GDPRの具体的対応〜虚偽の同意取得とならないようゼロクッキーロードを理解する〜


ゼロクッキーロードとは、ユーザーが明確な同意の意思表示をする前に、Cookieを利用するあらゆるJavascriptやピクセルタグを停止する手法のことを言う。 ユーザーが明示的に同意の意思表示をする前(例えばポップアップを画面が表示される前、もしくは表示されている間)に、様々なマーケティングツールがCookieを利用し始めてしまうと、“個人情報を同意なしに利用する”という状況を引き起こすことになる。


 

 GDPRがいよいよ施行されました。デジタルマーケティング界隈でも、日々新たに対応すべき話題が出てきており、今回はゼロクッキーロードについて解説をします。

なお、2018年6月現在、googleにて「ゼロクッキーロード」を検索すると、美味しそうなカロリーゼロクッキーがヒットしますが、本文とは何の関連もありません。

ゼロクッキーロードを定義すると上述のとおりですが、技術面と心理面において中々表に出づらい話題だと感じていますがGDPR対策として押さえておくことは非常に重要です。

ゼロクッキーロードが技術的に難解な理由

ゼロクッキーロードに似た話題は、どちらかと言うとページスピード向上の文脈で語られてきました。ゼロクッキーロードを技術的に理解するにはHTMLとタグの関係を押さえなければなりません。

ブラウザはHTMLを記述の上部から読み込んで行きます。それはデジタルマーケティングツールのタグも同様です。HTMLがメタタグを読んだり、Bodyタグを読んだりする中で、scriptタグがあればそれを読み込むわけです。

これまでは、HTMLの読み込みスピードを上げるために、タグの適切な配置順序が検討されてきました。処理に時間のかかるタグは後回しにし、処理が早いタグを上部に設置すること、同時平行に処理すること、なにかアクションが起きるまでは処理を止めておくなどを検討する必要がありました。

イメージするならば、電車に乗るときに、恰幅のいい人が二人いると乗る時に詰まってしまう、といったような状況でしょうか。どちらかが隣のドアに行けば、電車に乗り込むのもスムーズです。但し、こういった技術面はSEO対策する担当が熟知するものでしたので、ご存じない方も多いものと考えます。

GDPR以降はこういったタグの設置順序検討すらも、GDPR対策の意味でも考えなければなりません。どういうことでしょう?

具体的な例では、ユーザーに同意を求めるポップアップもHTML上で記述されており、同時にデジタルマーケティングツールもHTML上で記述されているので、もし、この順番を誤ればデジタルマーケティングツールから挙動し、その後にポップアップが起動するという状況になります。これが、同意なしに個人情報を利用するシーンとして想定されます。また、タグの設置の順番だけではなく、同意管理(Consent Management)として、非同意のユーザーには、一切タグを発火させないことが必要になります。 ピギーバックによる4th Partyタグも考慮するとこれがなかなか難しい。

GDPR対策としてポップアップを設置している場合は、本当にタグの発火をコントロールできているか、今一度確認することをお勧めします。 なお、GDPRでは、みなし同意や同意の見返りにサービスを提供することは認めていませんので、「このサイトを閲覧を続ける場合、Cookieの使用に同意したとみなします」といった宣言は無効になると考えておいたほうが無難です。

ゼロクッキーロードが心理的に難解な理由

ユーザー目線で考えてみると、「同意取得のポップアップが出ている時、そのまま同意の意思を表示しないければ、Cookieは使用されていないだろう」と捉えることは順当な考え方です。ところが、技術的な落ち度で、実はCookieを使用されている可能性は残ります。

この状況において最も厄介なことは、ユーザーからその事実は発見しづらい、ということです。 ポップアップが出ている間は大丈夫だろうと考えてしまえば、事実を確認しには行きません。また事実を確認するには、Ghosteryといったツールを敢えて使用して確認しなければなりません。Ghosteryというツール自体を知らない人も世には多くいると考えます。

こういった面からゼロクッキーロードは表に出づらい話題になります。

ゼロクッキーロードを自社のGDPR対策に含めるべきか?

GDPR対策はまだまだ解が無い、不透明な部分が多いものです。それゆえに、恐怖心理を煽る言説も飛び交っていますが、恐怖心理を煽るような言説は個人的には懐疑的です。 しかし、ゼロクッキーロードは検討すべきと考えています。 その理由は、中々表に出づらい話題が故に、ゼロクッキーロードを理由に訴え出てくる狡猾な人がいないとは限りません。

ご存知の通り、GDPRの違反は多額の制裁金が課せられます。特にグローバルに展開している企業であれば、リスクヘッジの一つとして、出来るだけ穴は塞いでおくことが賢明な対応と言えるでしょう。

GDPR対策サービスを見てみる

あわせて読みたい記事