、ユーザーが訪れたサイトのドメインが発行する「1st Party Cookie」と、別ドメインが発行する「3rd Party Cookie」の2種類があります。
| 1st Party Cookie | 3rd Party Cookie | |
|---|---|---|
| 発行元 | ユーザーが訪問したサイトのドメイン | ユーザーが訪問したサイト以外のドメイン |
| 主な用途 | ・ログイン状態の維持 ・入力情報の保持 ・カート情報の保持 ・サイト内のユーザー行動をトラッキング | ・リターゲティング広告(アクセス履歴のあるサイトの商品を別サイトに広告として表示) ・ドメインを横断したユーザー行動のトラッキング |
| 企業のメリット | ・ユーザーの利便性を向上できる ・行動履歴を追跡できる | ・他ドメインのWebサイトに広告を表示でき、効果が高いマーケティングを行える ・ドメインを横断してユーザー行動をトラッキングできる |
| ユーザーの メリット | ・利便性の向上 | ・関心・興味がある広告を取得できる |
| ユーザーの デメリット | ・サイト運営者に個人情報を預けるリスクがある | ・知らないうちに第三者に行動履歴や個人情報を取得されてしまうリスクがある → 近年規制されつつある |
1st Party Cookie
ユーザーが訪問したサイトのドメインが発行するのが「1st Party Cookie」です。
例えば今ご覧いただいているナレッジサイトにアクセスすると、「knowledge.ebis.ne.jp」のドメインからユーザーが使っているブラウザ(例えばChrome)にCookieを付与します。
ブラウザにユーザーの閲覧履歴や入力情報などが保管されるため、ログインやカートの状態を保持したり、一度入力した情報を再入力しなくて済んだりするメリットがあります。
一方、サイト運営者は、ユーザーの来訪情報やサイト内での行動履歴を追跡・取得し、マーケティングや分析に活用できます。
3rd Party Cookie
ユーザーが訪問したサイト以外のドメインから発行されるクッキーが「3rd Party Cookie」です。
例えばユーザーがナレッジサイトにアクセスしたとき、「knowledge.ebis.ne.jp」以外のドメイン(例:Google広告)が発行したCookieが、3rd Party Cookieとなります。
1st Party Cookieは主にユーザーの利便性向上を目的としたものですが、3rd Party Cookieは主に企業の広告配信に寄与するものです。
3rd Party Cookieの仕組みを使うと、以下のような「リターゲティング広告」が可能になります。
・ユーザーがA社の公式ホームページを訪問し、商品を閲覧
・後日、ユーザーはA社とは関係がないニュースサイトを閲覧
・ニュースサイト内に、A社の広告が表示される
1-3. なぜ3rd Party Cookie規制が必要なの?
サイト運営者や広告主にとって3rd Party Cookieは、ドメインをまたいで広告出稿できる便利な仕組みです。しかし、個人情報やプライバシーの観点から疑問視され始めました。
3rd Party Cookieを活用したパーソナライズド広告を受け取ったユーザーからすると、「知らない間に第三者に個人情報が活用されている」「プライバシーの侵害ではないか」「監視されている気がして嫌だ」と感じる原因となります。
このような問題点を受け、法律やブラウザ側で、主に3rd Party Cookieやこれを活用して得られるデータ(Cookieデータ)を対象にした規制が始まりました。
| 2017年 | ・Apple社が、Safariブラウザに「ITP1.0」(トラッキング防止機能)実装 |
|---|---|
| 2018年 | ・Apple社が、Safariブラウザに「ITP1.0」(トラッキング防止機能)実装 |
| 2020年 | ・アメリカでCCPA(カリフォルニア州消費者プライバシー)施行 ・Apple社「ITP2.3」で3rd Party Cookieが完全にブロック |
| 2022年 | ・Mozilla社がFirefoxブラウザで、「包括的Cookie保護(Total Cookie Protection)」をデフォルトで有効にすることを発表 |
| 2024年 | ・(2024.7.29更新)Google社が、Chromeブラウザでユーザー自らがプライバシー設定を管理できる新たな機能を導入する可能性について発表(3rd Party Cookieの廃止は撤回) |
