「STRIGHT(ストライト)」が実現する、ユーザーのストレスフリーなプライバシー保護とWebサイトの信頼性向上

Webサイトを訪問したユーザーにとって邪魔なバナーを出さずにプライバシーを保護し、ブランド価値を向上させる新しいツールをインターネットイニシアティブ(IIJ)が解説
大村 マリ[執筆] 4/9 7:00
[Sponsored by: ]

プライバシー保護は重視したいものの、UI/UXの毀損(きそん)や離脱率の上昇といった理由から、ブランドサイトやECサイトで敬遠されてきたCookieバナー。IIJの中西康介氏が、Cookieバナーを巡る最新事情と新戦略について解説した。

IIJ ビジネスリスクコンサルティング本部 ビジネスリスクコンサルティング部 中西康介部長

Cookieバナーの役割と構成

多くのWebサイトでは広告やマーケティング目的で、サイト訪問者の行動データを取得している。Cookieバナーは、この事実をユーザーに通知し、望まない場合にデータ収集を停止させる機能を提供するためのものだ。

Cookieバナーの構成は、2層になっている。サイト訪問時に表示される「第1層バナー」では概要を表示し、行動データの取得について同意するか拒否するかを選択する。「第2層バナー」ではより詳細な情報を提供し、目的ごとに同意管理を行う。

Cookieバナーの構成
Cookieバナーの構成

これらは、各国の法域によって表示内容や実装方法が異なるため、一般的には訪問者のグローバルIPアドレスからアクセス元を判定し、その国の法律に適したバナーを自動で表示する仕組みが採用されている。

ブランド/ECサイトにおけるCookieバナー導入の課題

IIJの調査によると現在、国内では約4,200ドメインにCookieバナーが導入されており、その8割をIIJが支援しているという。これらの多くはコーポレートサイトであり、サービスや製品を紹介するブランドサイトやECサイトでのCookieバナー導入は一部にとどまる。ユーザーの行動データを取得しているにもかかわらず、詳細な説明や処理を停止する機能が提供されていないのが実情だ。

Cookieバナーの導入状況
Cookieバナーの導入状況

なぜCookieバナーの導入が進まないのか。その理由はいくつかある。

まず、Webサイトのデザインがバナーによって損なわれてしまう点だ。バナーが表示されることで、ユーザーの離脱率が上がる可能性がある。さらに、ユーザーが拒否を選択した場合、コンバージョンなどの測定ができなくなってしまう。こうした懸念があるため、「法的義務がない限りCookieバナーを導入したくない」と考える担当者は少なくない。

電気通信事業法では、情報発信サイトやSNSといった4類型に該当する電気通信事業を営む事業者は、Cookieなどの外部送信サービスに関して、利用者情報や利用目的などを通知または公表する義務があるが、バナー表示は必須ではない。つまり、日本においては、ほとんどのWebサイトでCookieバナーの導入は義務ではない。

しかし、法的義務の有無によらず、積極的に情報開示を行う透明性の確保と、嫌な場合はいつでも拒否できるようにする「本人関与機会の提供」は必要だ。(中西氏)

IIJ ビジネスリスクコンサルティング本部 ビジネスリスクコンサルティング部 中西康介部長
IIJ ビジネスリスクコンサルティング本部 ビジネスリスクコンサルティング部 中西康介部長

不適切なバナーは改善を

大事なのは「知らないうちに自分のデータが収集された」「Cookieを拒否したいのにこのWebサイトではそれができない」というように、利用者が嫌な思いをしないようにすること。プライバシーをしっかり保護している企業であることを伝えるためには、Cookieバナーを積極的に出すことも有効だ。

しかし、出せば良いというものではない。たとえば以下の図のように、同意が強調されていて同意に誘導されているようなデザインや、ユーザーに拒否権がないバナー。欧州ではこのようなCookieバナーを規制しているが、日本国内ではまだ多く見られるという。

不適切なCookieバナーの例
不適切なCookieバナーの例

また、「Safari」ではCookieが24時間で削除されるため、「昨日同意したのに、今日もバナーが出る」といったことが起こり、これが続くと利用者の「同意疲れ」につながり、同意が形骸化してしまうという問題が生じる。

中西氏は「こうした形骸化がダークパターンを助長する一因になっている」と話す。ダークパターンとは、ユーザーを意図しない行動に誘導するデザインやUIのことで、解約をわざと複雑にしたり、不要なオプションをこっそり購入させたりすることを指す。「Cookieを取得して欲しくない」と考えるユーザーが、簡単に停止できないWebサイトもこのダークパターンに含まれる

Cookie取得を容易に停止できないWebサイトはダークパターンと判断される
Cookie取得を容易に停止できないWebサイトはダークパターンと判断される

ダークパターン対策とNDD認定

一般社団法人ダークパターン対策協会は、誠実なWebサイトを認定する制度「NDD(Non-Deceptive Design)認定」を2025年7月から開始する予定。中立な第三者が審査を行い、基準を満たしたWebサイトに対し、改ざん不可能な認定ロゴマークを付与する。企業の透明性向上を促し、消費者が安心して利用できる環境の整備をめざす制度だ。

有識者や消費者庁、総務省をはじめとする政府関係者が策定した「ダークパターン対策ガイドライン」では、目的ごとに同意の撤回が容易にできることが必須条件になっており、Cookie取得についても対応を求めている

ダークパターン対策の取り組み
ダークパターン対策の取り組み

ダークパターン対策協会は、問題のある企業が繰り返し不適切な手法を用いている場合、消費者庁や国民生活センター、公正取引委員会に通報する仕組みを設けている。今のうちにガイドラインに沿ったCookie同意管理ツールの導入をお勧めする。(中西氏)

