【2023年最新版】Cookie規制徹底解説 Cookie規制とは【前編】｜日本ではいつから始まる？どう対策すべき？

そもそもCookie（クッキー）とは？

Cookie（クッキー）とは、ホームページに訪問したユーザーの行動入力情報を、ブラウザへ一次的に保存する仕組みのことです。つまり、SNSなどで見られる足跡機能のようなものです。

ちなみにCookieという名称の由来には、保存機能であることから保存食である「クッキー」から来たという説や、Webサーバーに情報が食べられるという意味でつけられたとする説などがあります。

Cookieは具体的に、IDやパスワードの保存、広告配信などのトラッキング技術のために使われます。トラッキングとは、ホームページに訪れたユーザーの行動やシステムの動きなどを把握することです。

実際にホームページを利用していると、さまざまな場所で興味がひかれるような広告が出てきた経験があると思いますが、これはトラッキングによってホームページ運営側がユーザーの趣味趣向を把握しているためです。

Cookieのメリットをまとめると、以下のとおりとなります。

Cookieの3つの種類

Cookieには、以下3つの種類があります。

以下の見出しでは、それぞれの詳細について解説します。

1.ファーストパーティーCookie（1stParty）

ファーストパーティーCookie（1stParty）は、ホームページ運営側が発行しているCookieです。ファーストパーティーCookieの目的は、ホームページに訪れたユーザーのログイン状態の維持や入力情報の保持、カート情報の保持などです。

ファーストパーティーCookieによって、ユーザーはホームページに自動でログインできたり、欲しいものをいったん保留にして後で購入できたりします。

またホームページ運営側にとっては、ユーザーが一度目のホームページ訪問時には商品購入に至らなくても、時間を置いてから改めて買ってもらいやすくなるというメリットがあります。

一方ファーストパーティーCookieには、ユーザーの個人情報がWebサイト運営側に預けなければならないというデメリットがあります。

2.セカンドパーティーCookie（2rdParty）

セカンドパーティーCookie（2rdParty）は、他社のホームページで発行されたファーストパーティーCookieです。

例えば、自社のホームページで発行したファーストパーティCookieを提携先のホームページに共有することがありますが、この共有されたファーストパーティーCookieは、提携先にとってはセカンドパーティーCookieとなります。

3.サードパーティーCookie（3rdParty）

サードパーティーCookie（3rdParty）は、第三者が発行するCookieです。サードパーティーCookieは、複数のホームページに訪問したユーザーの履歴を追跡し、そこから得た情報をさまざまなデータと紐付けるために使われます。

例えば、ホームページAで買い物をしたところ、別のホームページBを訪問した際に似たような商品の広告が表示されたという経験があるでしょう。

これはサードパーティーCookieによって、別のホームページBにユーザー情報が共有されることによって起こる現象です。ちなみに、このようにして表示される広告を「リターゲティング広告」と呼びます。

サードパーティーCookieによって、ユーザーはより関心・興味がある広告に出会いやすくなります。一方にとっては、他社のホームページにも自社商品の広告を表示できるため、高いマーケティング効果を期待できるというメリットがあります。

しかし現在では、サードパーティーCookieに対して、さまざまなルールによって規制する動きが加速しています。なぜならサードパーティーCookieの取得は、個人情報保護の観点から問題視されているためです。またサードパーティーCookieの用途次第では、ユーザーが意図しない場所でも行動履歴を収集されてしまうことも問題点とみなされています。

参考：Yahoo!広告ヘルプ｜サイトリターゲティングとは

Cookie規制がなされることになった背景

現在では、日本を含む世界各国でCookie規制が進んでいます。以下の見出しでは、Cookie規制の背景について解説します。

1.サードパーティーCookieの問題が顕在化した

サードパーティーCookieは、ホームページを訪問したユーザーの意思に反して個人情報を取得することがあります。そしてこの事実については「個人のプライバシー侵害につながる」とする見解が広まってきています。

例えばリターゲティング広告によって、以前に訪問したホームページで買い物をした際の情報が、別のホームページでも反映されることになります。このことに対し、ユーザーによっては「勝手に個人情報を使わないでほしい」「監視されているようで気味が悪い」と感じることもあるでしょう。

