投稿元:
レビューを見る
■Cookie 規制と個人情報保護の潮流
・個人情報保護の世界的潮流
2016年に欧州にてGDPR(EU一般データ保護規則)が発効し、続いて2018年に米国のCCPA(カリフォルニア州消費者プライバシー法)が制定され、世界的に生活者のプライバシー保護に関する法整備が進んでいる。日本においても2022年4月に改正個人情報保護法が施行され、個人情報の取り扱いのルールの理解が運営側、制作側にも求められるようになった。
GDPRにおける個人情報保護の主眼が情報漏洩を防ぎ、データを保護することであったのに対し、CCPAでは取得された個人データの取り扱いについて、生活者が自分に関する情報を意図せず利用されることを防ぎ、自身のコントロール下に置くことを目的としている。 このことから、個人情報の取り扱いについての透明性と厳格な管理体制がWebサイト運営者に求められるようになり、それらに即した対応が求められている。
・Cookie 規制と改正個人情報保護法
Webサイトの訪問者のログイン情報や閲覧履歴などの情報を、ユーザーの閲覧環境に一時的に保存する仕組みまたはデータがCookie(クッキー)である。これを利用してユーザーの特定や、コンバージョンの測定などに 活用している。 法改正前までは個人情報保護法の対象 外であったCookieだが、改正後は「個人関連情報」とい う新たな定義の中に位置づけられることになった。
・ファーストパーティCookieとサードパーティCookie
そして、今回の改正では、サードパーティCookieが規制の対象となる。ユーザーがアクセスしているWebサイトのドメインから発行されるCookieはファーストパーティで、ログイン状態や閲覧履歴の維持に利用される。
サードパーティCookieは、ユーザーがアクセスしているWebサイトのドメイン以外から発行されるCookieである。ユーザーが閲覧した複数のWebサイトから行動履歴を収集し、広告配信やMAツールなどに活用される。今回の法改正では、Cookieが個人関連情報のひとつに位置付けられたことで、第三者提供を行うサードパーティCookieが規制対象になったのである。
また、個人情報保護法は3年ごとに制度を見直す規定があるため、次回の法改正ではよりルールが厳しくなることも予想されることを理解しておきたい。
・個人関連情報
個人関連情報とは「生存する個人に関する情報ではあるが、個人情報や個人情報を加工し作成された情報に当てはまらないもの」が該当する(37ページの図2を参照)。
基本的には個人関連情報自体に規制はなされていない。しかし、個人関連情報を第三者に提供する場合、個人関連情報の提供元は、第三者である提供先が保有する個人データと紐づけられる場合、提供先においてユーザー本人の同意が得られていることを確認し、記録する義務がある。
・個人関連情報の名寄せ
複数のWebサイトに設置してあるCookieを使用し、IDで個別に管理しているユーザーデータベースを保持し、それらのユーザーの閲覧履歴を提供し、適切な広告を配信するターゲティング広告を提供しているA社のデータと、ユーザーの個人データベース内にA社と同じ同じIDを持つB社のデータ���突き合わせると、B社はIDから個人データと閲覧履歴を名寄せして紐づけが可能になる。
このような場合、A社の個人関連情報の提供先でああるB社は、Webサイト上でユーザーに対し、Cookie利用に対する同意の確認が必要になり、個人関連情報の提供元であるA社はユーザの同意がなされているかB社に確認する義務が発生することになる。
・同意の手続き
今回の個人情報保護法改正では、同意の取得手続きは特に明確な規定はないものの、ユーザーの明示的な同意が必要となる。Webサイトの訪問時に表示されるCookie設定の表示ダイアログなどで同意を取得する方式が一般的な方法のひとつだ。
また、海外での同意取得手続きの対応については、GDPRではオプトイン形式で、CCPAではオプトアウト形式を取っているため、オプトイン・オプトアウト両方の手続きが行えるように整備することが望ましいだろう。
・同意管理プラットフォームの利用
しかしながら、オプトインもオプトアウトもサイト側でCookieの設定をコントロール可能な機能の実装は容易ではない。そのため同意管理プラットフォーム(CMP:Consent Management Platform)を導入して対処することも検討したい。
Cookie利用の設定をユーザーが詳細に設定できるものもあり、Googleタグマネージャーと連携して同意がない場合にはGoogleタグマネージャーがタグを配信しないという設定も行える。
・ITPによる規制とサードパーティCookieのブロック
SafariのITP (Intelligent Tracking Prevention) 実装のように、サードパーティCookieはブラウザ側でブロックされる流れになっている。本稿執筆時のITP2.3の時点で、サードパーティCookieの即時ブロック、ファーストバーティCookieも最長7日間で削除され、場合によっては24時間で削除されてしまうように保存条件が厳しくなっている。またローカルストレージも削除対象となり、ユーザーのトラッキングが困難になっている。
