Cookie（クッキー）は、ユーザーがWebサイトを訪問したときに、Webブラウザに保存される小さなファイルのことを指します。このファイルには、ログインIDやパスワード、閲覧履歴、サイトへの訪問回数などの情報が含まれ、サイトの利便性向上や、マーケティングに役立てられています。

関連記事：Cookieとは？仕組みやできること、企業が利用する際の注意点を解説

Cookieは、便利な機能を有する一方で、ユーザーの行動や情報を追跡できる性質も持つため、プライバシー保護の観点から厳格な規制が行われるようになりました。規制により、Cookieを利用する際は、事前にユーザーの同意を得ることが義務化され、Cookieポリシーの作成、設置が必要になっています。

この記事では、Cookieポリシーの概要を解説したうえで、その必要性や、Cookie作成する際のポイントについて解説します。

Cookieポリシーとは？

Cookieポリシーとは、Cookieの利用目的、活用方法をユーザーに説明する文章やページのことを指します。

国内では、2022年4月1日に施行された改正個人情報保護法により、Cookieを第三者に提供して個人情報を紐づける場合には、ユーザー本人の同意を得ることが義務化されました。

企業のWeb担当者はCookieポリシーについてしっかり理解し、自社ホームページに正しく表示させなければなりません。

Cookieポリシーの必要性｜対応が必要な法律・規則

Cookieポリシーが必要となる最大の理由は、ユーザーのプライバシーを保護するためです。Cookieの利用に対して厳しい規則を設けている国、地域もあり、適切な対応を怠ったために重いペナルティを受けた事例も報告されています。

改正個人情報保護法（日本）

国内では、2022年4月1日の「改正個人情報保護法」施行により、Cookieの収集やCookieに保存された情報を第三者に提供する場合には本人の同意を得ることが必須になっています。

そのため、Cookieを第三者に提供して個人情報を紐づけたい企業は、Cookieポリシーを設置してユーザーの同意を得なければなりません。

改正電気通信事業法（日本）

2023年6月に施行された「改正電気通信事業法」では、外部送信規律（Cookie規制と同義）が設けられています。

これにより、電気通信事業者又は第三号事業を営む者（いずれも電気通信事業を営む者）がCookieを利用者の端末以外のサーバーに送信する場合、利用者に対しての情報提供と一定の対応が必要となりました。

【対象となる事業の具体例】

• メール、DM、ウェブ会議といった他者の通信を媒介するサービス
• 動画共有サービス、電子掲示板、ECモール、SNSといったプラットフォームを提供する　サービス
• オンライン検索サービス
• 気象情報、ニュース、動画、地図など、さまざまな情報のオンライン提供サービス

【対応方法】

• 以下の情報提供する内容をポップアップなどで通知または公表する
• あらかじめ同意を取得する
• オプトアウトできる機会を提供する

【利用者に情報提供する内容】

• 外部に送信される利用者情報の内容
• 送信先の氏名・名称
• 利用目的

GDPR（EU）

EUの法令「EU一般データ保護規則」（GDPR：General Data Protection Regulation）では、Cookieは「個人データ」に該当するとされています。そのため、域外適用を含め、GDPRの対象になる場合には、Cookieの取得には原則本人の同意が必要です。

これにより、日本企業であっても、EU域内へサービス提供を行っている場合やEU居住者の個人データを収集、処理する場合は、GDPR対応が求められます。Cookieの同意を得ていない場合は、日本に本社がある企業であってもペナルティの対象となるため注意が必要です。

CPRA（米国カルフォルニア州）

米国カリフォルニア州の法令「CPRA（California Privacy Rights Act of 2020）」において、Cookieは「個人情報」に該当するとされ、取得の際にはポリシーをはじめとする情報の明示が必要になります。

具体的には、Cookieを利用するサイトに「Do Not Sell My Personal Information」（私の個人情報を販売しないでください）と記載されたオプトアウトのページを作成し、該当ページへのリンクを明示するといった必要があります。

Webサイトでは、情報の開示や削除についても明示するほか、訪問者に特定のCookie使用に関して同意または拒否する機能を提供することが必要です。

また、米国各州においても、包括的な個人情報保護に関する州法が整備される動きが広がっています。
ヴァージニア州の「Consumer Data Protection Act」は2023年1月1日、コロラド州の「Colorado Privacy Act」は2023年7月1日に施行されており、これ以外の州でも続々と制定されているため、動向を注視する必要があるでしょう。

関連記事：Cookie規制とは？いつから法規制が施行されているのか・対策について解説

Cookieポリシーの作成が必要なケース

Cookieポリシーへの取り組み方は、企業のタイプによって異なります。

• 日本国内でのみ事業・サービスを提供している企業
• 国外（EU・米国）で事業・サービスを提供している企業

ここでは、上記2つのパターンに分けて、Cookieポリシーの作成が必要なケースを解説します。

日本国内でのみ事業・サービスを提供している企業の場合

ウェブサイトに対して日本国内からのアクセスしかない場合、GDPRやCPRAの対応は不要と考えてよいでしょう。

ただし、国内からのアクセスしかない場合でも、Cookieを第三者に提供して個人情報を紐づける場合は、本人の同意を得ることが改正個人情報保護法によって定められているため、この場合はCookieポリシーの作成が必要になります。

