キヤノンマーケティングジャパン株式会社 ブランドコミュニケーション本部 コミュニケーション推進部 部長
西田 健
1968年東京生まれ。1992年早稲田大学 政治経済学部卒。同年日立製作所入社。
国内・海外の宣伝、展示会、ブランド戦略等を担当。
2004年から日立グループ約1,000社のWeb戦略を統括し、コーポレートサイトやソーシャルメディア運用、デジタルマーケティング、Web業務に関する社内外講師などを務める。
2017年9月、大日本印刷入社。ブランド戦略、Webマネジメント、企業宣伝などを担当。
2019年11月、キヤノンマーケティングジャパン入社。キヤノンのポータルcanon.jpの運営を中心に、コミュニケーション、ブランド戦略全般に携わる。
現状のおさらい、世界と日本のCookie同意の取り扱いの違い
クッキーとは何か
クッキー(Cookie)とは、Webサイトを閲覧したときに利用者の端末のブラウザに保存される小さなテキストファイルのことです。
クッキーはもともと、利用者の利便性を高めるために使われてきました。主な目的は次の2つです。
①ユーザー認証・セッションの維持
ログインが必要なサイトでは、クッキーによって「ログイン済みのユーザー」であることを識別します。
これにより、ページを移動してもログイン状態が維持されたり、前回見たときの続きから閲覧できるようになります。
②利便性の向上
例えばECサイトでは、カートに入れた商品の情報を保持する、住所や名前などの入力内容を保存する機能などにクッキーが利用されています。
ところが、近年クッキーが「利便性の向上」だけでなく、ユーザーの行動履歴の追跡や広告配信にも利用されるようになりました。これが特に問題になりやすいのです。
例えば、この人はWebサイト内をどの順番で回遊したか、どのページを見たか、どの商品をカートに入れたか、などのデータが蓄積されます。
その結果、旅行関連のページを多く見ている → 旅行に関心がある、ペット用品を頻繁に見ている → ペットに関心があると容易に推測ができてしまいます。
そして、その推測結果をもとに広告が表示される仕組みが広く利用されているため、中にはユーザーが意図していないのに「おすすめ情報」が表示されるなどの問題が発生しています。
このような理由から、行動履歴の追跡やターゲティング広告が問題視されるようになっているのです。
クッキーの種類
クッキーには大きく分けて2種類あります。閲覧しているサイト自身が発行するファーストパーティークッキーと、閲覧中のサイトとは異なるドメインから発行されているサードパーティークッキーです。
これらのクッキーは、ユーザーが意識しないうちに発行され、複数のサイトをまたいで閲覧行動を追跡できるため、プライバシー上の懸念が高まっています。
クッキーのイメージ
利用者が「このページを見たい!」とWebサイトにアクセスすると、サイト側はページの情報と一緒にクッキーを発行し、利用者のブラウザに送り、保存します。
その後、「もう一度、このページを見たいです!」とアクセスすると、前回保存したクッキーも一緒に送るため、「この利用者は以前にもこのページを見ている」ということが判断できます。
その結果「どうぞどうぞ、こんな感じです!」とさらにクッキーがついてきて、お得な情報を表示する、関連する広告を表示する等に利用されるのです。
一方で、クッキーに同意しなかった場合「このページを見たい!」とアクセスしたあとも、クッキーはついてきません。
その後、「もう一度、このページを見たいです!」とアクセスすると、クッキーがないので、サーバー側も「新しく来た人だ!」と認識して、カスタマイズされたページ表示や広告などは表示されません。
なぜクッキーに同意が必要か
このように、クッキーを利用するとどの商品を買ったか、あるいは買おうとしたか、どのページを見たか、どこをクリックしたか、ダウンロードしたか、などのWebサイト上でのさまざまな行動履歴を取得することができてしまいます。
これは利用者の興味や傾向を分析する「プロファイリング」に繋がったり、他の情報との組み合わせによって個人を識別できてしまう可能性が生じます。これは個人情報、個人関連情報に該当するのです。
ただし、クッキーそのものは日本の法律上、「個人情報」には該当しないとされていますが、クッキー情報と他の機微な情報が組み合わさることで個人を特定できる可能性があることや、利用者が知らないうちに詳細な行動履歴が蓄積されるため、多くの企業がその扱いに慎重に対応しているのです。
そのため、以下の3つの理由で企業によるクッキーの取得に「同意すること」が重要です。
①自分の情報をコントロールする権利の保障
自分に関する情報が、どこで、どのように利用されているのか分からない、コントロールできない状態は望ましくありません。
自分でコントロールする権利を保障します。
②情報の利用の透明性、予測可能性の確保
クッキー情報を利用されることによって何が起きるか、あるいはどのようなクッキーがあるのかを明確にすることで、利用者は将来起こりうる影響を予測できます。
③クッキーの無断利用による企業の信頼性毀損の防止
もし利用者が「知らないうちに情報を取得された」と感じれば、企業の信頼性やブランド毀損、法的リスクにつながる可能性もあります。
法的にはクッキーによる情報取得が個人情報には該当しない日本は、諸外国に比べると規定や解釈が曖昧な部分が多いため、信頼性確保という観点から企業はクッキー同意バナーを「予防的に」設置するケースが多いのが特徴です。
