パーソナルデータ取得における、オプトイン・オプトアウトの特徴やメリットと厳格化の流れを解説　

「パーソナルデータ取得におけるオプトイン・オプトアウトに関して詳しく知りたい」

「最近見かけるCookie取得同意って必要？」

個人情報の取り扱いが厳格化する中、このような悩みや疑問をお持ちの方も多いのではないでしょうか。

本記事では、オプトイン・オプトアウトの意味や違いといった基本的なところから、それぞれの方式の特徴・メリット・デメリットについて詳説します。加えて、法改正によるオプトイン・オプトアウトの厳格化と、それにともなうCookie同意取得や拒否手段の提供ならびにユーザへの通知の必要性について解説しています。

個人データの取り扱いに関する規制が年々強化される中、「オプトイン」「オプトアウト」という言葉を耳にしたことがある方も多いでしょう。
まずは、「オプトイン」「オプトアウト」それぞれの意味と違いについて解説します。

1.1 オプトインとは

オプトイン（opt in）には、「参加する」「加入する」といった意味があります。

広告やメールマガジンなどにおいて、ユーザー自らが情報の受け取りを許可する仕組みがオプトインです。

ホームページの訪問者に対して、バナーやポップアップウィンドウでCookie利用の同意を得る方式もオプトインと呼びます。

1.2 オプトアウトとは

オプトアウト（opt out）には、「離脱する」「脱退する」といった意味があります。

広告やメールマガジンなどの情報をユーザーが受け取りを拒否する仕組みがオプトアウトです。

ホームページの訪問者がCookieの受け取りを拒否したり、Cookieを受け取った際に警告を表示させることもオプトアウトと呼びます。

1.3 パーソナルデータ取得におけるオプトイン方式とオプトアウト方式の違い

パーソナルデータ取得におけるオプトイン・オプトアウトとは、主にユーザーがWEBサイトやサービスを利用する際に、Cookie・ハッシュアドレス等のパーソナルデータの提供・取得に対して、同意もしくは拒否する方法を指します。

以降、本記事では代表例としてCookieの場合について解説します。

Cookieとは、ユーザーがWebサイトにアクセスした際に自らが入力したデータ・行動履歴などの情報をブラウザ内に保存する仕組みです。

Cookie利用におけるオプトイン方式とオプトアウト方式の違いを以下の表にまとめました。

次章以降で、それぞれの方式について詳しくみていきます。

本章では、 パーソナルデータ取得におけるオプトイン方式の特徴とメリット・デメリットについて解説します。

2.1 オプトイン方式の特徴

オプトイン方式では、ユーザー自らがポップアップバナーなどでCookie取得に同意するか拒否するかを選べます。

ユーザーがポップアップバナーを無視した場合も、Cookie取得に同意していないため拒否した場合と同じ扱いです。

あとらす二十一の調査によると、Cookie同意ポップアップの実装率は世界で約5割、国内で約2割（※1）。まだまだ日本では、事前にCookie同意を求めるWebサイトやアプリは少数です。

また、LMIグループの調査によると、Cookieを許可しないと回答した割合は48％。「どんな場合でも同意する」と回答した割合が9.8%で、「どんな場合でも同意しない」と回答した割合が全体の13.8%でした（※2）。

この結果からは、Web広告を展開する企業がオプトイン方式でCookie同意取得を得られるユーザーの割合は、あまり高くないことがわかります。

※1）あとらす二十一　Cookie（クッキー）同意ポップアップの実装率と設置場所

※2）LMIグループ　Cookieによる情報取得、「どんな場合でも同意しない」は約14%。同意する人はどういう条件が最多？

2.2 オプトイン方式のメリット・デメリット

ユーザーにとってのオプトイン方式のメリットは、自らの判断で事前にCookie取得に同意するかどうかを選べる点です。

一方、マーケティングでWeb広告を活用している企業にとってのメリットは、正しく個人関連情報を扱っている企業だと証明できる点です。ユーザーからの信頼獲得に貢献するほか、企業のブランドイメージ担保に寄与するでしょう。