Google Chromeにおいても、2023年中に段階的に廃止するというアナウンスを行っており、今後も注視が必要な状況であるので注意深く見守っていきたい。
・Googleアナリティクスの対応
Googleアナリティクスが測定のために使用するCookieは計測タグが設置されているWebサイトのドメインから発行するため、一般的にはファーストパーティCookieに分類される。そのため今回の改正個人情報保護法においては規制対象外であるが、GDPRやCCPAにおいては規制対象であるため、オプトインやオプトアウトに対応できるようにする必要がある。
■ペルソナの作り方
①設定項目を考える
ペルソナを作るときは、基本的にサイト利用や商品購入などの意思決定に影響を与えそうな項目はすべて設定するのがよいだろう。
【設定項目例】
・名前、年齢、性別、居住地
・仕事(仕事内容、役職)
・生活パターン(起床時間、通勤時間、勤務時間、就寝時間、外食派or自炊派)
・最終学歴
・価値観、ものの考え方
・今課題と感じていること、チャレンジしたいこと
・恋人・配偶者の有無、家族構成
・人間関係
・収入、貯蓄性向
・趣味や興味の対象
・インターネット利用状況、利用時間、所持しているデバイス
②ターゲットに関する��報を集める
想定しているターゲットに近しいイメージの人に関する情報・データを集める。この情報収集をしっかりと行うことで実存する人物のようなリアルなペルソナを作ることができる。情報収集の際は次のような調査を行う。
・ユーザーインタビューやアンケート
・アクセス解析などのデータ収集
・公開されている調査データ収集
③データを分類する
集めたデータから分析を始める。属性ごとに分け、どのように思考しているか、共通項目があるものをグルーピングしていく。グルーピングすることでターゲット層の生活スタイルや欲求の傾向が見えてくるだろう。
④ペルソナ化する
上述のグルーピングの作業を行うと、ターゲットユーザーがなんとなく見えてくる。そこに細かい属性情報や生活スタイルを情報として加えていくことで、具体的なひとりのユーザーとしてベルソナが設定される。
さらにペルソナに名前とイメージに近い人物の写真やイラストを検討することで、よりリアルなユーザーとして認識できるようになる。
ペルソナは、一度設定して終わりではない。時間が経過すればユーザーや市場動向も変わり、サービスが変化すれば対象とするターゲットも変わってくる。定期的にペルソナが実態に沿っているかチェックし、必要に応じて見直しを行おう。
■ディレクション業務に役立つサイト集
【Web技術・デザイン関連】
・MDN Web Docs(https://developer.mozilla.org/ja/)
WebサイトやプログレッシブウェブアプリのためのHTML、CSS、 API を含むオープンウェブ技術に関する情報を提供している。
・WHATWG(https://whatwg.org/)
HTML標準仕様の策定を行なっているWHATWGによるHTML Living Standardの仕様(英語)。有志が翻訳している日本語版もある(https://momdo.github.io/html/)。
・コリス (http://coliss.com/)
Webデザイナー御用達の情報サイト。
・ferret [フェレット] (https://ferret-plus.com/)
Webマーケティングのコラムが充実。
・Webクリエイターボックス(https://www.webcreatorbox.com/)
Webサイトやプログレッシブウェブアプリの ための HTML、CSS、APIを含むオープンウェブ技術に関する情報を提供している。
【ソーシャルメディア関連】
・Twitter Developer Documentation(https://developer.twitter.com/en/docs)
Twitterの仕様および規約運用前提を確認しよう。
・Facebook 開発者向けページ(https://developers.facebook.com/?ref=pf)
Facebookの開発者向けサイト。ツールやFacebookプラットフォームに関する情報。
【アクセシビリティ関連】
・情報バリアフリーポータルサイト(http://jis8341.net/)
アクセシビリティ対応のためのガイドブックや 対応チェックリストが用意されている。
・ウェブアクセシビリティ基盤委員会(https://waic.jp/knowledge/accessibility/)
ウェブアクセシビリティ対応のためのガイドラインや試験手法などを提供している。過去のセミナーの資料も公開されており、ベストプラクティスが学べる。
【プライバシー セキュリティ関連】
・IPA: 情報セキュリティ(https://www.ipa.go.jp/security/index.html)
情報処理推進機構による情報セキュリティ関連のポータルサイト。重要なセキュリティ情報の欄には脆弱性の情報など、安全なサイト運営のために対応すべき項目が集約されている。
・個人情報保護委員会(https://www.ppc.go.jp/)
個人情報保護についてのガイドラインや関連法令などがまとめられている。