色々なWebサイトを見ていると、Cookieに関する同意を求めるサイトが多くなったと思いませんか?Google Analyticsではトラフィックを分析するためにブラウザから分析に必要な情報を取得します。また、Cookieに間接的にでも個人を識別できる情報が含まれる場合などもあります。
このようなアクセス時にデータを収集する場合、EUのGDPRに準拠するためにユーザーの同意が必要になりました。
GDPRとは何か?
GDPRはEU一般データ保護規則と呼ばれるEUの法規則です。データの収集にはユーザーの明確な同意が必要となっています。Google Analyticsによるアクセス解析のための収集もGDPRの規制対象です。
しかし、EUの法律であれば、日本は関係無いのでは?と思われると思います。筆者もそう考えていたときがありました。しかし、日本にサーバーがある場合でも、ヨーロッパ地域からアクセスされる場合には対象となる場合があります。どこまでが対象となるのかは筆者には不明ですが、欧州経済地域(EEA)のユーザーに対しては同意を求める必要があると思います。
日本の個人情報保護法では?
日本でも改正個人情報保護法が2022年4月に施行されます。ネット上を検索してみると次の記事を見つけました。
こちらの記事を参照すると、Cookieなどの「個人関連情報」を、第三者(例えばGoogle)が個人データとして取得する場合は、本人の同意が必要だそうです。詳細は上記の記事を参照してください。
それを踏まえると、日本でもGoogle Analyticsのトラフィック分析でのCookieの利用については同意が必要となると判断しました。それ以外にも記事の中でYouTubeやInstagram、Twitterなどを埋め込む場合、各サービスがログインずみかどうかを内部で判断している可能性もあると思います。
同意の取り方も重要
同意の取り方も重要なようです。例えば、同意しなければサイトを利用できない(Cookieウォールと呼ばれるそうです)や、スクロールしたり閲覧を実行したら同意したことになるのように明確な同意を取っていない(いわゆるスクロール同意)方法では、GDPRに準拠したことにはならないそうです。
詳細は次の参考記事をご覧ください。
同意管理プラットフォーム(CMP)
筆者の運営しているWebサイトは次の3つがあります。
- アールケー開発 Webサイト(本サイト)
現役のプログラマーが書く プログラミング情報 (アールケー開発テックブログ)Programming Tips From Programmer (アールケー開発テックブログ英語版)
これらのサイトでもGoogle Analyticsを利用しているので、同意を取る必要があります。
その後、Google AnalyticsからCloudflare Web Analyticsに移行したので、CMP不要になりました。詳細はこちら。
その実装方法を検討しました。例えば、次のような方法が候補に挙がりました。
- WordPressのプラグインを利用する方法
- JavaScriptなどで独自に実装する方法
- CMP(同意管理プラットフォーム)を利用する方法
いくつか課題を挙げて、各方法について検討しました。
課題 | WPプラグイン | JavaScript独自実装 | CMP |
---|---|---|---|
コスト | 無料からある | 自分の工数次第 | サブスクで定期的に費用が発生する |
スクリプトのブロック | 可能 | 自分の工数次第 | 可能 |
使用しているCookieの捕捉 | 不明 | 自分の工数次第 | 自動的に定期スキャン可能 |
多言語対応 | 不明 | 自分の工数次第 | 可能だが日本語に対応しているものは比較的高額 |
カスタマイズ機能 | 不明 | 自分の工数次第 | 可能 |
レイアウトの自由度 | プラグイン次第 | 自分の工数次第 | テンプレートから選択だが、色やテキストは自由 |
JavaScript独自実装は自分の工数次第です。しかし、とてもその工数を捻出できない。
WordPressプラグインはまず最初に試してみました。しかし、ページの更新に伴って新たにCookieを使っている場所が増えた場合やプラグインやWordPressのバージョンアップでCookieが増えたり、変わったりした場合に追従し続けるのは困難だと判断しました。
CMPはプラットフォーム側で必要な追従を行ってくれます。また、サイトを定期的にスキャンしてCookieの使用状況を調査し、必要に応じて同意バナーのカスタマイズに追加したり、ブロックの調整をしてくれたりするので、手間がかかりません。
スキャンはサーバーに負荷がけっこうかかるので、定期スキャンをするべきかは、どのような変更がサイトに行われるかなどを元によく検討した方が良いです。
費用はかかりますが、手間がかかりません。
いくつかCMPを比較したのですが、筆者のサイトではCookieYesを導入しました。
プランは無料のFreeプランからありますが、定期的にサイト全体のCookieを自動的にチェックする機能は有料のプランからとなります。有料のプランは複数ありますが、月払いのサブスク形式なので導入しやすいと思います。
その後、CMPが必要なスクリプトの呼び出しやサービス連携を削除したので、CMPが不要になりました。