しかし、企業とってはCookieを取得できる割合が低下するという懸念もあります。

Cookieが取得できなくなることで、企業は正確なコンバージョン計測ができなくなる恐れがあります。

加えて、Cookie利用を許可しないユーザーのWeb上の行動履歴が得られないため、リターゲティング広告の効果低下が懸念されます。

続いて、 パーソナルデータ取得におけるオプトアウト方式の特徴とメリット・デメリットについて解説します。

3.1 オプトアウト方式の特徴

上述のとおりオプトアウト方式では、ユーザーの方でCookie利用の停止・拒否をおこないます。

したがって、デフォルトではユーザーはCookieの受け入れを許可した状態で、本人のアクションがあって初めて停止する仕組みです。

一般社団法人日本インタラクティブ広告協会（JIAA）では、「行動ターゲティング広告ガイドライン」を定めて、オプトアウトの際は以下の手法を推奨しています。

• ・広告配信事業者は自身のWebサイトにおいてオプトアウト手段を提供
• ・媒体運営者はわかりやすい場所に広告提供事業者の告知事項を記載したページへのリンクを設置し、利用者に対してオプトアウト手段を提供

提供された手段に従って、ユーザーはオプトアウトをおこないます。

3.2 オプトアウト方式のメリット・デメリット

ユーザーにとってのオプトアウト方式のメリットは、個別に同意取得に対する選択を行う必要がなく、スムーズにウェブサイトを利用することができる点です。

他方、Web広告を展開する企業にとってのメリットは、デフォルトではCookieの受け入れが許可されているため、事前に承諾を得る必要があるオプトインよりも多くのユーザーからの情報取得が見込める点です。

後述するGDPRによって、欧州ではユーザの同意を得ないCookieの利用は違反とみなされる可能性があります。初期状態では個人データやCookieを取得してはならない決まりです。

GDPRへの対応が必要な企業においては、ゼロクッキーロードと呼ばれる初期状態で外部サービスにCookieを利用させない設定が必須です。

 パーソナルデータ取得におけるオプトイン・オプトアウトに関しては、近年ルールの厳格化が進んでいます。国内外の規制強化について解説します。

4.1 欧米におけるCookie利用の規制強化

欧州では、GDPRという法律によってCookie利用の規制が強化されるようになりました。

GDPRとは、「General Data Protection Regulation」の頭文字を取ったヨーロッパ経済領域の中で適用される法律です。

GDPRの下では、個人データの収集・保管等のデータの取扱い全般に関して厳しい規定が設けられています。この個人データにCookieが含まれるのが、GDPRの特徴です。

Cookieを利用する場合は、ユーザの同意を得なければなりません。

したがって、Web広告を展開する企業はオプトイン方式で同意したユーザに対してのみCookieを利用できます。

GDPRに違反すると、制裁金が課せられる可能性がある点に注意が必要です。

その額は最大で企業の年間売上の4％または2,000万ユーロの高い方となります（※3）。

同様に、米国では、CCPA（California Consumer Privacy Act）という法律によってCookie利用の規制が強化されるようになりました。

CCPAは、カリフォルニア州で定められた個人情報の取り扱いに関する法規制です。

CCPAの下では、Cookieによる個人情報収集や利用について事前同意は必要ありません。その点がGDPRと異なります。

ただし、収集した個人情報を第三者に提供する場合には、ユーザー本人がオプトアウトできる仕組みが義務付けられています。

※3）JIPDEC　GDPRにおける企業・団体の法的責任

4.2 個人情報保護法の改正による個人情報取り扱いの厳格化

世界各国でプライバシー保護規制の強化が広がる中、日本でも個人情報保護法が改正されました。

個人の権利を拡張し、企業の責任を問う形に変化しています。

改正個人情報保護法の施行によって、主に以下の点で企業は影響を受けます。

1.企業の罰金を1億円に引き上げ
2.個人データ漏洩の際、個人情報保護委員会などへの通知を義務化
3.個人データの漏洩や不適切な利用があった際、個人が利用停止・消去権を行使できる

さらに、新たに「個人関連情報」が設けられました。
Cookie等を通じて収集されたWebサイト閲覧履歴・商品購買履歴・サービス利用履歴や、個人の位置情報などがこれに該当します。

個人関連情報を第三者に提供することで、本人が識別され個人データとなる可能性がある情報は、本人の同意が必要になりました。

具体的には、以下のようなケースで、本人の同意を得なければならないと規定されています。

・データ提供先の第三者が個人関連情報に別の情報を付加して、個人データとして用いる場合
・データ提供先の第三者がID等を介して、保有する他の個人データに紐付ける場合

4.3 電気通信事業法の改正によるCookieデータ利用に関する規制

2023年6月の電気通信事業法の改正により、Cookieデータを含む利用者に関する情報を第三者に提供する場合、以下のいずれかの対応が義務付けられました。

• ・取得する情報の内容や利用目的をユーザへ明確に通知する
• ・事前にオプトイン方式でユーザーの同意を取得する
• ・ユーザー自らデータの第三者への提供を拒否できるオプトアウト方式を導入する

