「Cookieバナーを掲出しない」という選択肢を提供、IIJが新たなプライバシーツール「STRIGHT」

　株式会社インターネットイニシアティブ（IIJ）は10月29日、新たなプライバシーツール「STRIGHT（ストライト）」を提供開始した。消費者がウェブサイトに訪問してきた際の“Cookieバナー”を表示することなく、ウェブブラウザーの行動データを第三者へ送信する処理などに関する詳細情報の開示および同意の管理機会の提供が行える。

Cookieバナーの役割と構成

フッターやハンバーガーメニューの文字列をクリックすると設定画面を表示

　サイトの視認性を損なわないエリアにプライバシー設定画面へのリンク情報を表示し、これをクリックするとサイト訪問者が同意または拒否を選択できる詳細設定バナーがポップアップする仕組みだ。従来は、Cookieバナー表示が画面の視認性を損ね、閲覧を進める障壁になってしまうことがあったが、STRAIGHTを利用することにより、サイト離脱率の増加やサイトデザイン／ブランドイメージの毀損といった課題を解消しながら、適切にプライバシー保護機能を提供することが可能となる。

　プライバシー設定画面のリンク情報は、フッター領域やハンバーガーメニュー（ナビゲーション表示）、またはホバーボタンなどサイトの視認性を損なわないエリアに「プライバシー設定」などの文言を配置し、これをクリックすることで詳細設定バナーがポップアップする。取得データの内容や利用目的など、必要な情報を視覚的に分かりやすく開示し、Cookieをはじめ、さまざまな追跡技術による外部送信について、サイト訪問者が同意・拒否をいつでも選択できる機能を搭載する。

透明性のある情報開示と本人関与機会の提供を実現

　IIJはSTRIGHTの提供開始にあたって都内で記者説明会を開催し、同社の中西康介氏（ビジネスリスクコンサルティング本部 ビジネスリスクコンサルティング部長）がSTRIGHTを開発した背景について語った。

　2018年にEUでGDPR（一般データ保護規則）が施行されて以来、世界各国でプライバシー保護規制が強化されるとともに、消費者の権利意識の高まりなどの要因により、プライバシー保護をしっかりと行っていない企業は市場から撤退せざるを得ないほどのダメージを受ける可能性を持つようになった。企業がプライバシー保護に関するリスクを低減させるには、法的要件の遵守だけは不十分であり、企業のステークホルダーが不安を感じないように、積極的に情報開示を行う透明性の確保と、事前同意や、いつでも拒否できる“本人関与機会”の提供が企業には求められている。

　日本の法律では、義務への対応としてCookieバナーの掲出が必要なケースは稀で、ほとんどのブランドサイトにおいて同意管理は義務ではないという。一方、欧州や米国などの海外の規制では、義務への対応として、Cookieバナーを掲出する方法が費用面などで有利になるため一般的となっている。

　日本において多くのウェブサイトでCookieバナーが導入されているのは、プライバシー権利意識の向上などが背景にあり、積極的にCookieバナーを出すことでプライバシー保護を重視していることを示すことができるため、主にコーポレートサイトで導入が進んでいる。

　IIJの調査によると、国内4000ドメインでCookieバナーが導入されており、IIJでの導入実績はそのうち約3500ドメイン。この約3500ドメインのうち、約2900ドメインがコーポレートサイトで、残りの約600ドメインがブランドサイトとなっている。

　国内のウェブサイト総数は約626万ドメインで、そのうちブランドサイトが約530万ドメインと多くの割合を占めていることを考慮すると、ブランドサイトにおけるCookieバナーの導入が進んでいないことが分かる。

Cookieバナーの導入状況

　Cookieバナーがブランドサイトで敬遠されている理由としては、「デザインが損なわれる」「離脱率が上がり、わずか0.1％でも離脱率を下げるためにデザインを工夫している現場にとっては受け入れがたい」「拒否を選択された場合はコンバージョンなどの測定が困難になる」といった事業担当者の思惑が挙げられる。

　一方、企業の法務・広報担当者としては、法的義務がない場合でもCookieバナーを導入してプライバシー保護を重視している姿勢を示したいと考えており、「バナーを入れてプライバシー保護を優先させるか、バナーを入れずに売上を守るか」の二者択一の状況となっている。