Cookie規制には「法律による規制」と「ブラウザ運営企業による規制」の2種類があります。それぞれ次の章から詳しく解説していきます。
2. 法律によるCookie規制の状況(海外・国内)
まずは、法律によるCookie規制について、海外と日本国内の状況を解説していきます。
2018年5月にEUでGDPR(一般データ保護規則)が施行されたことを皮切りに、日本を含めた各国でCookie規制が進んでいます。
2-1. 【EU】ePrivacy規制・GDPRなど
EU(欧州連合)では、Cookie規制をEU域内で統一するための整備が進められています。以下の表は、EUにおける主な法規制をまとめたものです。
▼EUにおけるCookieに関わる法規制の内容
| 2002年施行 2009年改正 | ePrivacy指令 | ・EUにおける電子通信サービスにおける個人データ処理とプライバシーの保護に関する指令であり、加盟各国において同指令に基づいた国内法の制定が求められている ・厳格に必要なCookieを除き、Cookie利用時の明確かつ包括的な説明及び同意取得を義務化 |
|---|---|---|
| 2018年施工 | GDPR (一般データ保護規則) | ・EU域内の個人データやプライバシーの保護に関する規則 ・Cookieに拠り得られるデータを含む個人データの処理時の条件や同意取得の要件等がより厳格化 |
| 2024年 | ePrivacy規則 | ・制定に向けて議論中 |
2002年に施行、2009年に改正した「ePrivacy指令」はGDPRを具体化し補完するものであると位置づけられるものであり、Cookie利用時の明確かつ包括的な説明と、能動的な態様での同意取得等を内容とする国内法の制定をEU加盟国に求めています。ユーザーの利便性向上等を目的とする1st Party Cookie使用については、厳格に必要なものであるとして同意取得が義務付けられませんが、広告配信の最適化などを主たる目的とする3rd Party Cookieを使用する際には、基本的には同意が必要となっています。
2018年5月には「GDPR(一般データ保護規則)」が施行され、Cookieを利用して得られるデータも個人データに含まれ、同意取得に関する要件が明確になりました。具体的にはオプトアウト方式や黙示の同意、みなし同意は有効な同意とは認められず、個人データの処理に関するルールが厳しくなっています。
2024年現在は「ePrivacy指令」を置き換え、GDPRの特別法として「ePrivacy規則」の制定に向けて審議が進められています。
2-2. 【米国】CCPA(カリフォルニア州消費者プライバシー法)など
米国には、国内全域に適用される「連邦法」と各州で制定する「州法」が存在します。連邦法レベルでは包括的な個人データ保護法は存在しませんが、州法レベルでは包括的な個人データ保護法を制定する州もあります。
以下の表は、米国における主な法規制をまとめたものです。
▼米国におけるCookieに関わる法規制の内容
| CCPA (カリフォルニア州消費者プライバシー法) | ・カリフォルニア州の個人情報保護に関する法律 ・Cookieデータを含む個人情報の収集時または収集前の情報提供義務を課している ・ユーザーが個人情報を第三者に販売されるのを止めたいときに利用停止(オプトアウト)できる仕組みを義務化 |
|---|---|
| CPRA (カリフォルニア州プライバシー法) | ・カリフォルニア州の個人情報保護に関する法律であり、CCPAの改正法と位置付けられる ・CCPAよりも厳格な基準で個人情報収集時の情報提供の規則を設けている ・個人情報の第三者への販売のみならず共有する場合にもオプトアウトする権利を制定 |
| VCDPA (バージニア州消費者データ保護法) | ・バージニア州の個人情報保護に関する法律 ・管理者が個人データを第三者に販売する場合等のオプトアウト権の行使方法について明確かつ目立つように開示するように義務化 |
| CPA (コロラドプライバシー法) | ・コロラド州の個人情報保護に関する法律 ・管理者が個人データを第三者に販売する場合等のオプトアウト権の行使方法について明確かつ目立つように開示するように義務化 |
いずれも個人情報・個人データを第三者に販売する場合に適用される規制を設けている法律であるため、1st Party Cookieではなく、3rd Party Cookieを制限するものと言えます。
