最近、日本のサイトでも Cookieを受け入れるか否かのバナーを表示するサイトが多くなってきました。改正されても日本の個人情報保護法では、Cookieは個人情報に当たらないため導入が遅れていますが、EU圏に加え、カリフォルニア州でも同様の法律が制定されています。さらに、Appleや Googleも Cookie廃止にシフトしています。「Cookie Notice & Compliance for GDPR / CCPA 」の導入前に、まずは最近の Cookieをめぐるインターネット事情をまとめてみました。
Cookie をめぐる法令
GDPR(General Data Protection Regulation:EU一般データ保護規則)とは
2018年5月25日に施行されたEU域内で適用される個人データ保護やその取扱いについて定められた法令を指します。EU域内で取得した「個人データ」を域外に「移転」することは原則禁止されており、域外へ移転させるには、移転先の国・地域のサイトや企業が適切な保護措置を行っていることが必要です。EU域内で活動する企業だけではなく、EU居住者の個人データを取り扱う企業やサイトは規模にかかわらず対応が必要になります。
CCPA(カリフォルニア州消費者プライバシー法)とは
2018年6月にカリフォルニア州で成立したプライバシー保護法です。CCPAは2020年1月1日から施行され、カリフォルニア州司法省の取締りは2020年7月1日から開始となっています。
カリフォルニア州住人の個人情報( Cookieやインターネット閲覧履歴、キー入力パターンなどの生体情報、位置情報など)を対象にしています。位置情報も個人情報に定義している点では、GDPRより厳しいものとなっています。
GDPR・CCPA・改正個人情報保護法との比較
GDPRと CCPAでは Cookieやオンライン識別子(IPアドレス、購入履歴、ウェブサイトの閲覧履歴)等も個人情報に定義していますが、日本の改正個人情報保護法(2020年6月5日)では Cookieを「個人関連情報」とし個人を特定できない要素と定義しています。そのため日本国内で日本人のみをユーザとしているサイトは Cookieの同意を取る必要はありませんが、EUやカリフォルニア州内のユーザから Cookieなどの情報を収集しているサイトは問題になります。
Cookie をめぐるブラウザの動向
Google はサードパーティ Cookieの廃止を発表
2020年1月、Googleは開発者ブログである「Chromium Blog(クロミウム ブログ)」の中で、Chromeブラウザでのトラッキング用サードパーティ Cookieのサポートを2年以内に打ち切る計画を発表しました。サードパーティ Cookieは異なるサイトにまたがるユーザの行動を追跡する「クロスサイトトラッキング」を可能にするものです。Chromeは「個人情報保護を前提として、広告に支えられた無料のインターネット世界を維持する」という考えに基づき、「新たなエコシステム」を構築目指すということです。Cookieのサポート終了時期は明示されてませんが、2022年1月頃にはサードパーティ Cookieのサポート終了が予測されています。
なお、Microsoft Edgeは現在、Chromeと同じ「Chromium」ベースで再開発されており、名称は変わってませんが中身は Chromeですので、同時期にサポートを終了すると思われます。
Apple は Safariでサードパーティ Cookieを既にブロック
2017年以来、Safariに導入された ITPはユーザのプライバシーを保護する目的で、段階的にサードパーティ Cookieをブロックする機能を追加してきました。そして2020年3月24日、Appleは Safariのアップデートでサードパーティ Cookieを完全にブロックするようになりました。
この結果、クロスサイトリクエストフォージェリ攻撃を無効化できるようになりましたが、インターネット広告業者は Cookieを用いてクロスドメイン間のユーザ行動を追跡できなくなりました。
WordPress プラグイン「Cookie Notice & Compliance for GDPR / CCPA」の導入
「Cookie Notice & Compliance for GDPR / CCPA」プラグインは、Cookie同意バナーを簡単にWordPressへ導入できるプラグインです。GDPRと CCPAのどちらにも対応しており、有償版と無償版があります。2021年3月現在、Cookie 関連でダウンロード数が最も多いプラグインです。
また、「Cookie Notice & Compliance for GDPR / CCPA」は、デフォルトで日本語対応がされているので、有効化するだけで日本語化されます。
