• その他

• CMP
• プライバシー

2018.06.26 (last update: 2023.05.22)

TEXT: DMJ編集部

虚偽の同意取得にならないようゼロクッキーロードを理解する｜GDPRへの具体的対応

（2018年6月26日 → 2021年12月24日更新）
　

ゼロクッキーロードとは、ユーザーがCookie使用に関して明確な同意の意思表示をする前に、Cookieを利用するあらゆるJavaScriptやピクセルタグを停止する手法のことを言う。
　
ユーザーが明示的に同意の意思表示をする前に（例えばポップアップの画面が表示される前、もしくは表示されている間）さまざまなマーケティングツールがCookieを利用し始めてしまうと、“個人情報を同意なしに利用する”という状況を引き起こすことになるため、ゼロクッキーロードが必要とされる。

 GDPR施行から3年。国内においては個人情報保護法の改正にあたり、デジタルマーケティング界隈では日々Cookie規制への対応に関する話題が挙がっています。あらゆる対応策が講じられていますが、今回は「ゼロクッキーロード」について解説します。
　
（2018年6月時点では、Googleにて「ゼロクッキーロード」を検索すると、美味しそうなカロリーゼロクッキーがヒットしていましたが、今では関連記事も多くなりました。）
　
さて、ゼロクッキーロードの定義自体は上述の通りですが、今まで技術面、心理面の難しさからなかなか表に出てこない話題となっていました。しかし、GDPR対策、改正個人情報保護法対策においては、ゼロクッキーロードについて押さえておくことが非常に重要になります。

ゼロクッキーロードが技術的に難解な理由

ゼロクッキーロードのような話題は、どちらかと言えば「ウェブページのスピード向上」の文脈で語られてきました。そこで、ゼロクッキーロードを技術的に理解するために、まずはHTMLとタグの関係を押さえましょう。
　
ブラウザは、ウェブページの記述されたHTMLを上部から読み込んでいきます。デジタルマーケティングツールのタグも同様です。HTMLがメタタグやBodyタグを読み込んだりする中で、scriptタグがあればそれを読み込むのです。
　

これまでは、HTMLの読み込みスピードを上げるために、タグの適切な配置順序が検討されてきました。処理に時間のかかるタグは後に回して、処理が早いタグを上部に設置すること、同時平行で処理すること、何かのアクションが起こるまでは処理を止めておくことなどを検討する必要があったのです。
　
こういった技術面の話は主にSEO対策の担当者のみが熟知するものだったので、初めて知る方も多いのではないでしょうか。しかし、GDPR対策や個人情報保護法対策においては、こういったタグの設置順序すらも検討しなければなりません。一体なぜでしょうか？
　

Cookie取得の同意を求めるポップアップ

サイトに訪れたユーザーにCookieの取得同意を求めるポップアップは、HTML上で記述されています。同時にデジタルマーケティングツールもHTML上で記述されているため、記述の順番を間違えると、デジタルマーケティングツールが先に挙動し、その後にポップアップが起動するといった状況になります。これが、「同意なしに個人情報を利用する」シーンとして想定されます。
　
また、タグを設置する順番だけではなく、同意管理（コンセントマネジメント／Consent Management）として、非同意のユーザーには、一切タグを発火させないことが必要になります。実際、ピギーバックによる4th Partyタグも考慮するとこれがなかなか難しいのです。
　
現在、個人情報保護対策としてポップアップを設置している場合には、本当にタグの発火をコントロールできているか、今一度確認することをお勧めします。 なお、GDPRでは、みなし同意や同意の見返りにサービスを提供することは認めていないので、「このサイトの閲覧を続ける場合、Cookieの使用に同意したとみなします」といった宣言は無効になると考えておいたほうが無難でしょう。

ゼロクッキーロードが心理的に難解な理由

ユーザー目線で考えてみると、「同意取得のポップアップが出てきても、そのまま同意の意思表示をしなければCookieは使用されないだろう」と捉える方も多いかもしれません。ところが、先述したような技術的な落ち度によって、実は同意の意思表示をしなくてもCookieを使用されている可能性は残るのです。
　
この状況において最も厄介な点は、ユーザーはCookie使用の事実を発見しづらいということです。 ポップアップが出ている間（同意するまでの間）は大丈夫だろうと考えた場合、多くの人は事実確認をするには至らないでしょう。また、実際にCookieが使用されているかの事実を確認するには、「Ghostery」などといったツールを使用しなければなりません。確認するためのツールや、確認できることすら知らないユーザーも多いのではないでしょうか。
　
こういった技術、心理的な面から、ゼロクッキーロードはなかなか表に出てこない話題となっていました。

ゼロクッキーロードを自社のGDPR、個人情報保護法対策に取り入れるべきか？

改正個人情報保護法対策、GDPR対策については、まだ最適解もなく不透明な部分も多いものです。それゆえ恐怖心理を煽る言説も飛び交っていますが、個人的にはそういったものには懐疑的です。 しかし、ゼロクッキーロードは検討すべきと考えています。 なかなか表に出てこなかった話題であるがゆえ、ゼロクッキーロードを理由に訴え出てくる狡猾な人がいないとは限りません。
　
ご存知の通り、GDPRの違反に対しては多額の制裁金が課せられます。特にグローバル展開をしている企業であれば、リスクヘッジの一つとして、出来るだけ穴は塞いでおくことが賢明な対応と言えるでしょう。

この記事を書いた人

DMJ編集部

デジタルマーケティングジャーナル編集部。最新トレンドやテクノロジー情報と、オピニオンを紹介しています。