これも重要な対応ではありますが、世界を見渡すと日本特有の状況と思います。
欧州、米国、日本におけるクッキー規制の違い
日本は、どこまで徹底するか、誰が実施すべきかが不明瞭な点が非常に多く、同意取得の実装が形式的になりがちです。
例えば、典型的な例として「×ボタンみなし同意問題」があります。ここに欧州、米国、日本の違いを整理します。
■欧州:明示的なオプトインが原則
2018年5月に施行された GDPR(EU一般データ保護規則)により、個人情報の取り扱いが非常に厳しく規制されています。
同意の方式が決定的に違うのは、明示的なオプトインであること。デフォルトは不同意であり、一切取得できません。
■米国:オプトアウトが中心
CCPA(カリフォルニア州消費者プライバシー法)はオプトアウトの権利を保障する内容です。
デフォルトは同意状態ですが、利用者の意思でオプトアウトが容易にできることが必要です。
■日本:曖昧さが残る状況
2022年4月施行の個人情報保護法や、2023年6月施行の電気通信事業法の改正により一定の整理が進みましたが、多くの場合、クッキーについて未表示、未設定で、オプトインとオプトアウトが混在しています。
現実的にはアメリカのように「基本的には取得していて、オプトアウトしたい場合は外せる」という設計になっているサイトが多い状況です。
クッキーは、ヨーロッパでは個人情報に該当すると明確に言っています。米国はデータの「販売」に該当する場合があるとされ、日本では個人関連情報として管理するとされています。つまり日本では、クッキーそのものだけでは個人情報ではないが、その他の情報と組み合わさることによって個人情報になり得るため、その点を危惧しているという状況です。
欧・米・日の各地域の違いは、バナー表示にも表れています。ヨーロッパでは表示方法やユーザーインターフェースまで明確な規定があります。米国は「拒否」のリンク表示が必須です。オプトアウトが基本なので拒否が簡単にできるような表示が必要という考え方です。日本は曖昧で統一基準がなく、企業ごとの対応に委ねられています。
同意管理プラットフォーム(CMP)の普及状況、各国の状況
クッキー規制への対応として、近年「同意管理プラットフォーム(CMP:Consent Management Platform)」の導入が進んでいます。
ヨーロッパはGDPRの影響で導入率が非常に高く、米国はCCPA対応のツール(オプトアウト)が中心です。日本では導入は限定的で、見た目だけ整え、まずはバナー表示だけ入れておこうという企業が非常に多いです。弊社キヤノンMJは、これらの状況をふまえてCMPを導入しました。
日本企業100社の設置状況(2025年6~7月調査)
弊社キヤノンMJがCMPを導入するにあたり、トライベック社が毎年調査、発表している「企業情報サイトランキング」の上位企業および有志が集まって情報交換している「CMP勉強会」の参加企業を中心にした100社を対象に、CMPの導入状況を調査しました。
オプトイン:15%
ヨーロッパのようにデフォルトは不同意、オプトインするとデータを取得
オプトアウト:37%
米国のようにデフォルトは同意、オプトアウトするとデータ取得を停止
クッキー取得の文言のみ表示:14%
未設置:34%
約半数の企業は何らかの形式で設置をしています。また、「閉じる」ボタンの有無は、約半分強が「閉じる」ありの設定で、オプトアウトの場合は「×」や「閉じる」ボタンで閉じても同意と見なす「見なし同意」の設定になっている会社が非常に多いです。
次に、ボタンデザインの違いについてです。
「すべて許可する」「クッキー設定」「拒否する」の3つボタンがあって、「許可する」が大きく、「拒否する」が小さい、目立たない色になっている。ヨーロッパではこのような「同意に誘導するような」“誘導的デザイン”は問題とされる可能性があります。
日本では約6割の企業で、同意と不同意のボタンの視認性や強調度に差があり、改善の必要がある状況です。
Web担当者視点でのまとめ
以上、ここまで述べてきた状況をまとめます。
①クッキーは「個人関連情報」。取り扱いには十分な注意が必要
日本では単体では「個人情報」には該当せず、法律上はCMPツールを入れて対応する必要はありません。
ただし、他の情報と結びつければ「個人情報」になる可能性があり、外部提供する場合は「第三者提供」と見なされる可能性があります。
提供先がクッキー情報を個人データと紐づける場合は提供元に同意取得義務が発生するため、例えばある企業のグループ会社に提供していいのかどうかなどは、よく議論になるポイントです。
②個人情報保護のトレンドは「厳格化」
現在は努力義務に近い状況であっても、今後、明確な義務へと進んでいく可能性が十分にあります。
③グローバル企業は全体ガバナンスの視点が不可欠
本社が日本にあり海外展開しているような企業の場合、海外拠点ではCMP導入が必須になっているケースが多くあります。
その場合、海外のWebサイトでは導入されているのに、本社のWebサイトが未対応でよいのか、というガバナンス上の課題が生じます。
④UI・UXとブランド戦略の観点
ユーザーからのクレームを避けたい、個人情報保護に配慮している企業だと思われたい、という意図を含め、「とりあえず」バナーを設置する企業も多くあります。
そこには法令対応という意味合いではなく、「企業姿勢の可視化」という意図が含まれています。
第2部前編は4月下旬アップ予定です。
