Cookie規制で顧客接点が減る? EC事業者がおさえておきたい3rd Party Cookie規制についてと対応策
2024年2月8日「世の中のさまざまな領域における、データを使った効率化」をミッションに掲げる株式会社インティメート・マージャーが、Cookie規制に関する勉強会(以下、本勉強会)を実施した。
EC事業者が理解しておきたいCookie規制とは?
Cookie(クッキー)とは、WEBサイトを閲覧したときに訪問者が訪れたサイトや入力したデータ等の情報が記録されたファイル(仕組み)のこと(※1)。
情報を記録することで、訪問者は個人情報等の再入力を行うことなく商品購入が可能になる。また、企業側としてもユーザー情報の取得やユーザーの好みに合わせた広告配信などで購買に繋げるなどメリットは大きい。一方でCookieは個人情報も保存しているため、個人情報流失のリスクや不正利用が問題になっている。
こういった問題を受けて、2019年10月にはSafariで3rd Party Cookie(サードパーティークッキー※)の規制、2021年春頃にはWindows Edgeで規制が始まり、2024年夏以降では、Chromeで3rd Party Cookieのサポートを終了するとGoogleが発表している。
株式会社インティメート・マージャー(以下、同社)によれば、Chromeによる3rd Party Cookieの規制は2024年1月4日から行われているという。
「Chromeによる3rd Party Cookie規制が1%程度行われたものの、実際に影響を感じている企業は少ない印象です。背景としてはChromeのブラウザ設定で3rd Party CookieをOFFにしていた人が3~4%いたことが考えられます。ただしWebメディアを運営する企業では、今回の規制により広告単価が半分になったと一部影響が出ていることを耳にしています」(株式会社インティメート・マージャー 代表取締役社長 簗島亮次氏)
※3rd Party Cookie:第3者のドメインから発行されたCookieのこと。サイト閲覧情報を追跡し、他サイト閲覧時でも関連した広告を表示することが可能になる。
※1出典元:Cookie(クッキー)とは?仕組み・種類・目的・設定方法を解説(GMO TECH株式会社)
Cookie規制に欠かせない三つの法律
EC事業者としては、Cookie規制の対応に伴う影響はもちろん、法律の面でも気になることは多いのではないだろうか。
TMI総合法律事務所 弁護士 寺門峻佑氏(以下、寺門氏)は、Cookie規制に関して押さえておきたい主な法律として「個人関連情報(第三者提供時の確認記録義務)」「海外データ保護法(GDPR)」「外部送信規律」の3つをあげた。
個人関連情報の規制内容として、寺門氏は「Cookie IDを発行するDMP事業者等が持つ情報(年齢や性別、興味関心等)と自社企業が持つ個人データである会員情報(氏名や住所、職業、年齢、購買履歴、メールアドレス等)を紐付ける場合が規制の対象となります。情報の紐付けにより、特定の個人に関する詳細な分析が可能になりますが、他方で個人のプライバシー侵害に繋がる可能性があります。このため規制の対象となっており、利用目的を明示した上での本人同意の取得が必要となります」
ただ、Webブラウザから閲覧しているユーザーに対して、個人と紐付けない形でリターゲティング広告を配信する取り組みについては対象外とした。
またEU(欧州連合)が2018年5月に制定した「海外データ保護法(GDPR)」はEU現地に法人がある場合に当該現地法人が遵守すべきことはもちろん、現地法人がなくても、EUユーザー向けのサービスを提供する日本法人やEUビジネスを行う広告主から依頼を受けて、EUユーザー向けに行動ターゲティング広告を配信する企業なども、規制の対象となる。
「EUビジネスに携わる企業の皆さんは、GDPRに加え、『eプライバシー指令』を遵守することが重要です。事業者がCookieを取得するだけでも規制の対象になり、Cookie使用に関する同意取得が必要となります。また、同意取得の方法等についても規制があり、このため、基本的に、CMP(Consent Management Platform)と呼ばれるツールを利用した同意管理が必要となります」(寺門氏)
EC事業者に関わる外部送信規律、対象者や対処法は?
EC事業者にとって、特に確認しておきたいのが「外部送信規律」だ。
そもそも外部送信とは、利用者のパソコンやスマートフォン等の端末に記録された利用者情報を当該利用者以外の者の電気通信設備(Webサーバ等)に送信すること(※2)。これにより、広告配信の最適化やアクセス解析を行うことなどが可能だ。
外部送信規律は、電気通信役務を提供する事業者に対し、当該プログラム等により送信される利用者情報の内容や送信先について、利用者に通知する義務を課すもの。この規律が2023年6月、改正電気通信事業法の施行により新たに求められることになったという。対象者は、ウェブサイト運営者、アプリケーション提供者等の電気通信事業を営む者としている。
「自社商品だけを販売しているECサイトや、購買の手段としてECサイトを利用しているケースは外部送信規律の対象外ですが、ECモールの運営を事業にしている場合やニュースやその他情報配信などのメディア運営を事業にしている場合は規制の対象となります。この外部送信規律の対象者については、非常に判断が難しい場合があります。他方で、規律を遵守することはそれほど困難ではない面があります。そのため、該否の判定で悩むならば対応した方が望ましいと企業さんにはよくお伝えしています」(寺門氏)
外部送信規律の適用対象となった場合、外部送信規律に則った通知事項をポップアップとして表示させるか、対象のウェブサイト上に掲載することが必要だ。掲載内容としては、情報送信内容、送信先事業者の名前、情報提供の目的などがあげられる。
外部送信規律の対応法としては、まず自身が使用しているウェブサイトが外部送信規律に適用されるのか、どんなCookieを使用しているのかを洗い出す必要があるという。洗い出したものを元に、Cookieポリシーを策定し実装まで行うのが一連の流れだ。
ただこの外部送信規律への対応ができている企業は少ないのが現状だという。
「外部送信規律の規制に備えてCookieポリシーを策定し、実装しているウェブサイトは実感として数割程度。そもそも規制に気づいていないウェブサイトも多いのではと感じています。他国と比べても日本の規制は、内容も、違反事例の摘発も、まだ厳しいものではないため、そこも関係していると推測しています」(寺門氏)。
※2 出典元:外部送信規律FAQ(総務省)
Cookie規制を受けてEC事業者が行うこと
Cookie規制がEC事業者へ及ぼす影響は、ユーザーとの接触機会が少なくなることが一つあるという。
「これまで様々な事業者は自社企業で集めたWebアクセスの情報と3rd Party Cookieを紐づけることにより、それぞれのターゲットにあう広告配信ができていました。これが規制されるとパーソナライズされた広告ではなく、サイトに関心のない広告が表示される頻度が増えます。そのため広告収入が比重を占めている企業側にとっては、広告露出が減ることによる売上減少につながっていくと考えます」(簗島氏)
Cookie規制への対策として法律への対応はもちろんのこと、いかに自社が保有するデータを活用し、LTV(顧客生涯価値)を上げていくかが重要となりそうだ。そのためにも、EC事業者は日々事業を行う上で得たレビューや問い合わせ内容などの小さな声をより大切に新たな施策を打っていきたい。
※ 関連記事:ECサイト第4世代へ これからのECサイト運用に必要な要素とは?ecbeingに聞くECカート勉強会