GDPR対応! Cookie同意ポップアップをグローバルサイトに設置した話

M.Mori

Cover Image for GDPR対応! Cookie同意ポップアップをグローバルサイトに設置した話

こんにちは、KINTOテクノロジーズの森です。ブログを書くのは共著も合わせるともう10回目になりました。驚きです。
ほとんどがイベントレポートなのですが、今回は久しぶりに実務のお話です😎

さて、私は普段、グローバル開発部でGlobal KINTO WebのPdMと個人情報関係のタスクリードを務めております。個人情報関係は主に各国KINTOサービスのユーザープール関連で入ることが多く、Webサイトの話とはあまり交わらなかったのですが、今回WebでもGDPR対応しましたのでそのお話です。ようやく２つの本業が交わるときがやってまいりました👏👏👏

ユーザープール関係で発生したグローバルデータ移転にGDPR等個人データ関連法の対応をしたお話は私の前回の記事をご参照ください。記念すべき初執筆で、ガチガチな文章なのがおもしろいです😂笑
KINTOのグローバル展開におけるGDPR等個人データ関連法対応

そもそもGDPRとは？対象は？

この執筆にあたり、前回記事を読み直していたのですが、肝心の 「GDPRとは？」 が抜けていました。なんてこった🤦 改めてご説明します。

GDPRとは、正式にはGeneral Data Protection Regulation（一般データ保護規則）という名称の法令です。欧州連合（EU）および欧州経済領域（EEA）において、個人データ保護や処理に関して詳細に取り決めています。その目的は域内に居住している人の個人データを保護することです。国籍ではなく、「居住者」が対象です。

欧州企業はもちろん対象となりますが、欧州域外の企業であっても以下の場合は対象となります。

欧州域内に拠点（子会社など）がある場合

欧州向けに商品やサービスを提供している場合

欧州個人データの取り扱いを委託している場合

たとえば、英語のWebサイトだとしても、欧州顧客をターゲットとしてないのであれば対象とならないケースもあります。一方で、インバウンド顧客をターゲットとしたサービスなどは対象となる可能性が高いです。

Global KINTO WebとGDPR対応

Global KINTO Webは世界40か国以上で展開するKINTOサービスのブランドサイトという位置づけです。KINTOは欧州でも多くの国でサービス展開をしているので、欧州のお客様もこのサイトのターゲットです。そのため、GDPR対応は避けられません。
もちろん、リリース時にもプライバシーポリシー等整備していましたが、当初とは運営体制が変わったり、機能が追加されたり、法令も改正されたりと、状況が変わったため、外部法律事務所の力を借りて今回再整備することとなりました。

Global KINTO Webでは問い合わせフォームで問い合わせいただく際にお客様のお名前やメールアドレス、電話番号などの情報を取得している他、サイト改善に役立てるためにCookieも取得しています。
このCookie、日本では「個人関連情報」と位置付けられていますが、GDPRでは「個人情報」の扱いです。ですので、Cookieを取得しているだけでも欧州をターゲットとしていればGDPR対応は必要になります。尚、Cookieについて、GDPR本文ではRecital30に軽く言及されているだけで、その詳細についてはePrivacy指令（EPD）通称Cookie法で具体化・補完されています。

では、Cookieを取得しているWebサイトは何をしないといけないでしょうか？🤔
具体的には以下です。

Receive users’ consent before you use any cookies except strictly necessary cookies.

Provide accurate and specific information about the data each cookie tracks and its purpose in plain language before consent is received.

Document and store consent received from users.

Allow users to access your service even if they refuse to allow the use of certain cookies

Make it as easy for users to withdraw their consent as it was for them to give their consent in the first place.
(引用) Cookies, the GDPR, and the ePrivacy Directive - GDPR.eu

Strictly necessary cookieを除いて、Cookie取得の前にユーザーから同意を得る

同意を得る前にCookieが追跡するデータとその目的について、正確で具体的な情報をわかりやすい言葉で提供する

ユーザーから受け取った同意情報を保管する

ユーザーが特定のCookie取得を拒否してもサービスを利用できるようにする

ユーザーが同意を取得したときと同じように、同意を簡単に撤回できるようにする
(筆者翻訳)

GDPR対応ではプライバシーポリシーの整備なども求められますが、Cookieにおいては上記のようなことが別途求められます。皆さんもいろいろなWebサイトを見てCookie取得に関するポップアップ（Cookie同意ポップアップ）やバナーを見かけると思いますが、主にアレです。

Cookieはその用途のカテゴリとして４つの区分に分けられます。

カテゴリ	内容
Strictly necessary cookies (厳密に必要なクッキー)	サイトが正常に機能するために必要なクッキー。例えばECサイトのカート内商品を保持したり、言語設定をキープしたりするのもこのクッキーの一例です。このクッキーを止めるとサイトが正常に機能しなくなります。ユーザーの同意は不要です。また、個人を特定できる情報を保存することはありません。
Functionality cookies (機能性クッキー)	ユーザーが過去に行った選択を記憶することでパーソナライズするクッキー。例えばどの地域の天気情報が必要か、ユーザー名は何か、など。Preferences Cookiesとも呼ばれます。個人を特定できる情報を保存することはありません。
Performance cookies (パフォーマンスクッキー)	主にサイト改善のために利用されるクッキー。どのページを訪れたか、どのリンクをクリックしたかなどのサイト利用情報を収集します。すべて匿名化され、個人を特定できる情報を保存することはありません。Statics Cookiesとも呼ばれます。
Targeting cookies (ターゲット型クッキー)	ユーザーの興味からパーソナライズされた広告を表示します。広告のパフォーマンスを測定するために他の広告主と共有することができます。ターゲティングクッキーは、主に広告に使用されるため、Advertising Cookies (広告クッキー)とも呼ばれます。

