最近、新しいオウンドメディアの立ち上げに関わっています。

そのメディアは海外の人もターゲットとして準備を進めているのですが、そうなると注意しなければいけないのが個人情報保護関係。

特にEU圏には日本よりはるかに厳しいGDPR(General Data Protection Regulation:一般データ保護規則)というものがあり、基準に満たない不適切な個人情報の取り扱いをしていると罰金等もあり得ます。

GDPRに関する詳しい説明は本記事では省きますが、日本で運営しているサイトでも、外国人向けのコンテンツであれば注意するべきという感覚ですね。

というわけで、GDPRで個人情報に含まれるCookie等の同意をオプトインで取得する方法を色々検討したのですが、最終的にOsano Consent Managementが一番良いと思ったので紹介します。

スポンサーリンク

GDPRを意識したCookieの同意取得に関するウェブ担当者の苦悩

GDPR

今回、Cookieの同意を取得するにあたって、一番面倒だったのが「オプトインで同意を取得する」という点でした。

日本では「このサイトの閲覧を続けた場合、同意したものとみなされます」と案内する運用で問題ないというような暗黙の了解があります。というか、こういったメッセージを初回閲覧時に出すことなく、プライバシーポリシーのページにだけ明記しているというサイトがほとんどではないでしょうか。

こうした日本式のプライバシーポリシーにおいては、Cookieの利用を停止したい場合はブラウザの設定等で対応してくださいね、というオプトアウト式なルールになっていることがほとんどでしょう。

しかし、GDPRはそうはいきません。オプトインで同意を取得するように規定されています。つまり、GDPR対応を行うには、以下の機能を実装することが必要というわけです(実際はもっとしっかり対応が必要です)。

  • 初回閲覧時にCookie利用について案内し、同意の場合のみ有効にできるようにする
  • Cookie利用の同意が得られるまではCookieの利用を停止する

このあたりで普通のウェブ担当者は頭を抱えます。エンジニアではないので、そもそもCookieの有効化・無効化をどのようにコントロールすれば良いかがわからないのです。

オプトアウト式なら「こうやってブロックしてくださいね~」で済んだところですが、オプトインでその手は使えません。なぜなら、Cookieはアクセス時に自動で付与されるからです。同意を得ていない段階でブロックするには、自分のサイトに来てもらう前にブラウザ等の設定をしてもらう必要があります。

GoogleアナリティクスやGoogleアドセンスも、同意を得るまでは動かしてはいけません。難しいですよね。

このあたりに明るいエンジニアが幸いにも協力的かつ工数が空いていれば良いのですが、そこまでのリソースがないことも多いのが現実です。

そうなると、自分でJavaScriptを書く必要がなく、かつ適切にCookieとポリシーの運用ができるツールが必要になってくるのです。

Osano Consent Managementのすごいところ

osano content management
画像引用元:Osano公式サイト

というわけで、色々なツールやプラグインを検討したのですが、僕が最終的に一番良いなと思ったのがこのOsano Consent Managementでした。

先に言っておきますが、英語ができないと使えないと思います。(というか日本語でGDPR対応ができるツールなんてあるのか……?)

公式サイト Osano Consent Management

3rd Party Cookieの自動ブロック機能

このツールはCookie同意の取得のためのメッセージやボタンを出すだけに留まらず、その同意が取得されるまでは3rd Party Cookieを自動でブロックしてくれるというのが強力です。

オプトインで同意を取得するなら必須の機能なのですが、実装しようとすると有料のツール・プラグインが多いところ、Osanoは無料でやってくれます。本当に素晴らしいです。

現実的な話をすると、対応しているサイトも少ないGDPR対策のツールで、かつ慣れていないことだから使いこなせるかどうかもわからないとなると、有料プランに申し込むことを社内で提案しづらいですよね。無料なら「とりあえずこれで試してみたい」と言えます。

Cookie自動検出機能

また、設定したサイトで読み込まれたCookieを自動で検出してくれるところもすごいです。これも他のプラグインでは有料機能になっていて、「無料の人はブロックするCookieを自分で検出してね!」となっています。

Osano Consent Managementを導入すれば、登録したサイトで使われているCookieを自動検出し、それらに対してオプトインでの利用同意を取得することができます。ここまで無料でできるのが、このツールを選んだ最大の理由です。

アクセス元に応じた同意メッセージの出し分け

ここは設定していて少しびっくりしたところなのですが、どうやらGDPRで厳しいEU圏等と、比較的ゆるい日本等では出てくるメッセージが自動で変わるようです。

Osanoの設定画面ではオプトインにしていたのですが、前述の通り日本は「閲覧を続けたら同意とみなす」という暗黙の了解的運用があるからか、日本からのアクセスでは「閲覧を続けたら同意」のメッセージのみが表示されました。3rd Party Cookieもデフォルトでブロックはされていません。

しかし、EU圏からのアクセスをWebPageTestで確認してみると、こちらは同意するCookieの種類を選べるオプトイン用のメッセージになっていました。

「Cookieの利用に同意にしますか」と聞かれたら、よくわからない人はとりあえず拒否すると思います。厳しいところだけオプトイン式にすることで、利用の同意を得られにくくならないようにしているのですね。

なお、ここは大事なので強調しておきますが、Osano Consent Managementを無料で導入しただけでは、完全なGDPR対応とはなりません。現地にrepresentativeを置くというとんでもなく難易度の高いものを含めて複数の要件があるので、EU圏がターゲットに入るウェブサイトを運営する人は調べてみてください。

まとめ

というわけで、Osano Cookie Managementはすごく良いぞという話でした。

詳しい使い方については僕も手探り中であるのと、ちょっと力尽きたのでいずれ別記事で紹介する形にしたいと思います。ちなみに、英語ができる方は下記から公式ドキュメントをチェックできます。

参考記事 Getting Started with Consent Management – Documentation | Osano

特に多言語サイトを作ろうと思っている方などは、ぜひ参考にしてみてください。