クッキー等規制（Cookie規制）解説とプラグイン選び

クッキーの規制については、2018年に欧州で施行されたGDPR（EU一般データ保護規則）の時に少し騒ぎになったものの、日本国内（対EU圏以外）のみの場合は大きな規制や法的な対応をあまり気にしなくても大きな問題にはなりませんでした。2023年6月16日から施行される改正電気通信事業法において「クッキー等規制（Cookie規制）」が盛り込まれるので、改めてこのタイミングでブログやWEBサイトに対応する方法を調べました。

• クッキー等規制（Cookie規制）が分かる
• WordPressを使ったWEBサイトでの対応方法が分かる
• htmlベースのサイトにJSとCSSを使って組み込む方法が分かる

クッキー等規制（Cookie規制）とは？

法律に詳しい訳では無いので最終的な判断とその対応方法はしっかりと調べて対応をお願いいたします。
このサイトではWordpressにて出来る手法と法律に詳しくなくても何となく「クッキー等規制（Cookie規制）」の内容が分かる様にGoogle検索で調べて、まとめてみました。

いくつかのGoogle検索の結果から「Impress Watch」にて取り上げられているニュースの内容が、図解や実装例もあり、一番分かり易かったです。

また、このニュース記事で取り上げられているIIJ（株式会社インターネットイニシアティブ）にて運営されているWEBサイト「世界のプライバシー保護規制対応を支援するサイト」も合わせて確認する事をおすすめします。

近年で施行された、個人情報の取り扱いで注意したい海外の法令

• 2018年に欧州で施行されたGDPR（EU一般データ保護規則）
• 2020年にアメリカのカリフォルニア州で施行されたCCPA（カリフォルニア州消費者プライバシー法）
• 2021年に中国で施行された「中国個人情報保護法」

日本の法律ではどんな感じ？

日本の個人情報保護法では、2022年4月の改正で、Cookie単体は個人情報ではないとしているものの、第三者の提供先で個人データと紐づく場合だけ同意取得が必要。

Impress Watchのニュース記事より

電気通信事業法の「クッキー等規制（Cookie規制）」について、違反を行った時の罰金などは無さそうですが、違反行為をした事業者名称の公表はする事が出来るので、事業者としては信用低下や取引中止など多くのペナルティがありそうです。

• 総務大臣は、次の各号のいずれかに該当するときは、当該各号に定める者に対し、利用者の利益を確保するために必要な限度において、業務の方法の改善その他の措置をとるべきことを命ずることができる。（電気通信事業法 第二十九条二項より）
• 総務大臣は、電気通信役務の利用者の利益を保護し、又はその円滑な提供を確保するため必要かつ適当であると認めるときは、総務省令で定めるところにより、この法律又はこの法律に基づく命令若しくは処分に違反する行為を行つた者の氏名又は名称その他法令等違反行為による被害の発生若しくは拡大を防止し、又は電気通信事業の運営を適正かつ合理的なものとするために必要な事項を公表することができる。（電気通信事業法 第百六十七条の二）

電気通信事業法より

公表や事前同意取得、オプトアウトなど実装する際のルールは総務省のガイドライン解説（PDF）を確認してください。

WEBサイトの制作者目線だと、具体的にどんなサイトで注意したらよいか？

Cookie規制の場合、その名の通り「Cookie」を利用しているサイトに影響するのですが、ほぼ全てのサイトに入れられている「Google Analytics」もCookieを使用してます。ですが、規制対象となっているのはサードパーティーCookieとなっているのでファーストパーティーCookieを使っている「Google Analytics」は対象外です。

Cookeiについては、プログラマーであればピント来ると思いますが、WEBデザイナーやディレクターだとフワッとした認識もあるかもしれませんのでまとめてみました。

ファーストパーティーCookieとは？

ファーストパーティーCookie（第一者クッキー）とは、ユーザーが直接訪れたウェブサイトがそのユーザーのブラウザに保存するクッキーのことを指します。これらのクッキーは主に、ウェブサイトの機能性を改善したり、ユーザー毎にパーソナライズするために使用されます。

