With Cookie時代の顧客同意管理の進め方〜改めてCookieを理解した上で、コンプライアンスに沿った同意管理を実現する

　
2021年10月7日に実施されたオンラインセミナー「改正個人情報保護法の下での企業の新たなCookieとの付き合い方」では、西村あさひ法律事務所のパートナーである石川智也弁護士と、アンダーワークス代表取締役の田島学が、それぞれ法的観点とデジタルマーケティングの観点からCookieの取扱い方について解説しました。

レポート後編では、田島の解説「With Cookie時代の顧客同意管理の進め方～改めてCookieを理解した上で、コンプライアンスに沿った同意管理を実現する～」をお届けします。石川弁護士による法的観点から見たCookie規制の解説については、前編をご覧ください。

（スピーカー＝アンダーワークス田島学、文＝宿木雪樹、編集＝DMJ編集部）

改めてCookieとは何かを理解する

Cookieとは、Webサイトの訪問者（訪問に使われたブラウザ）を識別するためのID、またはその仕組みを言います。Cookieはブラウザごとに識別されるため、もしも一人のユーザーが別のブラウザで、たとえばGoogle ChromeとFirefoxで同じページを見た場合は、それぞれが別のユーザーとしてカウントされます。

もともとCookieが活用され始めたのは、ECサイトのセッション管理のためでした。例えば、ログインせずに商品をカートに入れた後、別ページを閲覧して違う商品をカートに追加し、その後ログインしてそれらの商品をまとめて購入するといったケースを想像してみてください。この場合、Cookieがなければ一連の流れは一人のユーザーによる履歴だと判別できません。こうした問題を解決するために用いられていたので、元来のCookieはオンラインサービスを実現するための基幹技術であったと言えるでしょう。

そんなCookieがマーケティング領域に活用されるようになったのは、実はここ10年くらいのことです。マーケティング関連のクラウドサービスが普及したことにより、Webサイトの行動履歴から最適化された広告を掲出したり、顧客接点に活かすなどの技術が普及し、Cookieの活用領域は多岐にわたるようになりました。
（Cookieをもっと知るには「いまさら聞けない、Cookieって何？」もおすすめです。）

Cookieの仕組み

次に、Cookieの仕組みを解説します。ユーザーが初めてWebサイトに訪問したとき、そのユーザーのブラウザには、Cookieデータが自動で保存されます。それにより、Webサイトはユーザーを識別し、以降の行動履歴を把握できるようになります。

Google Chromeにプラグインを追加してみると、自動保存されるCookieデータを実際に確認することができます。保存されているCookieデータは、Cookie名や設定値、ドメイン名が書かれた小さなテキストファイルの形をしています。

1st Party Cookieと3rd Party Cookie

Cookieは1st Party Cookie（ファーストパーティクッキー）と3rd Party Cookie（サードパーティクッキー）に分類されます。
1st Party Cookieとは、Cookieが発行されたWebサイトのドメイン内でのみユーザーをトラッキングできるCookieです。例えば、Webサイトに設置したチャットボット機能などで閲覧履歴を元にフォローをしたり、MAツールとCookieデータを連携させて顧客サービスに役立てたりするときは、この1st Party Cookieを活用します。

一方、3rd Party Cookieは、Cookieが発行されたWebサイト以外のドメインでもユーザーをトラッキングできるものです。例えば、あるECサイトで商品を見たあとに他のWebサイトを閲覧した際に、再び広告欄にその商品が出てくるといったときは、この3rd Party Cookieが使われています。
これはリターゲティング広告と呼ばれる手法で、一つのWebサイトのCookieが他のWebサイトにも自動的に共有されることで実現されます。

現在、主な規制の対象となっているのは、後者の3rd Party Cookieです。Apple（Safari）はすでに3rd Party Cookieを使用できないようにしており、Googleも2023年後半までには3rd Party Cookieを廃止すると宣言しています。
一方、1st Party Cookieは、今のところは有効期限の規制が進んでいますが、それ自体は今後も利用され続ける可能性が大きいと考えます。したがって、「クッキーレス」といった話題で挙げられるCookieは、主に3rd Party Cookieのことであるという認識を持っておくと良いでしょう。

マーケティングツールはJavaScript経由でCookieを発行

ブラウザに自動で埋め込まれるCookieを可視化できるツールを使ってみると、デジタルマーケティングに力を注いでいる企業のWebサイトであればあるほど、訪問者に対して多数のCookieを発行していることがわかります。
ある航空会社のWebサイトでは、トップページを訪問した時点で50個以上のCookieが埋め込まれました。これほど多くのCookieが埋め込まれる大きな理由として、多くの企業がJavaScript型のCookieを用いるマーケティングツールを利用していることが挙げられます。

ブラウザにCookieを埋め込む方法は、主に二つあります。一つは、WebサイトのホストであるWebサーバーが直接埋め込む方法で、この場合は仕組みがシンプルなので、埋め込むCookieの数は多くありません。一方で、近年多く使われているのはJavaScript型と呼ばれるCookieです。JavaScript型のCookieは、JSタグを介してCookieを埋め込みます。

JavaScriptはWebサイト上でデータを取得するときや、オンマウスで動作するメニューアクションなどを作るときに用いられます。この中で、マーケティングツールに用いるデータ取得を行うためのJavaScriptは、一般的にベンダー側から指示されてWebサイトのHTML内に貼り付ける形になります。このJavaScriptが、Webサイトを訪問したユーザーに大量のCookieを発行します。

