クッキー(Cookie)ポリシーとは

Webサイトにおけるクッキー(Cookie)ポリシーとは、一般的にクッキーや類似のトラッキング技術（以下、「クッキー」といいます）により取得される情報の種類や、利用目的などを明示し、クッキーの取扱いに関する方針をユーザーに示すための情報提供文書のことです。

クッキーポリシーは、クッキーバナー（Webページに訪れたユーザーにクッキーの使用状況について知らせ、ポップアップ表示などで同意を求めたり、簡単に拒否できる機能を与えたりするもの）などにリンクが掲載されることが多いほか、「プライバシーポリシー」内にクッキーポリシーに関する見出しを設けて掲載される場合もあります。

そもそもクッキーとは

クッキーとは、ユーザーがWebサイトを訪問した際に、そのWebサイトからユーザーのブラウザに送信される小さなデータファイルのことです。

訪問履歴や設定情報を記録し、次回訪問時にその情報を元に、最適化されたコンテンツや機能を提供するために使用されます。

関連ページ： Cookie（クッキー）とは？仕組みや種類、設定・管理方法などを分かりやすく解説

プライバシーポリシーとの違い

クッキーポリシーとプライバシーポリシーの主な違いは、取り扱う情報の範囲です。

Webサイトにおけるプライバシーポリシーとは、一般的には、個人情報の取り扱いやプライバシーへの配慮などについて自社の指針をユーザーに示すための情報提供文書を指します。

このようなユーザーへの情報提供は、各国のプライバシー保護法などで義務として定められている場合も多く、個人情報がどのように収集され、使用されるかなどを包括的に明記したもので、クッキーポリシーに比べて内容が多岐にわたることが一般的です。一方で、クッキーポリシーとは、前述の通り、一般的にクッキーにより取得される情報の種類や、利用目的などを明示し、クッキーの取扱いに関する方針をユーザーに示すための情報提供文書のことです。

なお、クッキーポリシーには、プライバシーポリシーと異なり、法域ニュートラルな性質を持ち、各国の保護法で横断的に共通して使える要素が多いという特徴があります。そのため、プライバシーポリシーの中の一項目としてクッキーポリシーを設定するケースも少なくありません。

詳しくは後述しますが、クッキーが個人情報や個人データとして取り扱われるかどうかは各国のプライバシー保護法により定義や解釈が異なります。

クッキーポリシーの必要性

Webサイトを運営する企業は、クッキーポリシーを定め、公表することが推奨されます。

クッキーポリシーの作成が必要な理由は、主に以下の3つです。

• ユーザーのプライバシーへの配慮
• 法令遵守
• Webサイトの信頼性の向上

それぞれ詳しく解説します。

プライバシーへの配慮とプライバシーポリシーの透明性の向上

Webサイト運営者がクッキーポリシーを用意すべき1つめの理由は、ユーザーのプライバシーへの配慮につながるためです。

ユーザーの行動を追跡・保存・共有できるクッキーは、ユーザーにとって利便性の向上というメリットがあります。

一方、自らのインターネット上の行動履歴などの情報がどのように収集され、どのように利用されるのかについて容易に知り得ない状態で、企業側が好き勝手にクッキー情報を活用することは、ユーザーのプライバシー侵害にもなり得ます。

ユーザーに対して透明性のある情報提供を行い、ユーザーのプライバシーに配慮した対応を行うためには、適切なクッキーポリシーの作成が必要です。そして、クッキーポリシーを個別に作成することで、プライバシーポリシーの透明性(可読性)も向上します。

また、先述のとおり、クッキーポリシーには法域ニュートラルな要素として活用できる特徴があるため、各国の法規制の違いに左右されにくく、クッキーポリシー自体のメンテナンス性が向上するという運用上のメリットもあります。

関連ページ：WEBにおける個人情報保護の重要性とCookieの関係についてわかりやすく解説

法令遵守

法令遵守対応のための実装の手段として、クッキーポリシーの作成が便宜となるケースもあります。

グローバルに事業を展開する企業が特に注意すべきなのは、以下の法令等です。

• GDPR(一般データ保護規則)・ePrivacy Directive：EU
• CCPA(カリフォルニア州消費者プライシー法)：米国
• 個人情報保護法・電気通信事業法：日本