中でも特に知られているのが、2020年1月に施行されたカリフォルニア州消費者プライバシー法(CCPA)です。
CCPAでは、Cookieの利用に特に焦点を当てた規制は設けられていません。しかし、対象となる「個人データ」が幅広く定義されており、Cookieデータも個人データに該当するため、CCPAにおける諸規制を遵守しなければならない場合があります。
また、2023年には、CCPAをより厳格にした「CPRA」が施行されました。CPRAとバランスが取れるようにCCPAを修正した「CCPA規則」も施行されており、カリフォルニア州のプライバシーに関する法令の整備が進んでいます。
CPRAでは個人情報を第三者へ「販売」する場合だけでなく「共有」する場合にも、消費者がオプトアウトする権利を有することが定められています。その他にもCCPAよりも厳しい基準で個人情報収集時の情報提供の規則が設けられている点が特徴です。
また、カリフォルニア州以外にも、バージニア州やコロラド州でも法律が施行されています。VCDPA(バージニア州消費者データ保護法)とCPA(コロラド州プライバシー法)は、ともに管理者が個人データを第三者に販売する場合等のオプトアウト権の行使方法について、明確かつ 目立つ形で公開するよう求めています。
2-3. 【日本】改正個人情報保護法
日本では2022年4月に「改正個人情報保護法」が施行されました。
改正個人情報保護法では「個人関連情報」という概念が新設されました。個人関連情報とは、簡潔に言えば、個人情報には該当しない、生存する個人に関する情報をいいます。
Cookieを通じて収集された閲覧履歴などのデータも、特定の個人を識別できない場合には「個人関連情報」に含まれる可能性があります。
一方で、当該データが他の個人情報と紐づけるなどして特定の個人を識別できる場合には、「個人関連情報」ではなく「個人情報」に該当します。そのため、データが個人情報保護法上のどのカテゴリに該当するかの把握が必要です。
しかし、提供する情報が個人関連情報であっても、提供先において、提供先が保有する情報と組み合わせると特定の個人を識別できてしまうケースがあります。
例えば、A社が個人関連情報であるCookieデータを取得したとします。これを第三者であるB社に提供し、B社が自ら保有する情報と当該個人関連情報とを組み合わせることで特定の個人を識別できるとします。このようにA社からB社に個人関連情報を提供し、B社が当該個人関連情報を他の情報と紐づけて個人情報として取得することが想定される場合、改正個人情報保護法では規制の対象となります。
具体的には、提供先のB社はユーザー本人から同意を取得する一方で、A社はB社により同意が得られていることをB社に確認し、記録する義務があります。
つまり、改正個人情報保護法は、個人関連情報を第三者に提供する場合に適用されることから、3rd Party Cookieを規制する法令であると言えます。自社サイトのドメインから発行される1st Party Cookieは、規制の対象外となっています。
2-4. 【日本】電気通信事業法改正
さらに日本では、電気通信事業法の改正法が2023年6月に施行されました。
改正電気通信事業法では、一定のサービスをブラウザ又はアプリケーションを通じて提供する際に、ユーザーの端末に、3rd Party Cookieを含むユーザーに関する情報について外部送信を指示するプログラム等を送信する場合に適用される規制(外部送信規律)が設けられました。規制の対象となるのは、主として次のような電気通信役務(サービス)を提供する事業者です。ただし、自社商品・サービス等のオンライン販売や広告・宣伝等、自社の需要に応じて行われるものは適用対象外です。
- メッセージ媒介サービス
- SNS
- 検索サービス
- ホームページの運営(ニュースサイト、まとめサイト等各種情報のオンライン提供)
改正電気通信事業法の下では、Cookieデータを含む利用者に関する情報を第三者に提供する(外部送信する)場合、以下の3つのいずれかに対応することが義務付けられました。
- 所定の事項を事前にユーザーに通知・公表する
- 事前にユーザーの同意を取得する(オプトイン)
- 外部送信を後から拒否できる仕組み(オプトアウト)を導入し、ユーザーに周知・公表する