Global KINTO WebではこのうちStrictly necessary cookiesとPerformance cookiesを取得しています。Strictly necessary cookiesは例えば言語設定の保持や、カート内のアイテム情報保管など、システムを正常に動かすために必要なので同意は不要です。しかし、Performance cookiesに関しては同意の取得と簡単に撤回できる仕組みが必要でした。

Cookie同意ポップアップの設置によって、今まで取れていたユーザーデータの母数がかなり減ってしまうことが懸念されました。理由として、Cookieというよくわからない情報を取得されることに不安を感じてCookieの取得を拒否するユーザーはかなり多いためです。画面に何度も表示されて邪魔なのでとりあえず拒否🙅‍♀️！なんて方もいるのではないでしょうか？

そこで、このCookie同意ポップアップの必要性について改めて紐解きました。先述の通り、欧州GDPRでは必須となりますが、日本法の（改正個人情報保護法や電気通信事業法に基づくCookie規制）の解釈ではこのポップアップも不要な場合があります。Global KINTO Webについても、欧州は必要だけどそれ以外は不要という判断となりました。尚、Cookie同意ポップアップをあえて表示することで、CSRの観点ではきちんと対処していることのアピールともなり得ます。今回は実務とのバランスで判断しました。

尚、日本の改正個人情報保護法での解釈についてはトップコート国際法律事務所のこちらの記事にわかりやすくまとめられておりますのでぜひご参照ください。

事前調査

欧州にのみ表示するソリューションで実装する流れにほぼ決定しましたが、念のため他のWebサイトも調査することになりました。この夏たまたま欧州へ帰省するチームメンバーがいたため、日本ではポップアップ表示のないWebサイトが欧州ではどうなっているのか、を調べてもらいました。以下がその画面キャプチャです。

Site	Japan	Europe
Facebook
Google
Booking.com
Toyota Motor

欧州でアクセスすると驚くのが、どのサイトを訪問しても同意を求めるポップアップの嵐！！！😵‍💫
それだけ欧州では個人情報の取り扱いがセンシティブなものになっているということですね。例に挙げたのはCookie同意ポップアップ表示有無ですが、そのほかにもユーザーの所在によって表示するサイトをリダイレクトで切り替えていたり、表示するポリシーを切り替えていたりするサイトもありました。

同意取得フロー

というわけで、Cookieにおいて欧州には特別対応をしているサイトが存在すること・そしてポップアップを表示しないとまずい、という事実確認もできたので、いざ実装です。今回は外部法律事務所のアドバイスに基づいて欧州居住者の場合は以下の流れで同意を取得するようにしました。

Consent_flow

同意の撤回はプライバシーポリシーの中に [Cookie Preference] ボタンを埋め込んでいつでも撤回できるようにしています。また、この同意は6ヶ月ごとに失効するようにしています。これは、ユーザーに対して定期的にプライバシー設定を見直す機会を提供し、より透明性を確保するためです。

実際の画面

そんなこんなで無事、11月1日にプライバシーポリシーの改訂と共にCookie同意ポップアップをリリースしました。それぞれの地域で見え方が違います。

Japan	Europe

プライバシーポリシー更新のお知らせはあらゆる国で求められるので、どの国でも見られるようにしています。	Cookie同意ポップアップは欧州だけに表示されるようになっています。

ポリシー更新のお知らせを閉じたら何のバナーも表示されません。	Cookie Preferenceを開くとPerformance Cookiesへの同意を管理できるようになっています。

さいごに

GDPRをはじめとする個人データ関連法対応は奥が深く、私自身2年以上従事してもまだまだわからないことだらけです。新たに違反判決が出たり、あらゆる国で法令やガイドラインが制定・改正されるなど、日々状況が変わります。かと言ってユーザビリティを落としたくない、できることを減らしたくない。このバランスの見極めが非常に重要となります 🤔⚖️

今回のお話もあくまでGlobal KINTO Webの対応として外部有識者の力を借りて実施した実例であり、他のケースに必ずしも当てはまるわけではありません。例えば今回のような拒否率が上がってしまうという課題も、ポップアップをRejectされにくいようなUIUXで回避するといったソリューションも考えられます。そのWebサイトの目的やターゲット、内容などの状況によっても大きく変わりますし、こういった法令自体が解釈による部分が大きいので、一概にこうしておけば絶対大丈夫！とも言い切れないものです。

今後も、Global KINTO Webや各国の状況によって様々なアップデートは必要になってきます。もしCookie同意ポップアップが表示されたら、「あ、ちゃんとやってんだな👍」と思っていただけたら何よりです🙇‍♀️