いずれの方式を取るにしても、ユーザーが理解したうえで判断ができるように、わかりやすい通知・公表または同意取得の手法を検討しなければなりません。

4.4 改正電気通信事業法を遵守するための対応

改正電気通信事業法で義務付けられた上記3つの対応について、具体策をみていきましょう。

1つ目の取得する情報の内容や利用目的の通知については、Cookieポリシーをポップアップなどで表示する手法が考えられます。

Cookieポリシーとは、Cookieデータを含む利用者に関する情報の内容や利用目的をユーザーに説明するページを指します。

Cookieポリシーにどのような内容を記載するかは事業者の判断に委ねられていますが、以下のような項目を記載するのが一般的です。

• ・Cookieとは何かの説明と利用目的
• ・収集する情報の種類・保存期間
• ・Cookie取得を拒否する方法

2つ目のオプトイン方式でのユーザー同意の取得には、同意管理プラットフォーム（CMPツール）の活用が有効です。

CMPツールとは、Webサイトを訪れたユーザーから、Cookie等の個人データ収集に関する同意を得るためのプラットフォームです。同意取得バナーの作成・実装に加えて、同意情報の取得・管理をおこなうことができます。

日本では同意取得は必須ではありませんが、上述のとおり欧州ではCookieの取得同意が求められているため、CMPツールの注目度が高まっています。

3つ目のオプトアウト方式を導入する際は、オプトアウト用のWebサイトへのリンクを明示しましょう。

上記Cookieポリシーにオプトアウト手段を記載しておく方法が一般的です。

4.5 ブラウザ側のCookie規制

世界的なプライバシー保護意識の醸成と法規制の強化にともなって、ブラウザ側でも自主規制をおこなうようになりました。

なかでも、訪問したWebサイト以外の第三者から発行される3rd Party Cookieは、ユーザーの意図しないところで行動を追跡できる点が問題視されるようになっています。

プライバシー侵害につながるという見方が広がり、ブラウザによる規制が進んでいます。

Apple社のWebブラウザ「Safari」では、2020年3月に3rd Party Cookieが全面的にブロック（※4）。

同様に、Google社は3rd Party Cookieの廃止を発表しました（※5）。

Web広告を展開する企業においても、オプトイン方式でのCookie同意の取得もしくはCookieポリシーにオプトアウト手段を記載するなどの対策が急務です。

※4）WebKit　Full Third-Party Cookie Blocking and More

※5）Google Japan Blog　Chrome ブラウザでのサードパーティ Cookie の段階的廃止に向けた次のステップ

Cookieに関する規制が強化される中、Cookieに依存しない広告配信の手法が注目されています。

ここでは、Cookieに代わる新たな共通IDソリューション「RampID」「IM-UID」等を活用した広告配信をおこなうツールとして、マイクロアド社の「UNIVERSE Ads」をご紹介します。

「Ramp ID」は、ユーザーの同意が得られたメールアドレスなどの情報を暗号化して生成される固有のIDです。

オプトインの仕組みで、ユーザーから取得したメールアドレスなどのデータをプライバシー保護に配慮した形の識別子に変換し、ユーザーの認識と計測が可能です。

「IM-UID」は、Webブラウザから得られる情報を基に、最も精度の高い情報を識別して生成される推定IDです。

Cookieのように特定のユーザーを確定的に識別せず、ユーザーはオプトアウトが可能です。IM-UIDを活用して、プライバシーに配慮したターゲティング広告配信をおこなうことができます。

個人データの取り扱いに関する規制が年々強化される中、「オプトイン」「オプトアウト」という言葉を耳にする機会が増えました。

本記事では、 パーソナルデータ取得における「オプトイン」「オプトアウト」それぞれの方式の特徴・メリット・デメリットに加えて、法改正によるルールの厳格化について解説しました。

法規制に対応するためにも、Web広告を展開する企業はオプトイン方式でのCookie同意の取得もしくはCookieポリシーにオプトアウト手段を記載するなどの対策が急務です。

「UNIVERSE Ads」では、オプトイン方式でのユーザー同意の取得ならびにオプトアウト手段を提供したうえで、ユーザーの認識と計測が可能です。クイックにクッキーレス対策のトライアルが可能なパッケージもご用意しておりますので、ぜひご検討ください。