    GDPR(一般データ保護規則)・ePrivacy Directive：EU

GDPR(一般データ保護規則)の4条1項より、基本的にクッキーは個人データとして扱われると解されます。

「個人データ」とは、識別された自然人又は識別可能な自然人（「データ主体」）に関する情報を意味する。

識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。

引用：個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/EC を廃止する欧州議会及び理事会の2016 年4 月27 日の規則(EU) 2016/679（一般データ保護規則）【条文】

また、ePrivacy Directive第5条3項によりクッキーの収集前にユーザーに目的などを通知し、同意を得ることが義務づけられており、GDPR第4条11項により同意とは「陳述または明確な積極的行為により表明されたもの」でなければならないとされています。そのため、EU域内で事業・サービスを提供する企業は、GDPRとePrivacy Directiveをふまえた情報提供と同意取得が必要であり、その実装の方法の一つとしてクッキーポリシーの作成が推奨されます。

なおGDPRは、EU域内に所在するユーザーを対象とした商品・サービスの提供に伴う個人データの処理を行うEU域外の事業者にも適用されます。そのため日本国内の事業者でも「積極的にEU所在者向けに情報提供をしているインバウンド向け情報発信サイトにGA4（Googleアナリティクス4）を入れて運用している」など、EU所在者を対象としてアクセス解析を行っているようなケースも該当する可能性があります。

また、EUから離脱した英国でも同ルールが適用されます。

GDPRに違反した場合はペナルティの対象となり、「最大で全世界年間売上高の4%以下または2,000万ユーロのいずれか高い方」という多額の制裁金が課される恐れがあるため注意が必要です。

実際に、GDPR違反により制裁金を課された事例も数多く存在します。たとえば2024年1月には、クッキー同意取得義務違反など複数のGDPR違反により、フランスの金融業者に10万5,000ユーロの制裁金が課されました。

参考：フランスCNIL　クッキー同意取得義務違反など複数のGDPR違反で金融業者に10万5,000ユーロの制裁金

    CCPA(カリフォルニア州消費者プライシー法)：米国

米国で初めての包括的なプライバシー保護法と言われるカリフォルニア州消費者プライシー法(CCPA：California Consumer Privacy Act)」では、クッキーも個人情報に該当し (Unique personal identifier Cal.Civ.Code 1798.140(x)(o)) 、クッキーを収集する前に以下項目を含む通知が必要です。

• 収集する個人情報の種類のリスト
• 個人情報利用の目的
• 個人情報の保持期間
• 個人情報を販売または共有する場合、オプトアウト機能を提供する「Do Not Sell or Share My Personal Information」という名称のリンク
• プライバシーポリシーのリンク

そして「Do Not Sell or Share My Personal Information」のリンクをクリックされた場合にオプトアウト権についての説明を記載するとともに、オプトアウトの操作を可能とするインターフェイスの実装が必要です。

CCPAでは過失による違反は1件最大2,663ドル、故意の違反は最大7,988ドルの制裁金が課される恐れがあります。

これらの要件に対応するための手段として、クッキーバナーおよびクッキーポリシーの実装が便宜です。

    個人情報保護法・電気通信事業法：日本

現状、日本ではクッキーの取扱いについて包括的な規制は存在していないものの、個人情報保護法や改正電気通信事業法により、一部の取扱いが規制対象となります。

特定の分野やケースでは法令違反となる可能性があるため、注意が必要です。

いずれの対応においても、ユーザーへの情報提供の手段として、クッキーポリシーの活用が考えられます。

関連ページ：Cookie（クッキー）規制が与える広告への影響とは？いつから対策をすべきか解説

Webサイトの信頼性の向上

Webサイトの信頼性の向上につながる点も、企業がクッキーポリシーを用意すべき理由の1つです。クッキーポリシーを策定するために、事業者は適切に情報を扱う体制を整備する必要があります。結果的に、ユーザーからの信頼獲得につながる可能性が高まります。

