GDPRではCookieは「個人データ」である
企業は最適な広告を表示したり閲覧履歴を取得したりする方法として、Cookieを活用しています。ブラウザが一時的に保存するこのCookieデータを分析することで、企業はユーザーの動きを知り、次のマーケティングに役立てることができます。また、ユーザー側もCookieデータがあるからこそ、次回ログイン時にパスワードやIDが不要になり利便性が上がっています。
2020年10月時点では、Cookie情報自体は「個人関連情報」であるものの個人情報ではありません。しかし、GDPR(一般データ保護規制)やCCPA(カリフォルニア州消費者プライバシー法)では、Cookieデータは個人データと位置付けているのです。そのため、CDPRやCCPAが適用される国では、Cookieデータからわかるショッピング履歴や検索履歴、位置情報も個人データであり、本人の了承なしに情報を得ることはできません。
2018年5月にGDPRが施行されたこともあり、GoogleもCookieデータのサポート廃止計画を発表しました。2018年以降は国内のWebサイトでもCookieの同意を求めるポップアップ(オプトイン)が増えましたが、これはGDPRの影響によるものです。
日本では、2020年6月の改定個人情報保護法でCookieデータが個人情報に含まれるのではと見られていました。しかし結果としてはまだ個人情報ではなく、個人を特定できる情報とはされていません。
Cookieデータを使わないソーシャルログインが広まる
日本ではCookieデータは個人情報ではないものの、位置情報や購入履歴を許可なく使われることに対し抵抗感を持つユーザーもいます。GDPRの影響もあり、ユーザーのプライバシー意識はますます高まるでしょう。
Cookieを撤廃すれば、ユーザーがログインの際毎回パスワードとIDを入力する必要があります。しかし今注目されている「ソーシャルログイン」を導入すれば、Cookieを使わずユーザーの利便性を確保できるのです。
ソーシャルログインとは、ユーザーが使っているSNSアカウントの情報を使って別のWebサイトにログインする方法です。ソーシャルログインを実装するとユーザーは会員登録の必要がなく、さらにパスワードを忘れてしまったという事もありません。利便性が高い分サイト離脱率が低くなるという企業側のメリットもあり、導入する企業が急増しています。
ソーシャルログインについては、「ソーシャルログインの仕組みと考慮すべき重要なポイント」もぜひご参照ください。
また、ソーシャルログインを実装すると、ユーザーがログインする際にサイト運営者に渡してもいい情報をユーザー自身が選ぶことができます。こうして集めたデータを「ソーシャルシンク」といいますが、企業はユーザーから許可されたデータのみを集めることができ、ユーザーの信頼を損ないません。Cookieに頼らない新しいデータ収集法として人気が高まっています。
顧客情報をマーケティングに使う際気を付けたい事
個人情報も含む顧客情報データは、具体的にどう取り扱えばいいのでしょうか。マーケターが気を付けるべきポイントを解説します。
「オプトイン」で事前に許可を取る
ユーザーのプライバシー意識が高まった今、無断でCookie情報を収集し続けるわけにはいきません。そこで現在では、Webサイト来訪時にCookie情報の取得開始についてユーザーに許可を取る「オプトイン方式」が広がっています。
オプトインとは「加入する」という意味合いで、ユーザーがポップアップ上で許可ボタンをクリックすることで、サイト運営者側はCookie情報を収集しても良いという同意を得たことになります。ユーザーが同意するまでは、Webサイトを閲覧していてもデータの収集は開始しません。
オプトインの導入が始まる前は、ユーザーの求めに応じてCookie情報の取得を終了する「オプトアウト」方式が一般的でした。しかしオプトイン方式にすればCookie情報を収集する前にユーザーの許可が取れるため、より信頼性が高まります。
オプトイン・オプトアウトのさらに詳しい情報は「オプトイン・オプトアウトって何?」(をご参照ください。
外部と個人情報を共有する時に気を付けること
企業の中には、個人情報を外部機関と共有しているケースもあるでしょう。その際は、本人に個人情報を共有することを伝え、同意を得る必要があります。
また、個人情報の第三者提供ではより厳重な管理が求められることとなりました。提供する側とされる側、双方が提供内容について記録しなくてはいけません。
個人情報の共有方法には、双方が主体的に管理する「共同利用」、広告配信などを外部に委託する「委託」、売却などの「第三者提供」の3つがあります。今までは第三者提供の場合のみ提供情報の記録の必要がありませんでしたが、2020年の改定個人情報保護法によって記録する必要が生じました。
そしてユーザー本人は、第三者提供が行われた場合情報の開示が請求できます。これまで元従業員が個人情報を不正に入手して売却する事件などがあり、それを受けての改定なのでしょう。よりユーザーの個人情報保護を重視する方向へと改定されているのがわかります。