電気通信事業法を所管する総務省は、当初は、外部送信規制への対応方法として、ユーザーの同意取得を義務付ける案のみを検討していました。
また、所定の事項を事前にユーザーに通知・公表する場合は、一定の例外を除いて下記の情報を公表する必要があります。
- 送信される利用者に関する情報の内容
- 送信される利用者に関する情報を取り扱う者の氏名又は名称
- 送信される利用者に関する情報の利用目的
3. ブラウザごとの3rd Party Cookie廃止状況(Apple・Googleなど)
Cookie情報を保有する仕組みを持つブラウザ側も、Cookie規制を進めています。
ブラウザ側がCookieをブロックする仕様を採用してしまえば、Cookieを利用したくても利用できなくなります。特にブラウザシェア率が高いブラウザでCookie規制が進めば、その影響は多大なものになります。
日本のブラウザシェア率(※)は下記のとおりです。(2024年2月時点)
| 2024年2月時点での日本のブラウザシェア率 | |
|---|---|
| Safari | 25.35% |
| Chrome | 54.6% |
| Microsoft Edge | 13.05% |
| Firefox | 3.83% |
| その他 | 3.17% |
ブラウザごとのCookie規制について、詳しく解説していきます。
3-1. Safariは3rd Party Cookieを全面廃止
各ブラウザの中でも率先してCookie規制を進めているのが、Apple社のSafariです。SafariはiOSやMacに標準搭載されているブラウザであり、日本国内で約25%のシェアを得ています(2024年2月時点)。
Apple社は「プライバシーを守り、自分の情報をコントロールできるように製品を設計する」という理念を掲げており、Safariブラウザでは既に具体的なCookie規制が行われています。
2017年にAppleは「ITP(Intelligent Tracking Prevention)」というトラッキング防止機能をSafariに実装しました。その後もバージョンアップを繰り返し、規制内容がより厳しく進化しています。
▼これまでの主な変更内容
| バージョン | 発表日 | 3rd Party Cookie | 1st Party Cookie | Local Storage |
|---|---|---|---|---|
| ITP1.0 | 2017年9月 | 30日で削除(過去に訪問がないユーザーは24時間で削除) | 制限なし | 制限なし |
| ITP1.1 | 2018年3月 | 直帰した場合は24時間で削除 | 制限なし | 制限なし |
| ITP2.0 | 2018年9月 | 直帰した場合は即時削除 | 条件によっては即時削除(※1) | 制限なし |
| ITP2.1 | 2019年3月 | 直帰した場合は即時削除 | JavaScriptで付与されたCookieの場合、最大7日で削除 | 制限なし |
| ITP2.3 | 2019年9月 | 直帰した場合は即時削除 | JavaScriptで付与されたCookieの場合、最大7日で削除 | インタラクションから7日で削除 (トラッカー判定されているドメインからパラメータ付きで流入した場合のみ) |
| Safari13.1 | 2020年3月 | 完全にブロック | JavaScriptで付与されたCookieの場合、最大7日で削除 | インタラクションから7日で削除(条件問わず) |
| iOS16 | 2022年9月 | 完全にブロック | CNAME方式のCookieが7日で削除 | インタラクションから7日で削除(条件問わず) |
| iOS16.4 | 2023年3月 | 完全にブロック | A/NS方式の[1st Party Cookie]が7日で削除 | インタラクションから7日で削除(条件問わず) |
2022年9月以降は、3rd Party Cookieは完全にブロックされ、1st Party CookieやLocal Storageも最大7利用日で削除されるようになっています。
Appleは、Cookieに限らずトラッキング目的に使われる仕組みを次々に削除対象にしています。今後も規制を回避するための抜け道はその都度、アップデートで制限されることが考えられます。
3-2. Chromeは2025年に3rd Party Cookieを廃止予定→(2024.7.29更新)廃止を撤回