Webサイトの法的要件を満たし、情報の透明性を保つことで、安心してユーザーに利用してもらうことが可能です。

【記載例つき】クッキーポリシーへの主な記載事項6つ

現在、日本においてクッキーポリシーに関する明確な記載方法は定められていません。そのため、作成する際は企業が独自に判断・対応する必要があるでしょう。

とはいえ「クッキーポリシーに記載したほうがよい」とされるポイントは存在します。ここでは、クッキーポリシーに記載すべき基本事項を、具体的な記載例とともに紹介します。

クッキーの仕組み

クッキーポリシーには、クッキーに関する基本情報を記載し、ユーザーの理解をうながすとよいでしょう。

クッキーに馴染みがないユーザーもいるため、「クッキーとは何か」という簡単な仕組みの解説があると親切です。

【記載例】
クッキーとは、Webサイトを訪問されたお客様のブラウザへWebサーバから送信される情報で、お客様のコンピュータに記録されます。

クッキーの種類

運営サイトで使用しているクッキーの種類を説明しましょう。

主なクッキーの種類は、以下のとおりです。

各クッキーの解説文とともに使用クッキーのリストを掲載すると、よりわかりやすいでしょう。

クッキーの利用目的・保存期間

収集したクッキーをどのような理由で・何に利用するかを記載します。「どのくらいの期間保存するか」についても記載すると、より親切です。

【記載例】
「会社名」のWebサイトでは、お客様により便利にご利用いただくため、また、お客様のアクセス傾向を分析してより良いサービスを提供するために、クッキーを使用しております。 クッキーには、お客様のブラウザを識別する情報のみが保存され、お客様個人を特定できる情報（氏名、ご住所、電話番号など）は一切保存されません。これらのクッキーは、設定から最大2年間保存され、その後自動的に削除されます。

クッキーの提供先や利用目的など

収集したユーザー情報を外部に送信する場合、情報の提供先や利用目的などを記載します。以下に挙げるような情報を一覧リストで示すと、ユーザーにとってわかりやすいでしょう。

• 情報提供先の名称
• 提供される利用者情報
• 利用目的
• 情報提供先のクッキーポリシー

【記載例】
外部事業者の名称・サービス名、外部事業者に送信される利用者情報の内容、送信される情報の利用目的については、以下より詳細をご確認ください。

ユーザーによるクッキーの管理方法

クッキーポリシーを通じて利用するクッキー情報をWebサイトの運営者が一方的に提示するだけではなく、ユーザー自身が情報提供やクッキーの利用を「拒否するための方法」を示すことも大切です。

【記載例】
当社ではお客様のプライバシーに配慮し、お客様ご自身で当社のクッキーの利用（外部事業者への利用者情報の送信）についての許可・拒否（オプトアウト）を選択頂ける機能を提供しています。以下、クッキーのカテゴリごとの見出しをクリックして詳細を確認後、初期設定を変更頂けます。

ただし、当社のウェブサイトが適切に機能するために必須のクッキー (たとえば、クッキーバナーを表示し、お客様が選択した設定を記憶するために必要なクッキー等)については拒否することはできません。また、一部の種類のクッキーをブロックすると、お客様のウェブ体験や当社が提供できるサービスに影響を及ぼす場合があります。

クッキーポリシーの更新情報

クッキーポリシーの更新履歴も公開しておくとよいでしょう。

最後に更新された日付や具体的な変更内容についても開示すると、ユーザーが理解しやすいためおすすめです。

※更新日の記入例

クッキーポリシーの作成手順5ステップ

クッキーポリシーを作成する際の基本的な流れは、以下のとおりです。

• 1.現状のクッキーを確認する
• 2.クッキーの使用目的を整理する
• 3.法的要件を確認する
• 4.クッキーポリシーを作成する
• 5.ユーザーにクッキーポリシーを通知し同意を得る

ステップごとに詳しく見ていきましょう。

1.現状のクッキーを確認する

まずは、自社のWebサイトが使用しているクッキーについて確認しましょう。ひとくちにクッキーといっても、前述のとおりその種類は多岐にわたります。

Webサイトの開発者ツールやクッキー管理ツールを活用することで、使用クッキーのリストを作成することが可能です。

2.クッキーの使用目的を整理する

クッキーポリシーには、クッキーの利用目的を記載しましょう。

使用しているクッキーの種類がわかったら、何のために使用しているかを特定して洗い出し、リストにまとめましょう。

3.法的要件を確認する

自社のWebサイトが遵守すべき法的要件について、必ず確認しておきましょう。

たとえばGDPRやCCPAに違反した場合、制裁金が課される可能性があります。必要に応じて専門家のサポートを受け、該当する法的要件に基づくクッキーポリシーを作成することが重要です。

