こんにちは!Post Cookie推進部の松谷です。
昨今のユーザープライバシーを取り巻く法規制の変化により、Web広告や事業者には大きな影響が及んでいます。
今回は、Cookie規制に関する法律の観点から、広告配信への影響と広告事業者が抑えておきたいポイントを解説します。
▼こんな方におすすめです
・Cookie規制に関する法律の変化を知りたい方
・データを取り扱っている広告事業者
・法律改正で広告事業者にどういう影響があるか知りたい方
目次を表示
Cookie規制により、Webマーケティング活動で多くの企業が活用していたユーザー情報の活用が制限されます。
法律のお話をする前に、Cookie規制の背景を理解していきましょう。
2025年初頭より、Google Chromeはこれまで広告配信などに広く利用されてきた「3rd Party Cookie」のサポートを停止する予定です。
広告主やサイト運営者にとって、3rd Party Cookieはドメインをまたいでユーザーの行動履歴のデータを取得できるため、マーケティング活動に活用できる便利な仕組みです。
しかし一方で、時代の変遷とともに、トラッキング技術はより高度化・複雑化し、ユーザープライバシーを十分に保護できない過剰なトラッキングが増え始めてきました。
これらはアドテクノロジー業界における大きな課題となり、見直しの機運が高まるに至ります。
3rd Party Cookie規制の背景の主な理由は、ユーザーに対するプライバシー保護と、Web上でのトラッキングによるデータの不正利用や悪用防止にあります。
世界各地でプライバシー保護への関心が高まり、一部の国では厳格な法律が制定されています。個人情報の保護が重視され、その一環としてCookie規制が進んでいます。
海外では2018年にEUで制定されたEU一般データ保護規則(GDPR)を筆頭に、アメリカや中国など世界各国で法律が制定されています。
|
国名 |
施行 |
名称 |
|
EU |
2018年5月 |
EU一般データ保護規則(GDPR) |
|
アメリカ |
2020年1月 |
カリフォルニア州消費者プライバシー法(CCPA) |
|
韓国 |
2020年8月 |
データ3法改正 |
|
シンガポール |
2021年2月 |
個人データ保護(改正)法 |
|
中国 |
2021年11月 |
中国個人情報保護法(PIPL) |
|
タイ |
2022年6月 |
個人情報保護法(PDPA) |
2018年にGDPRが施行されるとともに、「ePrivacy指令」と呼ばれるGDPRを補完する一連の規則が制定されました。
「ePrivacy指令」では、ユーザーがサイトやアプリを利用する際は、Cookieの利用許可を選択する事前同意(オプトイン)が必要になります。
2020年にアメリカのカリフォルニア州で制定されたCCPAでは、個人情報を第三者に共有する場合、本人がオプトアウトできる仕組みを整え、オプトアウト画面を設置する義務を付与しました。
サードパーティデータとは、企業が外部のデータプロバイダーから購入・連携するデータを指します。
上記で記した法的な規制とは別に、各WebブラウザがCookieの規制に取り組んでいます。
Apple
Appleは2017年にITP1.0を導入し、Safariでは2020年から3rd Party Cookieを完全にブロックしています。
GoogleもAppleに続きブラウザの「Google Chrome」において、3rd Party Cookieのサポートを段階的に停止していく予定です。
Googleは、2024年1月現在で世界中の1%の3rd Party Cookieを既に廃止しており、新たな広告配信の仕組み「Privacy Sandbox」の開発を進めています。
Firefox
Mozilla社が提供しているブラウザ「Firefox」は、トラッキング防止クロスサイトトラッキングや一部のトラッカーのリソースをブロックしています。
各ブラウザは、ユーザープライバシーの保護を強化するために様々な対策を講じています。
それでは、日本でのCookie規制に関する法律のアップデートを見てみましょう。
個人情報の保護に関する法律(個人情報保護法)は、2003年に施行された、個人の権利利益を保護することを目的として、個人情報を取り扱う事業者等が守るべき義務等を定める法律です。
個人情報保護法における「個人情報」は、特定の個人を識別できる情報を指します。
例えば、氏名や顔写真、メールアドレスなどが該当します。
2022年4月に改正された個人情報保護法では、国民の個人情報に対する意識の向上や技術進化を踏まえて、個人情報の保護と利用のバランス、流通データの増加に付随する新たなリスクへの対応などの観点から、制度が見直されました。
改正個人情報保護法のCookieに関連する部分については、第三章で解説しております。
2023年6月16日、改正電気通信事業法が施行されました。
「電気通信事業法」は、1985年に施行された、電気通信の健全な発達と国民の利便の確保を図ることを目的として、電気通信事業者が守るべき義務等を定める法律です。
2023年6月に改正された電気通信事業法では、事業者が保護すべき情報としての「特定利用者情報」という概念や、外部送信規律が追加されました。
Cookie規制と関わる部分は、「外部送信規律」と呼ばれる規律です。
外部送信規律とはウェブサイト運営者等が、サイトにタグ等を設置して外部の第三者(広告事業者等)へとユーザーのデータを送信する場合、これに関してユーザーへの通知や公表等を義務付ける規定です。
詳しくは第三章の外部送信規律の部分で解説します。
法律規制の背景には、国民のプライバシー保護があります。