したがって、今後Cookieに関する同意取得などの個別事案に対応するためには、自社のWebサイトにどのマーケティングツールがどのようなJavaScriptを埋め込み、どんなCookie情報を取得しているのかを把握する必要があります。

マーケティングテクノロジーと自社内の管理者の課題

ところで日本国内で利用できるマーケティングツールは、2021年現在で1,300以上存在します（マーケティングテクノロジーカオスマップJAPAN2021、アンダーワークス調べ）。そのほとんどがクラウドで提供されており、先ほど解説したJavaScriptを埋め込む形で動いています。今後も同様のマーケティングツールは増え続け、利用する企業も多くなっていくでしょう。

では、こういったマーケティングツールを導入するとき、社内では誰がそのツールについて把握しているでしょうか。ガートナーの調査によると、米国の24%の企業では、マーケティングツールの選定や管理がマーケティング部門内で完結しており、IT部門の担当者はマーケティングツールの実情を把握できていないという結果が示されています。

利用しているマーケティングツールのブラックボックス化は、近年デジタルマーケティング領域の課題として取り上げられることが多いテーマです。Cookie管理の本質は、こうしたマーケティングツールをどれほどガバナンスできるかにかかっています。

マーケティングデータの統合とCookie

アンダーワークスの「マーケティングデータマネジメント取り組み実態調査 2021年版」の結果によると、マーケティングデータを統合し管理していくことについて、およそ9割の企業が重要だと考えていることがわかりました。データを単に取得するだけではなく、それを解析したりAIに分析させることが一般的になっているといえるでしょう。

データ管理の具体的な内容としては、あらゆる顧客接点のデータを一つのプラットフォームに統合させる流れが強まっています。例えばDSP（デマンドサイドプラットフォーム）などを介してデジタル広告から得られたデータを単体で広告に活用するだけでなく、MAのデータやWebサイトの閲覧履歴、コールセンターのログデータなどを掛け合わせることで、顧客フォローの手法や対象を最適化するといったトレンドが浸透しつつあります。

例えばCDP（カスタマーデータプラットフォーム）には、Cookieやメール、携帯電話番号など、さまざまなキーから生じた顧客データが集積されます。ここで考えていただきたいのが、それらのデータと組み合わせられるCookieの扱いについてです。

ここで課題提起したいのは、今は個人情報となんら関係のないCookieでも将来的には個人情報と紐付けられるのではないかということです。同意取得せずに取得したCookieは、活用の手段を広げるために個人情報と紐付けられた際には利用できません。そうすると、CDPの中にそのCookie情報は入れられないということになります。

あらゆる顧客データを紐付け、マーケティングデータを統合管理する形がスタンダードになりつつある昨今、Cookie規制への対策は極めて重要な事前準備である可能性を十分考慮する必要があります。

コンプライアンスとマーケティングの観点におけるCookie規制対策

Cookie規制への対策については、コンプライアンスとマーケティングそれぞれの観点から検討する必要があります。まずコンプライアンスの面では、国内の方立と照らし合わせてどうなのか、海外の法律と照らし合わせてどうなのか、それぞれを鑑みて規制を遵守することになります。ただし、各社の業態やデータの扱いによって最適解は異なる点には注意が必要です。

次に、マーケティングやブランディングの観点からCookie規制対策を考えてみます。まず、自社の顧客や潜在顧客が、Cookie規制対策をどこまで理解しているかが課題になります。特にBtoCの商品を扱う場合、Cookie規制対策について全ユーザーに正しく理解をしてもらうハードルは高いでしょう。また、今後は取得同意のポップアップが出ないだけでユーザーが危険性を感じる可能性が上がったり、競合他社の多くがCookie規制対策に積極的である場合、対策への差が自社の信頼に傷を付けるケースも考えられます。

こうしたケースも想定すると、法的に問題がなければCookie規制対策はしなくても良い、とは一概には言えません。Cookie規制対策をすること、あるいはしないことが、将来的に自社にどんな影響を及ぼすのか議論し、それぞれ自社に合った戦略を立てることが重要です。

Cookie規制対策の具体的な進め方

Cookie規制対策は「アセスメント」、「方針策定・CMP選定」、「ポリシー改訂・CMP導入」の3つのフェーズで推進します。

まず、Webサイト全体でどのようなマーケティングツールが実装されているのかを洗い出し、対応が必要なJSタグを確認します。また、プライバシーポリシーのアセスメントも行います。ポリシーについては、複数のドメインでそれぞれ異なる内容のプライバシーポリシーを掲載している、またはCookieポリシーがないといった不備がよく見られるので注意が必要です。

現状を把握できたら、プライバシーポリシーやCookieポリシーの変更要件をまとめるとともに、利用するCMP（同意管理プラットフォーム）を選定します。最後に、変更要件に応じて改訂したプライバシーポリシーに対してリーガルチェックを行うとともに、CMPの導入を行います。

上記のCookie規制対策には、リーガルとテクノロジー双方の高度な専門知識が求められるほか、グローバル対応という変数が加わることも念頭に置き、しかるべき専門家の意見を取り入れながらプロジェクトを推進する必要があるでしょう。
　

　
以上、オンラインセミナー「改正個人情報保護法の下での企業の新たなCookieとの付き合い方」の内容を、前・後編にわたってご紹介しました。
2022年4月の改正法施行まであと少しとなりましたが、今後もDMJでは、海外法の動向や最新のCMPについての情報などをお届けしていまります。