また改正電気通信事業法では、対象事業者がCookieを第三者のサーバーに送信（外部通信）する場合は、以下いずれかの方法で対応する義務があります。

• Cookieポリシーを作成して本人の同意を取得する
• オプトアウトの機会を提供する
• 所定の情報をあらかじめユーザーに通知、公表する

ただし、すべての情報が規制の対象になるわけではないため、内容によっては上記の対応をする必要はないでしょう。

国外（EU・米国）で事業・サービスを提供している企業の場合

EUでは、GDPRによってCookieを取得する場合は本人からの同意を得ることが義務付けられています。また、米国カリフォルニア州では、CPRAに基づきCookieの取得に関する情報を明確に開示しなければなりません。

そのため、国外（EU・米国）で事業を行い、サービスを提供している企業はCookieポリシーを作成する必要があります。日本企業であっても、EU域内、カリフォルニア州などで事業を行う場合は、それぞれの国で定められた法令を守る必要があります。

法令ごとに対象となる事業や対象が異なるため、事前によく確認することが大切です。

この他の国においても、いつCookie使用に関する情報の表示が必要になるかはわからないので、どのような企業のWebサイトでもCookieポリシーを作成し、あらかじめ同意文が表示できる設定にしておくと便利です。

Cookieポリシーに記載すべき内容

Cookieポリシーは書き方が定められていません。そのため、どのような内容を記載するかは事業者の判断に委ねられています。一般的に、Cookieポリシーに記載される項目は以下のようなものです。

• Cookieとは何か
• Cookieの利用目的・収集する情報の種類・保存期間
• Cookieの拒否方法

それぞれ見ていきましょう。

Cookieとは何か

ユーザーの中には、そもそも「Cookie」の仕組みや使用する目的を知らない人もいます。
Cookieとは何かをユーザーが知らなければ、適切に同意を得ることはできません。

そのため、ポリシーの冒頭で、Cookieの仕組みや種類（ファーストパーティCookie、サードパーティCookie）、WebビーコンといったCookieに類似する仕組みについて解説し、Cookieへの理解を促す必要があります。

自社におけるCookieの利用状況に合わせて、ユーザーに説明する内容を工夫してください。

関連記事：Cookieとは？を初心者にもわかりやすく解説

Cookieの利用目的・収集する情報の種類・保存期間

Cookieポリシーには、以下のようにCookieを何のために利用するのかを記載する必要があります。

• ホームページ利用状況の分析
• 広告配信のためのデータ収集
• 利用者の認証
• カスタマイズされた体験提供 など

ユーザーには、提供する情報がどのように活用されるのかを知る権利があるため、しっかりサイトに明示してください。
記載する内容に応じて、情報収集の仕組みやデータの提供先情報なども詳しく提示します。

また、データを収集する目的によって、集める情報の種類や情報の保存期間が変わるため、必要であれば合わせて記載しましょう。

Cookieの拒否方法

ユーザーに対して、Cookieの情報を一方的に提示するのではなく、Cookieの利用を拒否する方法もあわせて提示するとよいでしょう。

主要ブラウザの設定変更が記載されたページへ飛べるよう、リンクを設置するのがおすすめです。必要であれば、アクセス解析ツールの提供先企業の情報とプライバシーポリシー、オプトアウトアドオンへのリンクも設置してください。

Cookieポリシーを作成する際のポイント・注意点

Cookieポリシーを実際に作成する際に注意するべき点とポイントを紹介します。

Cookieウォールを使用しない

Cookie使用の合意を得たいからといって、Cookieウォールを使用することは避けましょう。

Cookieウォールとは、ポリシーに同意しない場合にはサイトが使用できなくなったり、閲覧に支障がある状態にしたりする仕組みです。ホームページ全体にポリシーバナーが表示され、同意しないとサイトが見られないといった構造を指します。

ユーザーから選択の余地を奪ってしまうCookieウォールは、GDPRで禁止されているほか、自社に有利な設定をしたために後々のトラブルに発展するといった危険をはらんでいます。
また、閲覧を続けることで同意とみなす「みなし同意」や「スクロール同意」も、同意を得たと判断されない可能性があるため注意が必要です。

ユーザーにとってわかりやすい設定にする

Cookieポリシーは、企業と個人が双方納得したうえで情報交換を行うために必要なことなので、複雑な設定は避けましょう。
ユーザーにとってわかりやすく、受け入れやすいバナーを作成するために、以下の点に注意しましょう。

よくわからないまま同意するのではなく、ユーザーがきちんと内容を理解し納得したうえで同意してもらう仕組み作りが大切です。

定期的に更新をする

Cookieポリシーは、記載された情報が正確であることを保証するため、定期的に更新する必要があります。

Cookieポリシーを改正個人情報保護法に対応させることはもちろん、CPRA、GDPRをはじめとする各法令の対象になるか否かを把握し、必要であれば記載事項を変更しましょう。

いずれの制度も細かい部分で定義が異なり、時代の変化に応じて規則の内容が更新されることが予想されるため、定期的な更新が必要になります。

適切なCookieポリシーを公開するためには、自社サイトで使用しているCookieについてしっかり理解し、状況に応じて適宜更新していくことが大切です。

cookieポリシーの必要性と作成のポイントまとめ

近年、世界各国でCookie規制に関する法令が整備されつつあります。

これらの法令に抵触すると重大なペナルティの対象になることもあるので、企業のWeb担当者はCookieポリシーについてよく理解し、対策する必要があるでしょう。

どこどこJPは、データの統合においてサードパーティCookieではなくIPアドレスを使用しているため、Cookie規制の影響を受けません。

また、Cookieのように突然データ収集ができなくなるといった心配もないため安心してご利用いただけます。
今後、Cookieに変わる技術が出てきた場合も、どこどこJPがご提供する情報と柔軟に組み合わせてご活用いただけます。