一般的なファーストパーティーCookieの使用例

• ログイン情報： ユーザーがウェブサイトにログインすると、その情報はファーストパーティーCookieとして保存されます。これにより、ユーザーはサイトを離れても、再度訪れた際にログイン情報を再入力する必要がありません。
• ショッピングカート： オンラインショッピングサイトでは、ユーザーがカートに追加した商品情報をファーストパーティーCookieとして保存します。これにより、ユーザーがサイトを一時的に離れても、カートの内容が維持されます。
• 言語や地域設定： ウェブサイトは、ユーザーの言語選択や地域設定をファーストパーティーCookieとして保存することがあります。これにより、次回訪問時に同じ設定が自動的に適用されます。
• サイト内のユーザー行動の追跡： 一部のウェブサイトは、ユーザーのサイト内行動（ページビュー数、訪問時間、クリックしたリンク等）を追跡し、これらの情報をファーストパーティーCookieとして保存します。これらの情報は、ユーザーエクスペリエンスの改善やパーソナライズに利用されます。

サードパーティーCookieとは？

サードパーティークッキー（第三者クッキー）は、ユーザーが直接訪れていない第三者のウェブサイトから発行され、ユーザーのブラウザに保存されるクッキーのことを指します。これらは主に、広告配信やユーザー行動の追跡に使用されます。

一般的なサードパーティーCookieの使用例

• オンライン広告の配信と追跡： 広告ネットワークはサードパーティークッキーを使用して、特定の広告がユーザーにどれだけ表示され、そしてその広告がどれだけクリックされたかを追跡します。これにより広告効果を測定することが可能となります。
• 行動ターゲティング広告： サードパーティークッキーはユーザーの興味や嗜好、ウェブサイト間での行動などを追跡し、それに基づいたパーソナライズされた広告（行動ターゲティング広告）を表示するためにも使用されます。
• ソーシャルメディアの「いいね」や「シェア」機能： いくつかのウェブサイトでは、サードパーティーのソーシャルメディアプラットフォームからの「いいね」や「シェア」のボタンが埋め込まれています。これらの機能は、サードパーティークッキーを用いて動作します。
• ウェブ解析サービス： Google Analyticsのようなウェブ解析ツールは、ユーザーのウェブサイト間での行動を追跡するためにサードパーティークッキーを使用します。これにより、ウェブサイトのオーナーはユーザー行動の傾向を理解し、サイトの改善やマーケティング戦略の策定に役立てることができます。

WEBサイトを運用していると、情報発信のためにSNSを使っている場合が多いと思います。
SNSにある「いいね」や「シェア」はサードパーティのCookieなので規制対象となりますが、対応を行うのはSNSの事業者（TwitterやInstagramなど）なので、そのサービスを利用しているサイト運営側は対応しなくて大丈夫です。
（とは言え、気にはした方が良いと思います…。）

GDPRや電気通信法の改正が分かりやすいサイト

他にも分かり易い説明のあるサイトや、実例として分かり易いサイトが多くありましたので、いくつかピックアップ。

電気通信事業参入マニュアル（ 追補版 ）

注意した方が良いサイト例

冒頭で記載した通り電気通信事業法以外に、このタイミングで海外の法案や個人情報保護法にも気を配ってみたいので、その部分も合わせてまとめてみました。

• サードパーティを利用したサービスを提供している
• 主な事業が「広告配信」や「マーケティング」事業
• 日本国内からEUに向けて商品・サービスを提供している
• EUに子会社や支店、営業所を持つ企業
• ECなど個人情報の取り扱いをしているサイト
• プライバシーポリシーが古いサイト
• 取得データの管理の認識と管理が緩い
• 外部委託先がオフショア企業

プライバシーポリシーとCookie同意ボタンで対応する

GDPRやサードパーティCookieに引っかからないサイトであれば、まずは「プライバシーポリシーページの確認」と「Cookie同意ボタンの設置」を行う事をおすすめします。

この２点は規制対象サイトなのかを確認する必要があったとしても進めて置いて無駄はありません。「Cookie同意ボタンの設置」については、Wordpressのサイトであればプラグインを使う事をおすすめします。
※実際にはそれだけでは対応不十分な場合もあるかもしれませんので、必ず皆さまご自身で確認ご対応を！

