Cookie使用の同意を求めるポップアップは必要なの？

最近、大手企業のWebサイトを中心に、Cookie(クッキー)使用の同意を求めるポップアップを、ページ下部に表示するケースが見られるようになりました。

利用する側から見ると、同意しないと消えない！　重なっている部分が見えない！　など使い勝手が悪くなったと思われるかもしれません。
なぜ、このような仕組みが導入されたのか？、自社のサイトでも必要なのか？ ご説明します。

なぜ、Cookie使用について同意を求めるようになったのか？

日本では、Cookie使用について同意を求める仕様になっていないサイトが大多数ですが、欧州では、ほとんどのサイトで Cookie(クッキー)使用について同意が求められるようになっています。

EUで2018年5月に施行された GDPR※ の項目でCookie（個人情報）の利用に同意を求める要件が厳格化された為です。

※GDPR：General Data Protection Regulation（一般データ保護規則）
個人データ保護を網羅する内容で、CookieやIPアドレスなどのオンライン識別子を、他のデータと組み合わせることで、個人識別につながる場合は保護対象となります

2019年には、Google がCookieの取得に関連して、個人情報の利用目的が確認しづらい、利用の目的別に同意を得ていないとして、5,000万ユーロの制裁金 を科せられました。（約62億円：2020年7月末時点）

GDPR以外にも CCPA（カリフォルニア消費者プライバシー法）などでは、Cookieなどのオンライン識別子が、個人情報として取り扱われています。

日本でも、2020年6月に改正個人情報保護法が成立し、2022年4月1日に施行されました。
Cookieは個人情報ではないものの、個人関連情報と定義され、第三者に提供する場合は確認をとること、と定められています。
まだ、事前に同意を得なさい、とまではなっていませんが、世界的には個人情報保護に関する法改正に向けた動きが進んでいます。

Webサイトで Cookie使用について同意が必要となるケース

越境EC（海外へ向けて商品を販売する電子商取引）などを行っている場合は、意図してEUで活動しているとみなされるため、個人情報の取り扱いについても、Cookie使用について同意が必要となります。

EUを意識しなくても、英語ページ を作り結果的に EUからのアクセスが集まってしまった場合は、EUに向けてサービスを展開しているものと判断され、Cookie使用についての同意が必要となる場合があります。

多言語展開のWebサイト を運営している場合は、EU域内からアクセスが無くても、予めCookie使用について同意など、GDPR対応を行ってリスクを潰しておく必要があります。
GDPR対応では、Cookie使用についての同意だけでなく、個人データの暗号化などの対応 も必要になります。

最低限どこまで対応するべき？

英語ページもなく、日本国内からのアクセスしかない場合、GDPR対応の必要はありませんが、今後は日本でも改正個人情報保護法を根拠として、Cookie使用についての同意が必要になるかもしれません。

まずは、プライバシーポリシー を作成していない場合は作成して掲載してください。
GoogleAnalytics（UA） を使用している場合は、Cookieを使用していますので、Web解析のためにCookieを使用していることを記載してください。

尚、GoogleAnalytics の 旧バージョン（UA：ユニバーサルアナリティクス) は 2023年7月1日 にサポート終了が予告されています。新バージョンの Google アナリティクス 4 へ無償で移行できますが、直帰率などの指標が無くなり、分析項目が変更になっていますので、お早めに切り替えすることをお薦めしています。

システム・カンタービレでは、Webサイトに関するご相談を承っています。
お気軽にご相談ください。

ITディレクター　小林 弘樹