最近、いろんなサイトで「クッキーの使用に同意しますか」という表示を見かけることが増えたと思います。
これはヨーロッパ（EU）でのデータ保護に関連した法律（GDPR）に基づく表示です。

• GDPRとは具体的にどういうものなのでしょうか

• 日本の企業のウェブサイトでは対応が必要なのでしょうか

• 2022年4月から施行される改正個人情報保護法との関係はあるのでしょうか

• どのように対応したらよいのでしょうか

これらの内容を解説していきたいと思います。

GDPRとは？

GDPRとは「General Data Protection Regulation（一般データ保護規則）」の頭文字をとったもので、ヨーロッパ経済領域（EU +α）の中で適用される法律です。
内容をすごくザックリと纏めると「個人情報の使われ方を決定するのは個人だ！」という法律です。
つまり、企業が（Webページが）個人情報を勝手に使ったり勝手に他人に提供したりしてはいけません、ということです。
そして、個人情報を使う場合は明確な同意を得る必要があります。

クッキーとどう関係してるの？

GDPRでは、一見すると個人情報じゃなさそうなクッキー内の情報も個人情報とみなして保護対象とする、ということですので、関係があります。
ウェブサイトにおいて、クッキーに「名前」や「メールアドレス」を保存することはしなくても、ただの数字の羅列に見える「ID」を保存することは十分考えられます。
この「ID」が第三者（別のサイトやウェブサービス）に渡ることにより、それはただの「ID」ではなく立派な個人情報になり得る、ということです。

具体例を見てみましょう。
facebookのタグが埋め込まれているウェブサイトにアクセスしたときに、すでに同じブラウザでfacebookにログインしていた場合、実はfacebookIDをクッキーに保存してそれをfacebookに渡しています。

画像の赤枠で囲んでいるところがfacebookIDです。この数字をfacebookのサイトのURLの後ろに打ち込むと、個人のfacebookページにアクセスできます。

こう考えると、「ID」も確かに個人にとって大切なデータである、ということが理解できると思います。
これは一例ですが、わたしたちがアクセスしているサイトからはいろんなデータが他サービスに受け渡されマーケティングなどに利用されることがある、という事実があります。
もちろんわたしたちにとって便利になる面もありますが、その比重よりは企業にとって利益になることの方が多いでしょう。

ですので、GDPRは、クッキーを利用することについての同意を得る手順を踏むように求めているのです（以下、「クッキー同意」と呼びます）。

その法律を破るとどうなるの？

GDPRに違反した場合、企業の年間売上の4％または2,000万ユーロの高い方が制裁金として科されるようです。2,000万ユーロは約26億円です・・・。

大きな例では、GDPRに違反したとして Google が5,000万ユーロ、facebookが2億2,500万ユーロ、アマゾンが7億4,600万ユーロの制裁金を支払うように命じられたことがあります！
この例を考えても、EUがこの法律の遵守を重要視していることが分かります。

すべてのクッキーが関係しているの？

基本的には、サードパーティークッキーと呼ばれる第三者にデータを渡すためのクッキーが対象となります。
さきほどのfacebookIDや、ユニバーサルタグでのGoogleAnalyticsなどです。
こうしたサービスに関連したタグを埋め込んでいるならばGDPRに対応する必要があるでしょう。

しかし、そのサイトを利用するために必須でありそのサイト内でしか使われないクッキーは、同意を得なくても使うことができます（ファーストパーティークッキーとも呼ばれます）。
例えば、ECサイトでセキュリティを保持して通信を行うためにそのようなクッキーが使われています。

日本でも対応が必要？

「でも、EUの法律だから日本のウェブサイトは関係ないんじゃないか」、と思われるかもしれません。
しかし、よくよく考えると、ウェブサイトは世界に向けて公開されているので、自分のホームページが日本以外の国と関係ないとは言い切れません。
この法律の適用範囲はざっくり言うと以下のようになっていますので、日本の企業のサイトであっても個人のサイトであっても当てはまるケースがあります。

• EU圏内に拠点（本社だけでなく子会社や支部）を置く企業のサイト

• EU圏内の個人にサービスを提供しているサイト

• EU圏内にデータを保管しているサイト

サイト立ち上げ当初は海外のことは全く意識していなくても、いつの間にかEU圏内のユーザーの利用が増えていて適用範囲になってしまっている、というケースも無くはない、ということになります。
また、契約しているウェブサーバーが物理的にEU圏内にあるサイトの場合は、EU圏内にデータを保管していることになりますので、適用範囲内となります。

2022年4月施行の改正個人情報保護法との関係は？

2022年4月から日本で「個人情報保護法の改正に関する法律」、通称「改正個人情報保護法」が施行されます。

この法律はGDPRと関係があるのでしょうか。
クッキー同意を実装する必要があるでしょうか。

そういうわけではありません。
「改正個人情報保護法」は個人情報の保護にいっそう目を向ける法律ですが、クッキー内の「ID」のような直接的に個人情報ではないデータは対象としていません。（注：個人情報に紐づけられる前提のIDは対象範囲内です）。
それで、2022年4月の法改正で、日本で「クッキー同意」が必須になるわけではありません。