4.クッキーポリシーを作成する

ここまでのステップで準備が整ったら、クッキーポリシーを作成します。

クッキーポリシーへの具体的な記載情報は、見出し「【記載例つき】クッキーポリシーへの主な記載事項6つ」を参考にしてください。

5.ユーザーにクッキーポリシーを通知する

クッキーポリシーを作成したら、Webサイトに訪れたユーザーにクッキーポリシーを通知しましょう。

クッキーポリシーの通知には、クッキーバナーやポップアップ表示が用いられるケースが多く見られます。ユーザーが簡単にクッキーポリシーをチェックできるよう、クッキーバナーやポップアップ表示にクッキーポリシーへのリンクを設置しておくとよいでしょう。

クッキーポリシー作成時のポイント

ここでは、クッキーポリシーを作成する際に押さえておきたいポイントを解説します。

わかりやすい表現を用いる

クッキーポリシーは、ユーザーの理解と同意を得たうえで、企業が適切に情報を取得・活用するために必要なものです。そのため、単純に情報を提示するだけではなく、ユーザーにとってわかりやすい表現を意識することがポイントです。

クッキーポリシーにクッキーの拒否のやり方を記載するケースも多くありますが、この時の記載内容が誰にでもわかるような表現ではなく、かつ、拒否する手順が非常にわかりにくい場合はダークパターンと判断される可能性もありますので注意が必要です。

専門知識のないユーザーでも問題なく理解できるように、専門用語の多用は控えましょう。

プライバシーポリシーと連携させる

「クッキーバナーに、クッキーポリシーとともにプライバシーポリシーのリンクを設置し、簡単に確認できるようにする」など、必要に応じてプライバシーポリシーと連携させましょう。

定期的な見直し・更新を行う

クッキーポリシーは「一度作成・公開すればよい」というものではありません。記載情報の正確性を維持するため、クッキーポリシーは定期的に見直し、必要に応じて更新することが大切です。

クッキーに関する各国の法令や規則の改正にも、日頃から注意を払っておく必要があります。

クッキーポリシー作成時の注意点

ここでは、クッキーポリシー作成時に気をつけるべきポイントを解説します。

法令を遵守する

自社のWebサイトが該当する法令を確認し、遵守することが大切です。

たとえばEUのGDPR(一般データ保護規則)に違反した場合、前述のとおり「最大2,000万ユーロ、または全世界年間売上高の4%以下のいずれか高い方」という多額の罰金課されるリスクがあります。

また法令違反は、企業としてユーザーからの信頼を失う原因にもなりかねません。

ユーザーの選択を尊重する

クッキー使用の同意を得る際は、適用される法域に応じて適切な同意取得が求められます。とえば、EUのGDPRでは「同意するかどうかの選択権」をユーザーに提供し、自由な意思に基づく同意が得られた場合にのみクッキーを有効化する必要があります。一方で、日本国内では、利用目的の明示とオプトアウトの機会を提供する形でも一定の対応とみなされるケースがあります。

「マーケティングに役立てたいから」といった理由で、クッキー使用に関するユーザー同意を強制的に得ることは避けなければなりません。

関連ページ：クッキーバナーの同意は必要？

複雑な仕様は避ける

クッキーバナーにクッキーポリシーへのリンクを設置する場合、ユーザーが戸惑ってしまうような複雑な仕様は避けましょう。

また、クッキーの拒否設定について、ブラウザからの設定方法の説明のみで、難しい操作をユーザーに強いるような設計になっているものはダークパターンとして問題視されています。

クッキーバナーのダークパターンについては、以下の記事をご確認ください。

関連ページ：クッキーバナーのダークパターンとは？具体例や企業のリスク対策を解説

クッキーバナー「STRIGHT(ストライト)」による新しいプライバシー保護戦略

自社のプライバシー保護対応にあたり、以下のようなお悩みはありませんか？

• 各国の法規制への対応が大変
• クッキーポリシー作成に関する疑問がある
• クッキーバナーの表示によって、Webサイトのデザイン性を損ねたくない

このようなクッキーポリシーに関する課題解決には、「STRIGHT(ストライト)」の利用がおすすめです！

STRIGHTは、欧州のようにクッキーバナーの表示が法的に義務付けられている法域と、日本のようにクッキーバナーの表示が必ずしも必須ではない法域の両方に対応しています。

