Cookie規制とは？起こる影響や対策・注意すべきことを解説

Cookie規制という言葉を聞いたことはあるものの、その内容や具体的な対策については十分に理解できていないという人は少なくないでしょう。

ここでは、デジタルマーケティングに関わるすべての人が押さえておくべき Cookie規制の影響やとるべき対策について、わかりやすくまとめて解説します。

1. Cookieとは

Cookie（クッキー）とは、Web サイトにアクセスしたユーザーの閲覧履歴やログイン情報などを記録する仕組み、およびその情報を記録するテキストファイルを指します。

Cookieはユーザーが最初に Web サイトにアクセスしたときに発行され、ユーザーのブラウザにテキストファイルとして保存されます。

1.1. Cookieの必要性

Cookieは、Webサイト運営者とそのユーザーの双方に利便性をもたらします。

Webサイト運営者にとってのCookieは、ユーザーを知るための重要な手段となります。Webサーバーでは、Cookieに含まれる固有のIDを読み取ることで個々のユーザーを識別できます。これによりWebサイト運営者は、どのようなユーザーがどのような経路で何回自社サイトにアクセスしたかなどの情報を入手できます。つまり、Cookieのデータをもとにマーケティング施策を打つことができることになります。

一方、ユーザーも Cookieの利便性を享受することができます。Cookieには、ログイン情報やカートの中身、フォームの入力データなどを記録できます。これにより、同じWebサイトに繰り返しログインする際にIDやパスワードの入力を省略できたり、ネットショップで買いたい商品をしばらくの間カートに残しておいたりすることができます。

1.2. Cookieの種類

Cookieには複数の種類があります。現時点で規制の対象とされているのは、主に3rd Party Cookie（サードパーティークッキー）です。

2. Cookie規制とは

Cookie規制とは、Cookieが保有するユーザー情報の利用を制限する動きのことを指します。日本を含めた各国において、Cookieの利用を制限する法律が定められています。

マーケティングにCookieを活用している企業は、Cookie規制により、ユーザー本人の許可なしにCookieデータを利用することが難しくなってきています。法律に抵触しない範囲でCookieを有効活用するには、Cookie規制についての正確な理解と適切な対策が必要となります。

3. Cookie規制が強化されるようになった背景

本来はWebサイト運営者とユーザーの双方に利便性のあるCookie。その規制強化の背景には、次のような問題意識があります。

3.1. プライバシー保護意識の高まり

Cookieデータからは、ユーザー個人を特定したり行動をトラッキング（追跡）したりすることが可能です。多くのユーザーはこのことを認識していませんでした。

しかし、ユーザーの意図しないところでWebサイトの閲覧履歴やWeb上での行動履歴が収集・活用されることから、プライバシー保護の観点で問題視されるようになりました。

特に、Webサイトを離れたあともユーザーの行動を追跡できる3rd Party Cookieの利用はプライバシーの侵害に繋がるとの見方が広がっています。

3.2. 大手プラットフォーマーの優位的地位濫用への懸念

GAFAM（Google, Apple, Facebook, Amazon, Microsoft）や LINE、Yahoo! などの大手プラットフォーマーは、提供するサービスを介して膨大な個人データを収集できます。収集した個人データをもとにターゲットを絞った広告を打つなどの有効なマーケティング施策が実施できるため、プラットフォーマーによる市場支配力はますます強まる傾向にあります。

これを大手プラットフォーマーの優位的地位の濫用とみなし、ユーザーの意に反した情報の取得や利用を防ぐことを目的に、個人に関する情報の不当な取得や利用を防ぐための規制の網が広がっています。Cookie規制も、こうした規制の一つとみなすことができます。

4. Cookie規制の現状

Cookie規制に関する法的な整備は欧州で始まり、米国へ、そして日本へも広がっています。また、各国におけるCookie規制に対して、ブラウザやツールなどのサービスを提供しているプラットフォーマーの対策も進んでいます。

ここで、海外や日本国内における法的なCookie規制の現状と、グローバルプラットフォーマーにおける対応状況を確認しておきましょう。

4.1. 海外での動き

4.1.1. GDPR

最初のCookie規制といえるのは、2016年発行、2018年5月施行となったEU一般データ保護規則、GDPR（General Data Protection Regulation）です。

