Cookie同意のバナーについて

色々なWebサイトを見ていると、Cookieに関する同意を求めるサイトが多くなったと思いませんか?Google Analyticsではトラフィックを分析するためにブラウザから分析に必要な情報を取得します。また、Cookieに間接的にでも個人を識別できる情報が含まれる場合などもあります。

このようなアクセス時にデータを収集する場合、EUのGDPRに準拠するためにユーザーの同意が必要になりました。

筆者は法務の専門家ではありません。間違っている可能性もありますので、他の解説サイトや法務の専門家の見解も確認してください。

目次

GDPRとは何か?

GDPRはEU一般データ保護規則と呼ばれるEUの法規則です。データの収集にはユーザーの明確な同意が必要となっています。Google Analyticsによるアクセス解析のための収集もGDPRの規制対象です。

しかし、EUの法律であれば、日本は関係無いのでは?と思われると思います。筆者もそう考えていたときがありました。しかし、日本にサーバーがある場合でも、ヨーロッパ地域からアクセスされる場合には対象となる場合があります。どこまでが対象となるのかは筆者には不明ですが、欧州経済地域(EEA)のユーザーに対しては同意を求める必要があると思います。

日本の個人情報保護法では?

日本でも改正個人情報保護法が2022年4月に施行されます。ネット上を検索してみると次の記事を見つけました。

こちらの記事を参照すると、Cookieなどの「個人関連情報」を、第三者(例えばGoogle)が個人データとして取得する場合は、本人の同意が必要だそうです。詳細は上記の記事を参照してください。

それを踏まえると、日本でもGoogle Analyticsのトラフィック分析でのCookieの利用については同意が必要となると判断しました。それ以外にも記事の中でYouTubeやInstagram、Twitterなどを埋め込む場合、各サービスがログインずみかどうかを内部で判断している可能性もあると思います。

同意の取り方も重要

同意の取り方も重要なようです。例えば、同意しなければサイトを利用できない(Cookieウォールと呼ばれるそうです)や、スクロールしたり閲覧を実行したら同意したことになるのように明確な同意を取っていない(いわゆるスクロール同意)方法では、GDPRに準拠したことにはならないそうです。

詳細は次の参考記事をご覧ください。

同意管理プラットフォーム(CMP)

筆者の運営しているWebサイトは次の3つがあります。

  • アールケー開発 Webサイト(本サイト)
  • 現役のプログラマーが書く プログラミング情報 (アールケー開発テックブログ)
  • Programming Tips From Programmer (アールケー開発テックブログ英語版)

これらのサイトでもGoogle Analyticsを利用しているので、同意を取る必要があります。

その後、Google AnalyticsからCloudflare Web Analyticsに移行したので、CMP不要になりました。詳細はこちら

その実装方法を検討しました。例えば、次のような方法が候補に挙がりました。

  • WordPressのプラグインを利用する方法
  • JavaScriptなどで独自に実装する方法
  • CMP(同意管理プラットフォーム)を利用する方法

いくつか課題を挙げて、各方法について検討しました。

課題WPプラグインJavaScript独自実装CMP
コスト無料からある自分の工数次第サブスクで定期的に費用が発生する
スクリプトのブロック可能自分の工数次第可能
使用しているCookieの捕捉不明自分の工数次第自動的に定期スキャン可能
多言語対応不明自分の工数次第可能だが日本語に対応しているものは比較的高額
カスタマイズ機能不明自分の工数次第可能
レイアウトの自由度プラグイン次第自分の工数次第テンプレートから選択だが、色やテキストは自由
検討結果

JavaScript独自実装は自分の工数次第です。しかし、とてもその工数を捻出できない。

WordPressプラグインはまず最初に試してみました。しかし、ページの更新に伴って新たにCookieを使っている場所が増えた場合やプラグインやWordPressのバージョンアップでCookieが増えたり、変わったりした場合に追従し続けるのは困難だと判断しました。

CMPはプラットフォーム側で必要な追従を行ってくれます。また、サイトを定期的にスキャンしてCookieの使用状況を調査し、必要に応じて同意バナーのカスタマイズに追加したり、ブロックの調整をしてくれたりするので、手間がかかりません。

スキャンはサーバーに負荷がけっこうかかるので、定期スキャンをするべきかは、どのような変更がサイトに行われるかなどを元によく検討した方が良いです。

費用はかかりますが、手間がかかりません。

いくつかCMPを比較したのですが、筆者のサイトではCookieYesを導入しました。

プランは無料のFreeプランからありますが、定期的にサイト全体のCookieを自動的にチェックする機能は有料のプランからとなります。有料のプランは複数ありますが、月払いのサブスク形式なので導入しやすいと思います。

その後、CMPが必要なスクリプトの呼び出しやサービス連携を削除したので、CMPが不要になりました。

関連性が強い記事

著書紹介

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

Akira Hayashi (林 晃)のアバター Akira Hayashi (林 晃) Representative(代表), Software Engineer(ソフトウェアエンジニア)

アールケー開発代表。Appleプラットフォーム向けの開発を専門としているソフトウェアエンジニア。ソフトウェアの受託開発、技術書執筆、技術指導・セミナー講師。note, Medium, LinkedIn
-
Representative of RK Kaihatsu. Software Engineer Specializing in Development for the Apple Platform. Specializing in contract software development, technical writing, and serving as a tech workshop lecturer. note, Medium, LinkedIn

目次