ECサイトのダークパターンやCookieバナーの国内外規制動向、実装の実例を紹介

企業が避けるべき「8つのダークパターン」と「Cookieバナー実装」、IIJが説明

Cookie規制の最新動向、日本は同意が必要な場面は限定的

　続いて、「国内企業の最新事例に学ぶCookieバナー実装の重要ポイント」と題したパネルディスカッションで、マーケターおよび企業、コンサルタント、法律専門家のそれぞれの視点からCookieバナーの規制動向と実装について語られた。

　まずは、法律専門家の視点として、森・濱田松本法律事務所のパートナー弁護士である田中浩之氏より、Cookie規制の最新動向が語られた。

　「海外についてはヨーロッパが一番厳しいと言って差し支えない」と田中氏。個人情報の規制としてはGDPRがあり、かつ定義が広く、Cookieデータも個人情報として適用される。また、GDPRと補完関係にあるeプライバシー指令に基づく各国法では、個人情報であるかに関わらず、厳格に必要なCookieでなければ同意を必要とする規制となっている。同意の要件も厳しく、「オプトイン」での事前同意が義務化され、ツールなどを使用して、個別同意や撤回ができるような実装が求められる。

　米国においてもカリフォルニア州消費者プライシー法（CCPA）が、個人情報の定義が広く、Cookieデータも規制の対象とする。また、いわゆる“販売共有”規制によって、幅広いターゲティング広告なども対象となり、原則、消費者がCookieデータを第三者に販売されることを止められる「オプトアウト」の実装が義務化されている。

森・濱田松本法律事務所 パートナー弁護士 慶應義塾大学大学院法学研究科特任教授（非常勤） 田中浩之氏

　一方の日本の個人情報保護法は、個人情報の定義が狭く、Cookieデータは個人情報にあたらない。

　ただし、2022年の改正個人情報保護法で設けられた、個人情報には該当しないが個人に関わる“個人関連情報”には、Cookieデータは該当する。そして、個人関連情報であっても保有する個人情報と突合すると特定の個人を識別できてしまうため、事業者が個人関連情報を第三者に提供する際に、提供先で個人情報に紐づく可能性がある場合には、事前同意が必要となる。「Cookieを利用する際にすべて同意を取る必要はなく、規制される場面は限定的」と田中氏。

個人関連情報について

　もうひとつCookieの利用に関連する規制として、2023年に施行された改正電気通信事業法における「外部送信規律」がある。個人情報やCookieという定義付けはなく、“利用者の情報を利用者以外に送信する仕組み”そのものが規制の対象となる。外部送信規律が適用されるウェブサイトやアプリでは、一定の情報通知が義務付けられるが、オプトインでの事前同意は必要としない。

電気通信事業法の外部送信規律について

ポストCookie時代のインターネット広告、Google「Privacy Sandbox」は規制にあたるか？

　このようなCookie規制に加えて、今後Googleが「サードパーティCookie」を段階的に廃止していく方向性だ。本来は、2024年内に完了予定であったが、業界や規制当局、開発者からのフィードバックの調整を理由に、3度目の延期を表明している。

　サードパーティCookieとは、訪問先のウェブサイトとは別のドメインが発行したCookieのことで、リターゲティング広告などに用いられるなど、インターネット広告には欠かせない技術だ。高いシェアを持つChromeブラウザでの廃止は大きな影響が出ると予測されている。

　こうした“ポストCookie時代”に向けた広告業界の動向を、マーケター視点からデジタル・アドバタイジング・コンソーシアム（DAC）の上野沙羅氏が、コンサルティング視点からIIJ ビジネスリスクコンサルティング本部 槙拓也氏が語った。

　上野氏は、「昨今の潮流でいうと、企業はファーストパーティデータの活用を大前提に検討しており、各プラットフォーマーもコンバージョンAPIや拡張コンバージョンといった、ファーストパーティデータを活用するための機能をリリースしている」と説明。

　また、GoogleがサードパーティCookieの代替手段として展開する「Privacy Sandbox」についても、企業側は徐々に研究しはじめているという。Privacy Sandboxは、プライバシー保護と広告を両立させる技術で、ユースケースごとに各種APIが提供される。

デジタル・アドバタイジング・コンソーシアム ソリューションビジネス本部 DXソリューション局 データコンサルティング部 部長 上野沙羅氏

　一方で、IIJの槙氏は、Privacy Sandboxをデジタルマーケティングで利用すると、少なくとも欧州のePrivacy指令の規制対象になってしまうと指摘する。Privacy Sandboxは、閲覧履歴からブラウザが推定した“関心属性”を基に広告を表示する仕組みを用いるが、2023年11月に公表されたePrivacy指令の新ガイドライン案の見解では、Cookie同様に消費者に事前同意を取得する必要がある。

　一方の日本の個人情報保護法に関しては、現状では対象外になる可能性が高いが、「いずれ（海外の規制）に追随するだろう」と槙氏。加えて電気通信事業法の外部送信規律にも、Privacy Sandboxの仕組みは規制の対象となり、少なくとも情報提供が義務づけられる。

IIJ ビジネスリスクコンサルティング本部 槙拓也氏

　Privacy Sandboxにおいても、現状のCookieバナーで同意をとることは可能なのか。「結局はJavaScriptによってTopics情報（興味関心の属性）を取得したり、読み取ったりするため、Cookieバナーでの制御は引き続き有効」と槙氏。Cookieバナーという名称も、今後は違う名前に変わっていくのではないかと付け加えた。

　加えて上野氏は、プライバシー保護の問題が世間を賑やかす中で、今後の企業のデータ利活用の方向性は、「ユーザーにどう見られるかという着眼点にシフトしていくのではないか」と予測する。