Cookieの主たる目的は、ユーザーのWebサイト閲覧の利便性を向上させることです。
例えば、ユーザーの入力した情報を保存・記憶させる仕組みで、その仕組みを利用して
次回以降の入力を省略することができたり、ユーザーの閲覧した情報、お買い物カゴに入れた
アイテム、自分が読んだ記事、趣味興味をもとにユーザーにマッチした広告などを表示させる、
などが可能になります。
Cookieの種類について
1st Party Cookie
ユーザーが訪問したWebサイトから発行されるCookie、基本的に、閲覧しているWEBサイト内のみで利用されるCookieを言います。
ホームページのログインするための情報や閲覧した履歴、お買い物かごの中の商品情報(ショッピングサイトなどの場合)を記録するために利用されています。
3rd Party Cookie
現在訪問しているサイト以外から発行されたCookieです。
1st Party Cookieが1つのサイト内における情報収集を行う一方、3rd Party Cookieは複数のサイトをまたいでユーザーの行動データなどを収集します。
3rd Party Cookieなどで「リターゲティング」が行われています。
GDPR
「一般データ保護規則(General Data Protection Regulation:GDPR)」は、欧州連合(EU)が制定した個人情報保護のための法規制です。
適用範囲:GDPRは、EUを含む欧州経済領域(EEA)域内で取得した個人データをEEA域外に移転することを原則禁止しています。EU域内に物理的施設を保有しない場合でも、EUと取引のある全ての組織が対象となります。
個人データの保護:GDPRは、個人情報とプライバシー保護の強化を目的としています。個人データとは、「氏名」や「メールアドレス」「クレジットカード番号」などの情報を指します。
制裁:GDPRに違反した場合、企業の全世界年間売上高の4%以下、もしくは2000万ユーロ以下のいずれか高い額の制裁金が課せられます。
GDPRとCookie
GDPRではCookie内の情報も個人情報とみなして保護対象となります。
特筆すべきは、改正個人情報保護法とは異なり(ID等を用いてデータ同士を突合し、個人を特定できるか否かの分類はなく)、CookieやIPアドレス単体でも保護対象となります。
基本的には、3rd Party Cookieと呼ばれる第三者にデータを渡すためのクッキーが対象となります。
GDPRではオプトイン方式のCookie同意を展開する必要があります。
サイトを訪問した時点では個人データやCookieを取得してはならないということで、オプトイン方式での対応が必要になります(ゼロ・クッキーロードとも言われます)。
GDPR以前はオプトアウト方式が一般的に設置されていました。「事前許可なしで情報取得、本人の求めがあれば停止」のパターンがオプトアウト方式です。
同意の必要がないCookie
商用オンラインサービスの機能を実装するために必要なCookie(必須Cookie)については、同意を得る必要がありません。
- ウェブサイトの表示言語やフォントを記憶・買い物カゴに入れたアイテムを記憶する
- 利用者のサービスログイン状態を記憶する
- セキュリティアップデートの状態を監視する
- 詐欺的な利用を防止する
- アクセス負荷分散