日本国内のブラウザシェアTOPを誇るGoogle社のChromeは、2025年初めに全ユーザーの3rd Party Cookieを段階的に廃止することを目指していました。
しかしその廃止予定は何度も延期されており、2024年7月「3rd Party Cookie廃止を撤回する」との発表がありました。「3rd Party Cookie廃止に代わり、ユーザー自らがプライバシー設定を管理できる新たな機能をChromeに導入する」とのことです。
| 2020年 | 「2022年以内に3rd Party Cookieを廃止する」と発表 |
|---|---|
| 2021年 | 「2023年までに3rd Party Cookieを段階的に廃止する」と発表 |
| 2022年7月 | 「3rd Party Cookie廃止は2024年後半から順次行う」と発表 |
| 2023年12月 | 「2024年後半に全ユーザーの3rd Party Cookieを段階的に廃止。Webサイト間トラッキングを防止するトラッキング保護機能テストを2024年1月4日から全世界のChromeユーザー1%に展開」と発表 |
| 2024年4月 | 「2025年初めに全ユーザーの3rd Party Cookieを段階的に廃止することを目指す」と発表 |
| 2024年7月 | 「3rd Party Cookie廃止を撤回する」と発表 |
Google社は2023年12月に、延期の理由として、3rd Party Cookieに代わる技術「プライバシー・サンドボックス」の開発やテストに時間がかかっていると述べていました。プライバシー・サンドボックスの技術としては、「Topics API」や「Protected Audience API」などが注目を集めています。これらを活用することで、Web上でのユーザーのプライバシーを保護しながら、開発者がビジネスを構築したり、適切な広告を配信したりすることが可能になります。
さらに2024年4月には再延期の理由として、これらの技術を活用する広告業界や規制当局との調整に時間がかかっていることを説明しています。
そして、3rd Party Cookieからプライバシー・サンドボックスへの移行には多くの関係者による多大な作業が必要であり、消費者、広告主、およびオンライン広告に関わるすべての人に影響を与えることを加味し、2024年7月に3rd Party Cookie廃止を撤回する判断となったようです。
3-3. Microsoft Edgeはトラッカーを規制、3rd Party Cookieも廃止予定
Microsoft社のブラウザ「Microsoft Edge」では、ブラウザの「追跡防止」機能により、有害な可能性があるトラッカーがブロックされるように設計されています。
Safariのように3rd Party Cookieを全面的にブロックするような厳しい規制ではないものの、既に一部のCookieに影響が及んでいます。
また、Microsoft EdgeはGoogle社が開発したブラウザエンジンを使用しており、Chromeの3rd Party Cookie規制に追従する動きを見せています。2024年3月には「数カ月以内に、1%未満の個人ユーザーを対象として3rd Party Cookieの廃止実験を行う」と発表しました。
3-4. FirefoxはトラッカーのCookieをブラウザの初期設定でブロック
Mozilla社のブラウザ「Firefox」では、「強化型トラッキング防止」と「包括的Cookie保護」機能をデフォルトで設定し、トラッカーやCookieを規制しています。ブラウザの初期設定では、トラッカーのCookieをブロックし、トラッカー以外の3rd Party Cookieはサイトごとに隔離保存する設定になっています。設定をカスタマイズすることは可能ですが、そのまま使うユーザーが多いと考えられます。
1st Party Cookieはデフォルトでブロックされません。
4. まとめ
Webマーケティングとの繋がりが強いCookie規制について、 「なぜCookie規制が進んだのか」「ブラウザごとのCookie規制の状況」を紹介しましたが、いかがでしたでしょうか。
「Cookie規制とは?日本の状況・影響・対策方法まで解説(その2)」では、「Cookie規制がWEBマーケティングに与える影響は?」 「Cookie規制に対応するために企業が実施すべきことは?」をまとめていきますので、ぜひご覧ください。
