クッキーポリシーとは?何を記載すればいい?
2022年4月に改正個人情報保護法が施行されました。Cookieはユーザーの情報を保存し、追跡し、共有できるので、Cookieの収集や保存された情報を第三者へ提供する場合は、ユーザーの同意を得ることが義務づけられています。
これに伴い、クッキーポリシーを作成し設置することが求められます。ここでは、クッキーポリシーが何かを理解し、クッキーポリシーに記載すべき内容について解説します。
クッキーポリシーとは
クッキーポリシーとは、Cookieの利用目的や利用方法をユーザーに対して説明する文章、または、そのページのことです。日本では2022年4月1日に改正個人情報保護法が施行され、Cookieを第三者に提供する際にはユーザー本人の同意を得ることが義務付けられました。
この法改正に伴い、ホームページにはクッキーポリシーを正しく表示することが必要となっています。
なぜクッキーポリシーが必要なのか
前述の改正個人情報保護法の施行によってCookie収集や保存された情報を第三者へ提供する場合、本人の同意を得なければならなくなったためです。
さらに、2023年6月には改正電気通信事業法が施行され、Cookie規制と同義の外部送信規律が設けられました。これにより電気通信事業者または第三号事業を営む者がCookieを利用者の端末以外のサーバーに送信する際、利用者に対する情報提供と一定の対応が求められています。
海外ではもっと厳しく、EU加盟国ではGDPR(EU一般データ保護規則)により、Cookie取得自体にユーザー本人の同意が必要です。またCPRA(米国カリフォルニア州)でもCookieは個人情報に該当し、取得にはポリシーをはじめ情報の明示が必要とされています。
クッキーポリシーへの取り組みは今後日本でも厳格化されると予測されています。
GDPRに抵触するとどうなる?
日本企業であってもEU・米国でサービス提供などを行っている場合には、GDPR・CPRAに則りクッキーポリシーを作成する必要があります。日本企業や日本に本社を置く企業であっても、GDPRに抵触すればペナルティの対象となるので注意してください。
GDPRに違反した場合の制裁金の基準は、「企業の全世界年間売上高の2%、または、1,000万ユーロのいずれか高い方」となっており、日本円にすると少なくとも約12億円が科せられます。
過去に100〜200億円の支払いを命じられた事例もあるため、EU・米国で事業やサービス提供を行う企業はGDPR・CPRAを確認の上、クッキーポリシーを作成しましょう。
クッキーポリシーに記載する内容
書き方にとくに決まりはありません。そのため記載する内容は事業者の判断に委ねられることになります。以下で一般的にクッキーポリシーに記載する項目を紹介します。
Cookieとは何か
そもそもCookieが何か、ユーザーが理解しなければ適切な同意を得ることができません。そのため、クッキーポリシーの冒頭ではCookieとは何か、仕組みや種類、WEBビーコンなどについて解説します。自社のCookie利用状況に応じて、ユーザーへどのように説明するかを考えましょう。
Cookieの利用目的
クッキーポリシーにはCookieを何に利用するのか、その目的を記載します。ユーザーには、提供する情報がどのように活用されるかを知る権利があるためです。例としては以下のようなものがあります。
- ホームページ利用状況の分析
- 広告配信のためのデータ収集
- 利用者の認証
- カスタマイズされた体験提供
など
収集する情報の種類や保存期間
収集する情報がどのような種類なのか、保存期間はどのくらいなのかも合わせて記載します。集める情報の種類や保存期間が変わった場合には、クッキーポリシーの更新も必要です。
Cookieの拒否方法
ユーザーがCookieの利用を拒否することができるよう、その方法も提示するようにしましょう。
主な方法は、主要ブラウザの設定変更が記載されたページへ飛べるリンクを設置することです。
必要に応じてアクセス解析ツールの提供先企業情報とプライバシーポリシー、オプトアウトアドオンへのリンクも設置しましょう。
クッキーポリシーの例
クッキーポリシーの例として、LION(ライオン株式会社)のクッキーポリシーを紹介します。
- クッキーについて
クッキーとは何かを説明し、クッキー自体にユーザーの名前・住所・電話番号・電子メールアドレスなどの個人情報が含まれないことを明示してます。 - 収集した情報の利用目的
クッキー使用の目的は、データ解析、統計化、販売促進であることを明記しています。クッキーを利用することで次回アクセスの時間短縮になるユーザーのメリットも説明しています。また特定の個人を識別する情報は含まれないこと、もし個人データとして取得する場合には、本人の同意を得ることを記載しています。 - 収集した情報の提供
クッキーによって収集した情報からユーザーを分類し、その情報を広告配信事業者や媒体社などへ提供する場合があることを説明しています。 - 第三者からの情報の取得
クッキーによって収集した情報を、特定の個人が識別されない形で第三者から取得し、自社が取り扱う情報と組み合わせて利用していることを説明しています。 - サイトアクセス解析のためのサービス利用
利用しているサイトアクセス解析を記載し、各サービスポリシー等へリンクで飛べるように設置しています。 - 当社で利用する主な広告配信サービス
利用している主な広告サービスを提示しています。 - クッキーの削除および受け取り拒否方法
ユーザーがクッキーを無効化したり、削除できる方法を明示し、オプトアウトしたい場合のクッキー設定をリンクで設置しています。
クッキーポリシーを理解し作成・設置しよう
国内においても、法律により個人情報の取り扱いが厳格化されています。海外ではすでにクッキーポリシーに関する罰則があり、クッキーポリシーの作成・設置は必須となっています。自社にマッチしたクッキーポリシーを作成・設置し、定期的に見直して更新していくことが大切です。
下記のページではCookieの同意を求めるポップアップ表示について解説しています。あわせて参考にしてみてください。