この章では、実際に広告事業者としてどのような点に注意すればいいかを解説します。
改正個人情報保護法では、新たに「個人関連情報」という概念が誕生しました。
Cookieの取り扱いを理解するためには、今回新たに設けられた「個人関連情報」の定義を理解することが不可欠です。
「個人関連情報」とは、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」をいいます。
Cookieは、他の個人情報と紐づけされない場合、「生存する個人に関する情報であるが、特定の個人を識別できない」情報であるため、個人関連情報に該当します。
(出典:https://www.ppc.go.jp/personalinfo/)
改正個人情報保護法では、Cookieなどの個人関連情報を第三者に提供する場合、提供先が個人データとして取得することが想定されるときは、提供に際して本人の同意を得ることが必要になりました。
本人の同意を得る手段として、Webサイト上で「Cookie使用に同意する」ポップアップを表示する方法が挙げられます。
上述した通り、Cookie自体が個人関連情報であり個人情報ではない場合、データ収集時には本人の同意が不要ですが、そのデータが第三者に提供され、個人情報と結びつく可能性があるときには、第三者へのデータ提供について、本人の同意取得が必要になります。
「外部送信規律」は2023年の改正電気通信事業法に伴い新たに導入された規律であり、インターネットでビジネスを展開する際、利用者に対して、透明性を高めることを目的としています。
外部送信とは、利用者のパソコンやスマートフォン等の端末に記録された当該利用者に関する情報(例えばユーザーの行動履歴情報)を、当該利用者以外の者の電気通信設備(Webサーバ等)に送信することをいいます。
上記の法令の改正では、一定の条件を満たした、広告収益を目的としてウェブサイトやアプリケーションを提供する事業者・個人は、CookieデータやSDKを含むユーザーに関する情報を第三者に外部送信する場合、そのデータ送信に関する一定の事項を通知・公表することが義務付けられました。
(なお、通知・公表以外の方法も認められていますが、通知・公表の対応を行う事業者がほとんどのため、説明は割愛させて頂きます)
具体的には、以下の情報をユーザーに対して通知・公表する必要があります。
①送信先
②送信する情報
③利用目的
外部送信規律への対応については、自身が対象となるかどうか、通知・公表をどのようにすればよいか、等、専門的で難解な対応が必要となるため、専門家への相談を行うことが望ましいでしょう。
また、web広告に関する業界団体である日本インタラクティブ広告協会(JIAA)が2024年4月に「電気通信事業法における外部送信規律についてのガイダンス(第2版)」を公開しています。こちらも大変参考になる資料です。
情報の取得制限により、ターゲティング広告に活用されるデータ量は自動的に少なくなり、ターゲティング精度が下がると予測されます。
上記の解決策として、法律を遵守した上でのデジタルマーケティングの技術が登場しています。
その代表が、「共通IDソリューション」やGoogle社が提唱している「Privacy Sandbox」です。
共通IDソリューションとは、3rd Party Cookie廃止後も利用できるユーザー識別子を生成するソリューションです。
共通IDソリューションは、生成方法によって「確定ID」と「推定ID」の2種類に分けられます。
確定IDは、ユーザーから同意を得られたメールアドレスなどの確定情報から生成されるIDです。
導入の注意点として、確定IDやカスタマーマッチの場合、プライバシーポリシーに個人情報の第三者提供を明記することや、自社で利活用する1st Party Dataにおいてはユーザーの同意取得する仕組みを講じるなどの措置が必要です。
一方推定IDは、IPアドレスやWebサイトのアクセス情報などから統計的な推定処理を行い生成されるIDです。
推定IDや統計的なアプローチの場合は、広告主側でプライバシーポリシーを変更するといった対応は法的には不要です。
詳しくはこちら:https://post-cookie.microad.jp/shared-identity
また、Google社が提唱しているPrivacy Sandboxでは、ユーザーのプライバシーに配慮した広告配信やWebサイト閲覧を実現します。
従来のCookieを活用したリターゲティング広告や効果計測の代替ソリューションとして注目を集めています。
詳しくはこちら:https://post-cookie.microad.jp/blog/8-privacysandbox-api
それぞれのソリューションごとに必要な情報を取得していきましょう。
改正個人情報保護法と改正電気通信事業法の施行により、Web広告や事業者には大きな変化が訪れています。
法整備への適応が今後のWeb広告のあり方に大きな影響を与えるため、広告事業者はプライバシー保護との調和を図りながら、柔軟かつ的確な対応が求められます。
広告主はユーザーデータを活用する際に、ユーザーとの信頼関係を損なわないよう上記で説明した法律に適用し、適切なデータの取り扱いをしていく必要があります。
一方広告代理店は、法律の変化と必要な対応を把握した上で、広告主・事業者と会話することが重要です。
マイクロアドでは、ここまで説明してきた法的リスクや規制をケアしながら、効果的なデジタルマーケティングを実現する代替手段を開発・準備しています。
Cookieレスの広告配信を検討したい!というお客様は、ぜひ営業担当もしくはこちらまでお問い合わせください。