　ブランドサイトでは、消費者の信頼を得るためにプライバシー保護は重要であると考えてはいるものの、Cookieバナーを導入していないために、行動データを取得しているのにもかかわらず、詳細な説明や、処理を停止する機能が提供できていないことが課題となっている。

　行動データの取得を停止させる方法として、ウェブブラウザーの設定でCookieを削除させる案内を行っているサイトもあるが、ITリテラシーの低い人には難しく、必要なデータまで消えてしまうことがあるため不親切と言える。しかし、ブランドサイトの担当者も、他に方法がないため、そのような案内をせざるをえない状況だ。

　そこでIIJは、ブランドサイトのプライバシー保護レベルを底上げする方法として、「ウェブサイトの訪問時にCookieバナーを出さない」という選択肢を提供しようと考えた。重要なのは、透明性を持って情報開示を行うことと、行動データ取得の処理をいつでも止めることができる本人関与機会を提供することであり、それを実現するため、フッターやハンバーガーメニューに文字列を入れ、それをクリックしてもらうことで設定画面が表示されるようにした。こうすればウェブサイトの訪問時にバナーは表示されず、行動データの取得が嫌であればいつでも処理を止められる。

　前述したようなブランドサイト担当者の懸念も解決し、同時に、プライバシー保護も実現できる。消費者にとってもストレスフリーで見やすいウェブサイトとなり、“三方よし”の解決策となる。

「STRIGHT」は、消費者・事業担当者・法務担当者の“3方よし”の解決策となる

世界各国の規制にも対応、サイト訪問時のCookieバナー掲出も可能

　“出さないバナー”という戦略に対応した新しいプライバシーツールであるSTRIGHTは、欧州ePrivacy指令およびGDPRに基づくCookieバナーの同意要件や、米国CCPA（カリフォルニア州消費者プライバシー法）など世界各国のプライバシー保護関連規制に対応しており、オプトイン／オプトアウトなど各国の法規制に対応した同意モデルの設定やバナーの出し分けが可能だ。

　日本の電気通信事業法の外部送信規律要件にも対応している。4類型のオンラインサービスに該当する電気通信事業を営む者は、広告やマーケティングなど外部送信するサービスについて、事業者名や利用者情報、利用目的などを通知・公表する義務があり、STRIGHTは通知・公表のいずれの機能も搭載している。

カスタマイズの自由度の高いバナーを表示可能

　従来のようにサイト訪問時にCookieバナーを表示することも可能で、バナーやホバーアイコンのデザインも柔軟にカスタマイズできる。年齢や国を確認するAge and Locationバナーや、特定業種向けのサイトフィルタリングバナーを組み合わせることにより、目的に応じて柔軟にバナーを出し分けられる。

　また、バナーの同意率・拒否率・訪問者数などを確認できるダッシュボードや、外部送信サービスのスキャンの定期実行、マルウェア検知機能、リンク切れ検知機能なども提供する。Cookie以外の追跡技術による外部へのデータ送信の検知・制御も可能だ。

　ライセンスはドメインごとに必要となる。契約期間は12カ月で、料金はオープン価格となっているが、1日あたりのウェブサイト平均訪問者数が50万までの大規模なサイトでも魅力的な料金となっているという。サポートについては、ライセンス購入者が無償で閲覧可能なサポートコンテンツに加えて、実装レクチャーやコンプライアンスチェックなどのオプションサポートも提供する。

　中西氏は締めくくりとして、以下のように語った。

　「プライバシー保護で重要なのは透明性のある情報開示と本人関与機会の提供であり、行動データの取得をいつでも停止できる機能が求められます。Cookieバナーはその手段の1つですが、ブランドサイトではデザインの毀損や離脱率上昇による売上低下の懸念があり、プライバシー保護を重視しつつも導入を断念せざるを得ない状況でした。“出さないバナー”という選択肢がこれらの懸念を解消し、法務担当者と事業担当者、消費者の3者のメリットを実現する戦略であると思っています。

　IIJは創業以来、インターネットの安心と安全を守ってきました。高い品質のインターネット接続、システム開発、セキュリティ開発、そしてプライバシー保護、IIJはこれらを“当たり前品質”で提供してきました。そんなIIJがこれまでの知見を結集して開発したのがSTRIGHTです。」