身近にプログラマーがいればお任せする事でも良いと思いますが、プログラムで抜け漏れがあった際にトラブルになりそうな内容ですし、設置のコストを考えると実績と利用者が多いプラグインであれば、その様な事は無いかと思います。
仮に「対象事業社でなかったので外したい」となった時に簡単に外すこともできます。

候補プラグイン

Googleで検索して、プラグインのダウンロード画面で更新日が古くないもので且つ利用者が多いものをピックアップ。実際に開発元サイトや使いやすさなど見てみました。

• Cookie Notice for GDPR & CCPA
• Complianz – GDPR/CCPA Cookie Consent
• Cookie banner plugin for WordPress – Cookiebot CMP

Cookie Notice for GDPR & CCPA

アメリカのニュージャージー州にある企業。GDPR (EU)、eプライバシー指令(EU)、eプライバシー規制 (EU)、PECR (イギリス)、LGPD (ブラジル)、PIPEDA (カナダ)、PDPB (インド)、CCPA (カリフォルニア州)、VCDPA (バージニア州)、Colorado Privacy Act (アメリカ)、CPRA (カリフォルニア州)に準拠。100か国以上を超える最新のガイドラインに取り組んでいる様です。

Cookie Notice for GDPR & CCPAの価格

Complianz – GDPR/CCPA Cookie Consent

オランダに拠点を置く企業。サービスは、EU、アメリカ、カナダ、イギリス、オーストラリア、南アフリカ、ブラジルの法律に合わせた設定で構成されている。対応言語も47以上（日本語無し）なので、海外対応は安心感があります。

Complianz – GDPR/CCPA Cookie Consentの価格

Cookie banner plugin for WordPress – Cookiebot CMP

EU圏のデンマークで設立された企業で、対応通貨は「€（ユーロ）」のみ。€を使う事になじみがあまりない人もいると思います。対応レギュレーションは「DSGVO（ヨーロッパ）」「CCPA / CPRA（カルフォルニア州）」「LGPD（ブラジル）」「VCDPA（バージニア）」を対象としたサービス。

Cookie banner plugin for WordPress – Cookiebot CMPの価格

プラグインのおすすめは…

３つのプラグインともに、一般的に使うのであれば、内容はどれもほぼ問題無いと思います。また、どれも有料プランに入る事で完全な機能を得られる事から、結論「Cookie Notice for GDPR & CCPA」が一番良さそうでした。

• 無料版（Free）から利用できる
• 利用価格が一番安い（公開当時の為替レート）
  １サイトあたり１か月の利用料は「Cookie Notice for GDPR & CCPA」と「Cookiebot CMP」では、ほぼ同じですが、複数サイトになった場合に「Cookie Notice for GDPR & CCPA」の方が安くなります。
• 取り扱い通貨も「€（ユーロ）」より「＄（ドル）」の方が日本人に馴染み深い
• Google検索で利用方法や使い方が多くある
• プラグインのUIが日本語対応で分かりやすい

htmlサイトにCookie承認を入れたい場合は…

WordPressを使っていなく、外部サービスでhtmlで作られている場合、CSSとJSが独自で入れられることができれば、導入も可能です。以下サンプルソースを準備してますのでご確認ください！

Cookie同意ボタン番外編

プラグインも有料版にする事で本来の機能を発揮できるみたいなので、WEBサービスとしてツールを入れるのも良いかと思います。これもGoogle検索で調べたところ複数社サービス提供している様ですが、値段が高いものや、要問合せで価格が判らないものが目立ちました。

そんな中でも「webtru（ウェブトゥルー）」は価格が明瞭で、値段も手が出しやすい金額帯でしたので、法律対応が良く分からない場合は頼んでしまった方が安心安全だと思います。

webtru（ウェブトゥルー）

最後に

この機会にGDPRや電気通信事業法を少し学べて良かったです。最終決定は専門家や各企業さまになるのですが、ある程度質問された時に答えられるだけの知識はあった方が良いし、信頼につながると思います。

法律に詳しい訳では無いので最終的な判断とその対応方法はしっかりと調べて皆様ご自身で対応してください。