「法務のためのCookie（クッキー）講座①」では、Cookie（クッキー）の基本的な仕組みと種類についてご説明しました。今回は、Cookieの利用について同意を取得する方法、同意の撤回やオプトアウト手段、さらには、クッキーポリシーについてお話ししたいと思います。

Cookie同意／Cookieバナー／CMP

「欧州Cookie法について」に書いたとおり、eプライバシー指令では、Cookieをユーザーの端末に保存したり、保存されたCookieから情報を収集したりする場合には、事前に、ユーザーに対して明確かつ網羅的な説明を行った上で、ユーザーから同意を取得しなければならないとされています。

このようなルールを遵守するために用いられるのが、Cookieバナーと呼ばれるものです。Cookieバナーは、ユーザーがウェブサイトを訪問した際に画面上に表示され、Cookieの利用についての説明文を表示するとともに、同意ボタンやチェックボックスにより、ユーザーに対してCookie利用への同意・不同意の選択を求めます。ユーザーは、全てのCookieについて一括して同意・不同意を選択できることに加え、Cookieの種類ごとに同意・不同意を選ぶこともできます。ただし、eプライバシー指令上、必須Cookie（strictly necessary cookie）については、ユーザーの同意を得ることなく使用することができるとされていますので、同意・不同意の選択対象とはされません。ユーザーはCookieバナーで同意を行った後、いつでもこの同意を撤回することができますので、ウェブサイトの運営者は同意撤回の仕組みも用意しておく必要があります。

現時点で、日本にはCookieの利用自体を規制する法律はありませんから、日本企業が運営する日本国内向けのウェブサイトであれば、通常、Cookieバナーによる同意取得を行う必要はありません。しかし、近年、ウェブサイト上でCookieバナーを表示する日本企業が少しずつ増えているようです。欧州向けのウェブサイトを運営していることが理由の場合もありますが、法令上は不要であるもののユーザーのプライバシーに配慮して同意を取る例や、CookieバナーでCookie利用に関する説明文は掲示するものの同意までは取得しないという例も存在します。

また、CMP（Consent Management Platform）と呼ばれるツールは、Cookieバナーを表示して同意を取得し、ユーザーごとに同意の有無や同意撤回の有無を記録・管理し、さらに、同意の有無に応じてCookieの発行・不発行を決定するという一連のプロセスを自動的に行ってくれるツールであり、世界で広く用いられるようになっています。

なお、電気通信事業法の改正により、Cookie等を用いたユーザー端末からの情報の外部送信に関して新たな規制が導入される可能性があることについては、「法務のためのCookie（クッキー）講座①」で言及したとおりです。

Cookie利用の無効化/オプトアウト

ユーザーには、Cookieバナー以外にも、Cookieの利用をコントロールする手段があります。

まず、ブラウザの設定でCookieをブロックする方法があります。Cookieバナーは、ユーザーがウェブサイト単位でCookieの利用を許すか否か選択するものです。それに対して、ブラウザ設定の方法によれば、ユーザーは、すべてのウェブサイトとの関係でCookieをブロックすることができます。また、3rd Party Cookieのみをブロックするといった設定も可能です。

次に、広告配信事業者が提供するオプトアウト手段を利用する方法もあります。3rd Party Cookieを利用してターゲティング広告の配信を行っている広告配信事業者は、自らのウェブサイトにおいて、ユーザーが自社によるターゲティング広告の配信等からオプトアウトする手段を提供していることがあります。なお、一般社団法人日本インタラクティブ広告協会（JIAA）の定める「行動ターゲティング広告ガイドライン」においては、広告配信事業者は自身のウェブサイト内においてオプトアウト手段を提供すべきであり、他方で、ターゲティング広告が配信される媒体（ウェブサイト）には、オプトアウト手段が提供されている広告配信事業者のウェブサイトへのリンクが掲載される必要があるとしています。

また、ユーザーの便宜のために、複数の広告配信事業者について、ひとつのウェブサイトでオプトアウトが行える仕組みも提供されています。この仕組みは、広告配信事業者等の業界団体によって提供されているものであり、世界的にはNetwork Advertising Initiative（NAI）や、Digital Advertising Alliance（DAA）が運営するオプトアウト用サイトが有名です。日本でもData Driven Advertising Initiative（DDAI）が同様の仕組みを提供しています。

また、「法務のためのCookie（クッキー）講座①」でお話しした通り、モバイル向けアプリにおいては、ターゲティング広告のために、Cookieではなく、広告ID（広告識別子）が用いられますが、Android製品やiOS製品では、OSの設定画面から広告IDの利用をブロックすることができます。

クッキーポリシー

クッキーポリシーは、Cookieの機能や種類、Cookieを利用する目的、Cookie同意の撤回方法、前述のオプトアウト手段などを説明したポリシーです。クッキーポリシーを独立したポリシーとして作成する方法の他に、Cookieに関する説明をプライバシーポリシーの一部に組み込む方法も考えられますが、その場合には、表題等によりCookieに関する説明がどこにあるのか一目で分かるようにしておくことが望ましいといえます。クッキーポリシーの中には、さらに、Cookieに似た仕組みである広告IDやSDKについて説明するものもあります。まとめると、クッキーポリシーでは、次のような項目が記載されることが多いといえます。

・Cookieが何かの説明
・Cookieの種類と種類ごとの利用目的の説明
・同意撤回の方法に関する説明
・ブラウザを用いてCookieをブロックする方法の説明
・3rd Party Cookieの発行元である広告配信事業者のリストと、オプトアウト用のウェブページへのリンク
・クッキー類似の仕組みについての説明

クッキーポリシーについては、プライバシーポリシーと同様に、ウェブサイトのフッターなどにリンクを設置するほか、Cookieバナーの中にもリンクを設置することになります。