STRIGHTはクッキーのみならず、類似のトラッキングテクノロジー(Webstorageなど)を包括してサービスリストとして情報提供することが出来ます。具体的には、STRIGHTは個別のCookieではなく「サービス」単位で情報提供を行います。例えばYouTubeのように複数のCookieやWebstorageを使用するサービスの場合、個別の技術要素を羅列するのではなく、「YouTubeとは何か、何の目的で使われるか」といった利用者にとって理解しやすいレベルでの説明を提供します。これにより、複雑な技術仕様ではなく、サービスの本質的な機能や目的に焦点を当てた、よりわかりやすい情報提供が可能になります。

各国の法規制に対応したクッキーバナーの表示が可能

STRIGHTを導入すれば、アクセス元のIPアドレスから自動でエリアが判定されます。

EUのGDPR、米国CA州のCCPA、日本の個人情報保護法や電気通信事業法の外部送信規律、それぞれの法域に対して各国法規制に対応したクッキーバナーが自動的に表示されるため、個別対応の手間が省けて大変便利です。

関連ページ：https://www.bizris.com/stright/jp/faq

クッキーポリシー作成に関するお問い合わせサポートあり

クッキーポリシーの作成など法規制に関するお問い合わせに対し、IIJの専門技術要員・プライバシーコンサルタントがメールやWeb会議で回答する「スポットサポート(有料)」をご用意しております。

STRIGHTを提供するIIJは、クッキー導入支援の実績が豊富なことが強みです。各国のプライバシー保護に関するコンサルティングも行っているため、安心してご相談いただけます。

関連ページ：サポート

「出さないクッキーバナー」を簡単に実装可能

「ユーザーがWebサイトを訪問するたびに、画面を覆うように大きくクッキーバナーが表示されてクッキー同意の選択を迫られる」など、ユーザーファーストのクッキー対応のはずが、Webサイトの景観を損ねたり、ユーザーに不便を強いて離脱率を上げてしまったりするケースがあります。

STRIGHTであれば、サイトデザインを邪魔するクッキーバナーを表示させることなく、クッキーポリシーを搭載可能です。ユーザーは、Webサイトのフッターやハンバーガーメニューの「プライバシー設定」から、クッキーに関する詳細を簡単にチェックできます。

日本向けでも従来のクッキーバナーと同様の表示することで、積極的にプライバシー保護の姿勢をアピールすることもできます。その際もクッキーバナーのデザインは高いカスタマイズ性を備えているため、サイトのトーン＆マナーに配慮した形で柔軟に実装が可能となります。

クッキーポリシー作成の手間を大きく削減

ユーザーにとってわかりやすいクッキーポリシーを作成するためには、手間や負担がかかりがちです。

たとえば、収集したユーザー情報の外部提供先に関する案内ページを作成するのは、骨が折れる作業の1つでしょう。

STRIGHTであれば、発行されるスクリプトを埋め込むことで、情報の外部送信規律に対応したページを簡単に実装できます。

必要な情報をわかりやすくユーザーに提供するための手間を大きく削減できる点も、STRIGHTの魅力です。

適切なクッキーポリシーを作成しよう

ユーザーのプライバシーに配慮し、Webサイトの信頼性の向上させるためには、適切なクッキーポリシーを作成・提示することが大切です。関係国の法令を踏まえたうえで、ユーザーにとってわかりやすいクッキーポリシーを作成しましょう。

クッキーポリシーの作成・管理に悩む場合、プライバシーツール「STRIGHT(ストライト)」の活用がおすすめです。クッキー導入支援の豊富な経験に基づく手厚いサポートで、ご担当者様の手間や負担を軽減します。

Web制作者様向けに、実機操作をしながらSTRIGHTの基本的な使い方を短時間で学べる「無料ハンズオンセミナー」も随時開催しております。ぜひ、お気軽にご参加ください。