このような背景から、サードパーティーCookieに対する規制が進んできました。規制の例として、EUの「GDPR」や「ePrivacy Regulation」、アメリカ・カリフォルニア州の「CCPA」などが挙げられます。

2.実際にCookieに関わる制裁を受ける企業が出てきた

現時点ですでに、世界各国で企業がCookieに関わる制裁を受けるという事例が出てきています。

最初に起きたのが、イギリスの選挙コンサルティング会社「ケンブリッジ・アナリティカ社」の事例です。このケースでは、ケンブリッジ・アナリティカ社が「Facebook上で約8,000万人分の個人データを不正取得した」として告発されています。

不正取得の事実が発覚した理由は、当時はアメリカ大統領選挙やイギリスのEU離脱を巡る選挙時あり、ケンブリッジ・アナリティカ社がその状況に乗じてクイズアプリによって個人データを収集し、選挙結果に影響を及ぼしたという疑惑があったためです。

ケンブリッジ・アナリティカ社は、この制裁によって事業継続が困難となり、2018年に破産申請手続を経て廃業しました。

また2022年1月には、フランス政府のデータ保護当局がCookieを「閲覧者に利用を拒否されにくいようその手続を煩雑にしている」ものとし、制裁金を科すことを決めたと発表しました。

例えば、FacebookやYoutube上でのCookie使用の同意は1クリックで完了するのに対し、拒否の際は複数回クリックを要するのは違法と判断されています。

実際に、フランス政府のデータ保護当局の規制により、Google（Alphabet Inc.）に1億5,000万ユーロ、Facebook（Meta）に6,000万ユーロ、日本円にして計約270億円の制裁金が科されました。

そして日本でも、2019年には就職情報サイト「リクナビ」を運営する、リクルートキャリアによる「リクナビ問題」が起きました。

リクナビ問題とは、リクルートキャリアが就活生の内定辞退率を予測したデータを、就活生本人に対する十分な説明なしに企業に販売していたというものです。このリクナビ問題でも、就活生の個人情報とリクナビのユーザーデータ照合のためにCookieが使われていました。

そのため、Cookieを「本人の同意なくデータが第三者に提供する恐れがあるもの」として問題提起する動きが出てきました。このことは、2022年4月施行の「改正個人情報保護法」に「提供先で個人データ化されることが想定される場合、事前にCookie利用への同意取得が必要」という規制を追加するきっかけのひとつとなりました。

Cookie規制のおもな4つの内容

ブラウザ側がCookieをブロックする仕様を採用することで、ホームページ運営柄がCookie利用を臨んでも使えなくなります。特に、シェア率が高いブラウザのCookie規制が進むことで、その効果はより大きなものになります。

以下の見出しでは、Cookie規制のおもな4つの内容について解説します。

1.GoogleによるChromeのサードパーティーCookie廃止予定（2024年）

Googleの「Chrome」は、日本国内でもっとも多くの方に利用されているブラウザです。GoogleはChromeにおいて、2024年中にサードパーティーCookieを廃止すると発表しています（2023年4月時点）。

しかし、ChromeのサードパーティーCookie廃止は、本来もっと早い時期に実施される予定でした。

ChromeのサードパーティーCookie廃止は、当初は2022年1月までに行うと予告されていましたが、その後2023年の後半開始に延期されました。そしてその予定も、2024年へと再び延期されています。

ChromeのサードパーティーCookie廃止が先延ばしされている理由としては、サードパーティーCookie廃止によって、Google自身の広告にも大きな影響が出るという懸念が挙げられます。

Chromeの代替技術が完成すれば、サードパーティーCookie廃止によるGoogle広告への影響を抑えられると考えられていますが、現在はその代替技術である「プライバシー・サンドボックス」の開発やテストに時間がかかっている状況です。

2.Apple社によるSafariのサードパーティーCookie廃止（2017年）

Apple社の「Safari」は、iPhoneのiOSや、Macに標準搭載されているブラウザです。Safariでは、2017年にサードパーティーCookieが廃止されています。

まず2017年に、ユーザーのプライバシーを守るITP（Intelligent Tracking Prevention）1.0を発表し、サードパーティーCookieを実施しました。その後は何度かにわたるバージョンアップを繰り返し、その度に規制内容がより厳しくなってきています。