EU加盟国にアイスランド、ノルウェー・、リヒテンシュタインを加えた欧州経済地域（EEA）に所在する人のデータを保護するとして、EEAにて取得した個人データをEEA外に移転することを原則禁止としました。

GDPRでは、 Cookie以外にもメールアドレスやIPアドレス、SNSへの投稿などを個人情報として定義しています。こうした個人情報を利用する際には、ユーザー本人から事前同意を得ること（オプトイン）が求められています。同意のないCookieを含めた個人情報の利用は違反とみなされる可能性があります。

なお、日本企業がEEA内で取得した個人情報を扱う場合もGDPRの対象となります。

4.1.2. CCPA

米国におけるCookie規制には、CCPA（California Consumer Privacy Act）があります。カリフォルニア州に所在する人のデータ保護に関する州法で、2020年1月より施行されました。GDPRと同様、Cookieも個人データとして定義されています。また適用対象は日本を含む全世界に及びます。

CCPAでは、Cookieによる個人情報収集や利用についてGDPRのような事前同意は必要ありませんが、収集した個人情報を第三者に提供する場合には、ユーザー本人が拒否（オプトアウト）できる仕組みを用意する義務があります。

現時点での米国におけるCookie規制はCCPAに限られますが、影響力の大きいカリフォルニア州が導入したことにより、今後他州が追随する可能性は高いと考えられています。

4.2. 日本での動き

4.2.1. 個人情報保護法

2022年4月に改正個人情報保護法が施行されました。これにより、Cookieを含む個人関連情報を第三者に提供する場合は、提供元によるユーザーの事前同意が義務付けられました。個人関連情報とは、単体では個人を識別できなくても他のデータと組み合わせることで個人を識別できる情報を指します。

4.2.2. 電気通信事業法

2023年6月には改正電気通信事業法が施行されました。これにより、オンラインサービス事業者が収集するCookieデータを第三者に提供する場合、事前にユーザーに通知する、事前にユーザーの同意を取得（オプトイン）する、あとからユーザーが拒否できる（オプトアウト）仕組みを提供する、のいずれかに対応することが義務付けられました。

4.3. プラットフォーマーの動き

4.3.1. Google

Googleが提供するブラウザ、Cheomeでは、2024年半ばから3rd Party Cookieを段階的に廃止すると発表しています。1st Party Cookieについては、現時点で特に制限はありません。

また、Webサイト訪問者の行動を計測するツール、Googleアナリティクスにおいては、Cookie規制に対応したGA4（Googleアナリティクス4プロパティ）を提供しています。GA4では、Cookie規制の対象である3rd Party Cookieではなく、1st Party Cookieなどを利用して、ユーザーのトラッキングやデータ収集が行えるようになっています。

4.3.2. Apple

Appleでは、2017年にトラッキング防止機能ITP（Intelligent Tracking Prevention）を自社のブラウザSalafiに搭載しました。2022年9月以降、SafariにおいてサードパーティCookieはブロックされるようになっています。

その後、ITPバージョンアップにより、Safariでは1st Party Cookieの保存期間が30日から7日間に短縮されました。

5. Cookie規制によって起こる影響

EUのGDPRに対して、現時点での日本におけるCookie規制は比較的ゆるやかといえます。しかし、GDPRは欧州で事業を展開する日本企業にとっても決して軽視できる規制ではありません。

また、グローバル展開を想定したブラウザやツールではもっとも厳しいとされるGDPRを想定した対策を行なっているものが多いため、そうしたブラウザやツールの利用者は、Cookie規制の影響をすでに受けているといえます。その具体的な影響を解説します。

5.1. Cookie を利用したリターゲティング広告が制限される

リターゲティング広告とは、3rd Party CookieのデータからWebサイトの訪問ユーザーの行動履歴をトラッキング（追跡）して分析した興味・関心に合った広告を配信する、ターゲティング広告の代表的な手法です。

