Column / News Letter



Webマーケティングトレンド通信 2012年12月号

クッキーを利用したウェブ施策に関するグローバルコンプライアンス

今日のWebビジネスに欠かすことのできないクッキー

クッキーは、今日のオンラインにおける活動において不可欠な存在となっています。

例えばECサイトでのショッピングカート、会員登録、ログイン、オンラインバンキング、その他アプリケーションの情報保持を可能にしたりと、クッキーはほぼ全てのオンラインアクションに必要となっています。

また、クッキーはウェブ解析の領域にも使用されています。
例えば、異なるWebサイトの製品やサービスへのアクセスが可視化され、オンライン・オーディエンス測定が可能になります。オンラインビジネス担当マネージャは、これらユーザーの訪問を科学的に分析することによって、最も効率的なウェブコンテンツやウェブサイトの構造または広告配信を適切に選択することができます。

更に、オンラインサービスプロバイダは、施策の中で最も成功した手法を特定することができます。あるいは、チェックアウトや登録プロセスでユーザーを逃すポイントを抽出し評価することができます。例えば、消費者が検索するワードと商品がマッチしていないことを突き止め、改善するといったことです。

クッキーの活用は、デジタルマーケティングの進化において非常に重要な位置づけとなっています。例えば、広告サーバは広告の配信において所定の回数以上、特定のユーザーに同一の広告を表示しないようにしたり、ランディングページを出し分けたりすることができます。

クッキーの種類と課題

クッキーはファーストパーティとサードパーティに分類されます。ファーストパーティクッキーはユーザーが訪問するウェブサイトから直接提供され、ショッピングカートや登録、ウェブ解析などで用いられているのに対し、サードパーティクッキーはアドサーバー事業者やデータベース事業者のような、第三者によって収集されるクッキーで、行動ターゲティングや広告のパーソナライズに利用されます。また一部のウェブ解析ツールに使われることもあります。
ファーストパーティクッキーは常にすべてのブラウザでサポートされていますが、一部のブラウザでは、デフォルトでサードパーティクッキーを無効にします。
クッキーはブラウザやユーザーのファイルシステムに特定の期間保持されます。これにより毎回ログインせずに済むようになります。

また、Adobe Flashで使われるLocal Shared Object、HTML5の保存領域を利用してクッキーと同様のトラッキングをすることが可能です。ユーザには非常に気づかれにくい上に、クッキーが拒否あるいは削除されてもそれらの情報から容易に生成・復元することもできます。これらは総称して「ゾンビ・クッキー」や「スーパー・クッキー」などと呼ばれます

この「スーパークッキー」は、MSN.comやHulu.comやSportifyが合法的なサービスとして利用していますが、違反利用されているのではないかという議論もあります。ユーザにとって、サービスプロバイダがその情報を持つ理由は、わかりづらく、利用用途が不透明です。

スパイウェアクッキーというものがありますが、通常のクッキーと大きく違うものではありません。違うところはユーザーのブラウザの閲覧履歴をユーザーに知らせずに保持してしまうということです。

こんな例もあります。ユーザーは無料のサービスを利用する代わりに個人情報や行動履歴のデータを取得されるというトレードオフがありますが、実際にはユーザーは具体的にそれを理解しないままデータを取得されている、というのが現状です。

各国の法制定への動き

プライバシー保護は先進国において非常に重要視されており、クッキー関連についても例外ではありません。 次に、先進国におけるクッキーに関連する法律制定の動きについてご紹介します。

W3C(World Wide Web Consortium)が最初にクッキー関連のプライバシー保護の規則を策定し、2002年にP3P (“Platform for Privacy Preferences")として制定されました。

この規則はマイクロソフトからのサポートにより、Internet Explorer 6がファーストパーティの永久保存を防止する機能およびサードバーティクッキーをブロックする機能を導入することに直接的な効果を及ぼしました。

ですが、これはウェブに関わる企業や団体から多くの批判を受けることになってしまいました。

欧州連合(EU)の動きはどうだったのでしょうか。1995年に"Data Protection Initiatives"を立ち上げ、その後"Data Protection Working Party" によって2001年にクッキーに関する勧告が行われました。
その内容は、「サードパーティクッキーを提供している企業はその名前をウェブサイト上で公表する義務を課す」というものでした。これはその後 「E-Privacy Directive 2002」として法律化されました。

この「E-Privacy Directive 2002」は、後にアメリカにおいてプライバシー保護に関する「Do Not Track」が出現するまで世界で唯一のものとなりました。

欧州連合(EU)によるクッキー規制関連の動き

2009年、ECは「E-Privacy Directive」の修正を行いました。

ここで強調される点として、

「プライバシー保護の観点からクッキーが使用される場合はユーザーの同意が必要である」

ということ、

「利用する情報をユーザーに具体的に示す必要がある」

ということです。

ただし、例外事項としては「サービスの運営のために運営企業が絶対的にクッキーの利用を必要としている」場合は例外とすることとしました。
この微妙かつ若干曖昧な例外規定はやはり国により解釈や取り扱いが異なっています。例えば、イギリスはWeb解析を除いてこの例外を受け入れませんでした。逆にフランスはこれを受け入れています。

その後、2011年6月までに全EU加盟国は各国の国内法に反映することが義務付けられました。これによりEU圏内で活動している非EU加盟国については、加盟国それぞれの法律を遵守することになります。ベースは 「E-Privacy Directive」 ですが、各国で国内法に反映した段階で微妙に解釈が異なった内容になったため、非EU加盟国でクッキーを提供するサービス会社は複雑な対応を迫られることになりました。

新たな法的枠組みに対するアプローチはどう考えるべきか

プライバシー遵守の今、多くの国が国内法の整備をするために様々な努力をしています。

このような状況下で、クッキーに関わるシステム提供側はどのように対処すればよいでしょうか。重要なことは、各国の様々な法律の中で、これらの共通部分を探し出し、最低限そこにサービスを適用させる必要があるということです。

以下は、クッキーを利用したウェブ施策に関するグローバルコンプライアンスの参考情報です

  1. EU Communications Committeeの勧告 (http://ec.europa.eu/information_society/policy/ecomm/implementation_enforcement/comm_committee/index_en.htm)
  2. EU Data Protection Working Partyの提言 (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_en.pdf)
  3. E-Privacy Directiveの詳しい解釈
  4. 米国の「Do Not Track」内のFTC勧告 (http://ftc.gov/

 

参考文献

GLOVAL COMPLIANCE of cookie-based web analytics activities

このエントリーをはてなブックマークに追加

バックナンバー
Webマーケティングトレンド通信
年別アーカイブ
コラム
お役立ち資料ダウンロード