とはいえ、上記で書いたように、EU圏内のユーザーにサービスを提供する可能性のありそうなサイトは「クッキー同意」を実装しておいた方が無難と言えるでしょう。
また、EU圏内のユーザーに関係しないサイトでも、個人のデータを注意して取り扱っています、というアピールにもなるかもしれません。

ただ、１ユーザー目線としては、「クッキー同意」が出るサイトはちょっと煩わしく感じてしまうときもありますね・・・。
でも、今後個人情報についての意識が全体として高まっていけば、「クッキー同意」が無い方が気になってしまうようになるかもしれません。

対応方法は？

まず前提として，法律に関係することですので，中規模以上の企業様の場合は弁護士など法律の専門家に相談するのが最善です。
そのうえでウェブサイトにどのような対策を施せばよいかをウェブ制作会社などに相談すると良いかと思います。
単に「クッキー同意」を実装するだけでは，GDPR完全準拠とならない場合があるからです。

そのうえで「クッキー同意」を実装するにあたって、抑えるべきポイントは以下の通りです。

• 同意を得る前にはクッキーを渡さない

• ユーザーが自分で明確に選択できるようにする

• 同意した内容について、ユーザーが後から変更できる旨を説明しておく

このポイントに沿ってサイトに「クッキー同意」を組み込んでいきます。
これらのポイントを考慮すると、以下のようなやり方は不適切、ということが分かります。

・「クッキー同意」のボタンだけを実装して、裏側ではサードパーティークッキーを全く制限していない。
　　⇒　なんちゃってクッキー同意
・クッキー同意のポップアップが全面に表示されて、「同意」ボタンを押さないと、サイトが見られない。
　　⇒　クッキーウォール
・「このサイトを閲覧することによってクッキーの使用に同意したことみなす」という文言を書いておく。
　　⇒　みなしクッキー同意

当たり前ですが、正しく「クッキー同意」を実装する必要があります。

具体的な実装方法は？（WordPress・jQuery）

WordPressで作られているサイトの場合は、プラグインで実装するのが一番簡単でしょう。
いくつもプラグインがありますが、お勧めは以下のプラグインです。
カスタマイズがしやすく、GDPRにしっかりと準拠している形式です。
BRISKで実装する場合には、2万円～で対応しています。
CookieYes

WordPressではないサイトの場合は、jQueryでの対応となります。
GDPRに準拠してそうで使いやすいプラグインが意外と無かったのですが、以下がお勧めです。
こちらの実装も3万円～で対応しています。
GDPR COOKIE LAW

サイトに合わせて色味などを調整したり、多言語の出し分けにも対応しています。
対応するサイトでは、日本語のサイトだがEU圏内との関連を考えて実装する、というサイトが多いでしょうから、多言語対応は重要なポイントと思います。
ご依頼はこちらからどうぞ

よくある疑問

上記で説明したことも含まれていますが、GDPRに関連したクッキー同意の対応に関連して、よくある疑問を纏めました。

• 自分のサイトでクッキーが使われているのかどうか分からない

  ブラウザの開発者ツールなどを利用すると確認できますが、場合によってはたくさんクッキーがあって OKなものなのかどうか分からない、ということもあると思いますので、どうぞご相談ください。

• とりあえず実装しておくに越したことはない？

  確かにそれも１つの考え方ですが、ユーザー目線ではまだまだ「ちょっと煩わしい」という気持ちはあると思います。そもそもでサードパーティークッキーが使われていないなら、EU圏内に関係していても対応は不要です。サイトに応じて、設定するかどうかを判断されると良いと思います。

• 実装したとして「同意ボタン」を押さないユーザーはサイトが閲覧できない？

  「同意ボタン」を押さなくても（つまり同意しなくても）ユーザーはサイトを見ることが出来るようにしておく必要があります。同意しない場合は、サイトを「便利に」使えない可能性はあります。

• 同意しないとお問い合わせフォームなどは使えない？

  お問い合わせフォームなどのデータを送信する技術は、クッキーとは別物ですので「クッキー同意」には関係ありません。「お問い合わせ」や「会員登録」などはユーザーが自分で入力して利用規約も読んでから送信ボタンを押すわけですので、ユーザーの知らないところでデータが利用されることを防ぐ、というGDPRとはまた別次元の話になります。

まとめ

ウェブは個人の生活と切っても切れないほどに普及しているわけですが、だからこそ「個人」に紐づけられるデータの取り扱いには注意を払う必要があります。
現時点でGDPRに直接関係が無いとしてもこの点は十分に考えてサイトを作る必要がありますし、今後のセキュリティ技術やITリテラシーの進展にもついていく必要があります。
GDPRや改正個人情報保護法は良いきっかけになるのではないかと考えます。

南本貴之