Cookie規制によりデータを取得できなくなると、これまで3rd Party Cookieからのユーザーデータをもとに配信していた広告は大きく制限を受けることになります。

5.2. Cookieを利用したWebサイト訪問者の計測が制限される

3rd Party Cookieを利用すると、Web広告によってユーザーが行動を起こしてくれたコンバージョンが把握できます。Cookie規制によって3rd Party Cookieを利用できなくなると、こうしたWeb広告効果の計測が制限されます。

5.3. ユーザーがCookie取得の許可・拒否を選択できるようにする

Cookie規制によってCookieがすべて使えなくなるわけではありません。しかし、Cookieに含まれる個人データを利用する場合は、ユーザー本人の許可を得る必要があり、Cookieを利用する場合は、自社のCookieポリシーをユーザーに伝える義務があります。さらに、Cookieポリシーを理解したユーザーが、Cookie取得の許可（オプトイン）や拒否（オプトアウト）を自ら選択できるようにする仕組みを用意する必要もあります。

6. Cookie規制への対策

各国のCookie規制の内容が少しずつ異なる中、日本企業には、まずは日本国内の規制に対応することと、Cookie規制対策が実装されたブラウザやツールを有効活用することを検討する必要があります。さらに、現時点のCookie規制に対応するだけでなく、Cookie規制が今後厳格化されることも想定した対策を検討する必要があるでしょう。

そのうえで、マーケティングの観点から企業がとるべき対策をご紹介します。

6.1. サードパーティCookieに依存しない集客手法へシフトする

3rd Party Cookieを使ったリターゲティング広告に依存しない集客、つまり、他社サイトに設置した広告からの流入に頼らない集客体制へのシフトを検討してみましょう。その一つの対策が、自社サイトや自社アプリ、企業公式アカウントによるSNSなどのオウンドメディアを活用していくことです。自社の1st Party Cookieであれば、今後もマーケティングに活用していくことが可能だからです。

オウンドメディアによる集客体制へシフトするには、自社コンテンツや広告クリエイティブの質を高めていくことが重要です。質的向上の取り組みは、Cookie規制への対策にも繋がります。

6.2. サードパーティCookieを使わない測定ツールを利用する

自社Webサイトへのアクセスの測定や解析には、GA4などの3rd Party Cookieを使わないツールを利用します。

例えば、従来のGoogleアナリティクスでは3rd Party Cookieのデータを利用してアクセス解析を行なっていました。一方、最新のGA4では、Cookie規制で制限されていない1st Party CookieのデータとGoogle AIとを組み合わせた解析が可能となります。

6.3. プライバシーポリシーにCookieポリシーを掲載する

Cookieを収集・活用する場合は、プライバシーポリシーにCookieポリシーを掲載します。プライバシーポリシーとは、Webサイトで収集する個人情報や個人関連情報の取り扱いの方針について記載し公開するものです。

プライバシーポリシーに掲載すべきCookieポリシーには、Cookieによって取得するデータの種類や利用の目的、Cookieデータの取得拒否や削除の方法、第三者への提供についてなどを記載します。Cookie規制を含めた個人情報や個人関連情報の取り扱いについて記載するプライバシーポリシーの内容については、法務やコンプライアンスの専門家とともに作成するとよいでしょう。

6.4. Cookie利用の事前同意や拒否の仕組みを検討する

Cookieデータを利用する場合、ユーザーにCookie利用について事前の同意を求めたり、あとから拒否したりすることができるような仕組みを検討します。ただし、現時点の規制においては、すべてのWebサイトにおいて事前同意や拒否の仕組みが必須なわけではありません。Cookie規制と自社におけるCookie利用の形態とを照らし合わせ、どこまでの仕組みが必要となるのかについて検討しましょう。

7. まとめ

Cookie規制を含む個人情報保護に関する法律は今後も変わっていく可能性が高く、その動向を注視していく必要があります。ただ、規制が厳しくなることはあっても、現状の規制が今後緩められることはないでしょう。

Cookie 既成に関する対策を考える際には、最新の規制の内容を正確に理解したうえで、自社に合った対策がとれるよう、しっかりと情報を収集しましょう。