インストール
インストールは簡単です。
- 「プラグイン」>「新規追加」をクリックします。
- 「プラグイン」>検索窓より「Cookie Notice & Compliance for GDPR / CCPA」を検索します。途中まで入力すれば、サジェスチョンが出ます。
- 「今すぐインストール」をクリックします。
「有効化」します。
設定
左メニュー「Cookies」をクリックします。
「Add GDPR/CCPA Compliance」ボタンをクリックします。
「Launch Live Demo」ボタンをクリックします。通知バナーをプレビューしながら設定をすることができます。
「Banner Compliance」
「Select the laws that apply to your business」:GDPR、CCPA、どちらも選択しない、またはどちらも選択するの4択から選びます。選択によって、プレビューのメッセージサンプルが変わります。メッセージサンプルは日本語化されていません。
「I use personalization services on my site」:自分のサイトでパーソナライズサービスを使用しているかどうか。
※パーソナライズサービスとは、ECサイトのように、ユーザのアクセス履歴から趣味嗜好を予測し、レコメンドを提供するような機能を持ったサイトを指します。
「I collect and analyse information about my website’s traffic」:自分のサイトでアクセス解析をしているかどうか。
「I run target ads on my site using, for example, Google Adsense」:自分のサイトで Google Adsense 等のターゲット広告を使用しているかどうか。
Banner Design
「Banner Design」では、バナーの位置と背景色などのデザインを選択します。
設定が完了したら「Add Compliance」ボタンをクリックして、大まかな設定は完了です。
詳細設定
無償プランと有償プランがあります。無償プランでもアカウントの作成は必要です。入力欄にログインIDとPassがセットされていますが、セキュリティ上、別途作った方が良いと思います。
Notice Settings
- 「メッセージ」:ここに設定した文章がバナーに表示されます。
- 「ボタンテキスト」:同意(拒否)ボタンに表示する文言を設定します。
- 「プライバシーポリシー」:プライバシーポリシーへのリンクを記載するかどうか。
- 「Refuse consent」:サードパーティによる Cookie拒否の選択肢を表示するかどうか。
- 「Revoke consent」:拒否ボタンを表示するかどうか。「Refuse consent」オプションを有効にする必要があります。「Revoke consent」を有効にした場合は「ブロックされるスクリプト」を入力します。
プライバシーポリシーにチェックを入れると、プライバシーポリシーへのリンクに関する設定が表示されます。プライバシーポリシーへのリンクを設定する場合は、プライバシーポリシーページを先に作っておきます。WordPressには固定ページにサンプルが既にありますので、自身のサイトに合わせて修正すると良いと思います。
「Refuse consent」と「Revoke consent」にチェックを入れた場合は、上図のような表示になります。
- 「再読込」:ユーザの同意後にページをリロードできるようにするかどうか。
- 「スクロール時」:ユーザの画面スクロールをもって、通知の受け入れとするかどうか。
- 「On click」:ユーザがページの任意の場所をクリックしたことで通知の受け入れとするかどうか。
- 「Accepted expiry」:ユーザが通知を同意した場合の Cookieの保存期間を選択します。
- 「Rejected expiry」:ユーザが拒否した場合の Cookieの保存期間を選択します。
- 「スクリプト位置」:スクリプトをどこに挿入するかを選択します。
- 「無効化」:プラグインを無効化した場合、プラグインの設定をすべて削除するかどうか。
Notice Design
- 「位置」:バナーの表示位置を選択します。
- 「アニメーション」:アニメーション効果を選択します。
- 「ボタンスタイル」:ボタンのスタイルを選択します。
- 「ボタン class」:ボタンに CSSクラスを指定できます。
- 「カラー」:文字色とバーの背景色を選択します。
最後に「変更を保存」して完了です。