「バナーを出さない」という新たな選択肢

このような状況を踏まえ、IIJではプライバシー保護とWebサイトの利便性の両立をめざす方法を模索してきた。たどり着いたのが、「サイト訪問時にバナーを出さない」という方法だ。Cookieバナーを導入すると、必ずサイト訪問時にバナーが出るという印象だが、「NDD認定」のガイドラインでは、バナーは必ずしも出さなくても要件を満たせることがわかった。

出さないバナーの概要
「出さないバナー」の概要

たとえばフッターに「プライバシー設定」という文言を配置し、そこをクリックすれば、詳細設定が可能なバナーがポップアップするといった設定にして、サイト訪問時にはバナーを出さない――。これであれば、目立つことなくプライバシー保護を実現できる。利用者もストレスフリーで、気になったときにはすぐに詳細説明を見ることができ、嫌であればいつでも処理を止められる

出さないバナーは三方よしの解決策
出さないバナーは三方よしの解決策

新しいプライバシーツール「STRIGHT(ストライト)」とは

IIJはこの「出さないバナー戦略」に対応した、従来のCookieバナーに代わる新しいプライバシーツール「STRIGHT」を開発した。

IIJは創業以来、インターネットの安心と安全を守ってきた。高い品質のインターネット接続システム開発、セキュリティ対策、そしてプライバシー保護を「当たり前品質」で提供してきたIIJが、これまでの知見を結集して開発したのが「STRIGHT」だ。(中西氏)

「STRIGHT」には6つの特長がある。

①カスタマイズ自由度の高いバナー

第1層(同意バナー)、第2層(プライバシー設定バナー)ともに、「GDPR(EUが個人データの保護を目的に制定した法令)」や「CCPA(カリフォルニア州消費者プライバシー法)」など、各法規に合わせた柔軟な設定が可能。「STRIGHT」独自の機能として、国や年齢など特定の条件に合った訪問者だけをアクセス可能にする「サイトフィルタリングバナー」を標準装備している。

「STRIGHT」のサイトフィルタリングバナー
「STRIGHT」のサイトフィルタリングバナー

②電気通信事業法・外部送信規律対応

改正電気通信事業法による外部送信規律(日本版Cookie規制)に対応できるよう、バナーによる通知と、情報開示用ページを動的に作成する機能を有する。

外部送信規律対応の通知機能と公表機能
外部送信規律対応の通知機能と公表機能

③Cookieレス時代に対応した外部送信サービスの検知・特定

「STRIGHT」はCookieだけでなく、すべての外部送信サービスを検知・制御できる。これにより、将来新しいトラッキング技術が出きた際にも対応可能だ。特定した外部送信サービスは「STRIGHT」のサービス辞書と自動突合される。

④グローバル対応

「STRIGHT」はGDPRやCCPAなど世界各国の法規制にも対応することをベースに作られているため、法域に応じた出し分け設定が簡単に行える

⑤使いやすいテンプレート

IIJには各国のプライバシー保護やデータ保護に関する法規制を調査する専門チームがあるため、新たな法規制が出てきた場合は速やかにテンプレートに反映していく。これにより、常に最新の法規制に対応したテンプレートを利用できる

⑥便利な管理機能

ダッシュボードでバナーの同意率、拒否率、訪問者数を確認できるほか、複数の承認段階を設定できるワークフロー機能を標準搭載しており、厳密な変更管理が行える。また、外部送信サービスのスキャン時には、同時にマルウェアの検知やリンク切れの確認も行う

IIJによる新しいプライバシーツール「STRIGHT」
IIJによる新しいプライバシーツール「STRIGHT」(https://www.bizris.com/STRIGHT/jp

年額10万円台前半から導入できるプライバシーツール

料金はライセンスとサポートで構成されている。ライセンスはドメインごとに必要となり、契約期間は12か月。料金は1日あたりの平均訪問者数が50万までのサイトで年額10万円台前半程度(平均訪問者数が50万以上の場合は、訪問者数に応じた段階課金)。

サポートに関しては、ライセンスを購入すると無償で閲覧可能なサポートコンテンツと、有償のオプションサポートがある。

プライバシー保護やデータ保護規制対応の専門家集団による「STRIGHT」のサポートメニュー
プライバシー保護やデータ保護規制対応の専門家集団による「STRIGHT」のサポートメニュー

世界各国でさまざまなサービスを提供するIIJは、これまで620社以上のコンサルティング実績と800社以上のCookieバナーの導入実績を持つ。加えて、4000社以上が利用している国内外のプライバシー保護規制への対応支援サイト「BizRis(https://portal.bizrisk.iij.jp/)」も運営している。

BizRisの調査チームは世界各国の最新動向を毎日モニタリングしており、「世界のプライバシー保護規制調査レポート」を6か月ごとにアップデート・発信している。豊富な知見やノウハウをSTRIGHTに還元しており、ユーザー企業が独自のチューニングをすることなく、簡単・適切に導入できるサポート体制をすでに構築している。

Cookieバナーツールの運用には、ライセンス費用だけでなく、法律要件や技術要件に関する調査検証など多くのコストが発生する。IIJの最大の強みは、単なる“ツール屋”ではなく、技術的知見はもちろん、法規制や各国の実装方法など豊富な知見を持つ専門家集団が、「STRIGHT」の導入・運用を多角的にサポートできる点にある。その結果、トータルコストを最小限に抑えながら、スムーズに導入、運用できる。(中西氏)

[Sponsored by: ]
この記事が役に立ったらシェア!
関連リンク: 
関連記事: 

ネットショップ担当者フォーラムを応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]

[ゴールドスポンサー]
[スポンサー]