3.Microsoft社によるEdgeのトラッカー規制

Microsoft社の「Edge」は、追跡防止機能によって、有害な恐れがあるトラッカーをブロックしています。Safariほど厳しいサードパーティーではありませんが、既に一部のCookieに影響が及んでいます。

またEdgeは、Googleが開発したブラウザエンジンを使用しています。そのため、ChromeのサードパーティーCookie規制が実施されたタイミングで、Edgeでも同様の規制が行われる可能性があります。

4.Mozilla社のFirefoxのトラッカー規制（2022年）

Mozilla社の「Firefox」では、SafariのようにCookieを全面的にブロックするような厳しい規制は行われていません。しかし2022年6月14日に、Mozilla社はプライバシー保護機能「Total Cookie Protection（包括的Cookie保護）」をデフォルトで有効にすると発表しました。

Total Cookie Protectionでは、サードパーティーCookieがサイトごとに隔離されます。ただし、ファーストパーティーCookieをブロックするためには、改めて自身で設定する必要があります。

日本のCookie規制はいつから適用される？

世界各国では、Cookie規制が進んでいます。例えば以下の国では、国単位でCookie規制を実施しています。

そしてこの流れは、日本にも影響を及ぼしています。

日本のCookie規制に関する法律には「改正個人情報保護法」と「改正電気通信事業法」の2つがありますが、個人情報保護法は2022年4月に改正がされ、すでに施行されています。そのため、日本の企業も即座にCookie規制対策を講じる必要があります。

以下の見出しでは、2022年4月の「改正個人情報保護法施行」と2022年6月の「改正電気通信事業法公布」の詳細について解説します。

2022年4月：改正個人情報保護法施行

2022年4月に施行された改正個人情報保護法では「個人関連情報」という概念が新設されました。

個人関連情報とは、厳密には個人情報として該当しないものの、個人情報の取得につながり得る情報のことです。個人関連情報の例として、以下のようなものが挙げられます。

そしてこの個人関連情報を第三者に提供し、個人情報を紐付ける際には、ユーザー本人の同意が必要であるとされています。

Cookieもこの規制対象に含まれており、Cookie取得自体は問題ないものの、提供先で個人情報と紐付けられる場合にはユーザー本人の同意が必要になると定められました。

ユーザー本人の同意を得る方法としては、ホームページ上に「Cookie使用について同意」と記載したポップアップの表示などが挙げられます。ちなみに、同意が義務付けられているのは、Cookieの提供元ではなく提供先です。

個人関連情報が特定の個人識別につながる例として、ホームページの運営会社Aが取得したCookieがB社に提供された際に、B社が保有する情報と当該個人関連情報を結びつけるというケースが挙げられます。

また、改正個人情報保護法に違反した際の罰金刑については、最高額が従来の30万円から1億円以下へと大幅に引き上げられました。

2022年6月：改正電気通信事業法公布

改正電気通信事業法は2022年6月に公布され、その1年後である2023年6月に実施予定です。そのため、2023年4月時点で対策ができていない企業は、早急に動く必要があります。

改正電気通信事業法では、サードパーティCookieデータを含むユーザー情報を第三者に提供する際に、以下いずれかの対応をとることが義務付けられています。

また、改正電気通信事業法による規制対象は、以下の事業者です。

ちなみに電気通信事業法を所管する総務省は、第三者へのユーザー情報に対する対応として、ユーザーと同意を義務付ける案のみが検討されていました。つまり当初は、事前のユーザーへの通知や、後から同意を拒否できる仕組み構築の義務付けについては認めない方針を示していました。

しかし、事業者団体等からの総務省に対する反発により、事前のユーザーへの通知および後から同意を拒否できる仕組み構築についても義務付ける運びとなりました。

改正電気通信事業法ではこのような規制が定められているため、対象となる事業者は、2023年6月の施行までに対策する必要があります。

Cookie規制はすでに日本を含む世界各国で進んでいる

Cookie規制は、ユーザーの個人情報を守るために必要なものです。そのため、現在では世界各国でCookie規制が進んでいます。

そして日本の法律も、Cookie規制に関する規定を含む改正がなされています。すでに施行されている改正法もあるため、現時点で対応できていない企業は早急に対応しましょう。

Cookie規制に関する情報については、まだすべてを解説しきれていないため、続きは「Cookie規制とは【後編】｜日本ではいつから始まる？9つの対策について解説」でお話します。