Cookie? 同意の表示しないといけないの? めんどくさいな? スマホだとウチのWebサイトほとんど見えなくなるじゃん....
ハッキリ言って Cookie法案、ネガティブですよね。
しかし、個人情報を守る、という点では重要。
そこで期限が迫りつつもなかなか考えることのできない Cookie法案、 Cookie対策について独自意見を述べさせて頂きます。
Cookieの同意表示はなくてもOK?
CookieがWebサイトに使用されるケースとしては主に以下のパターン
- Google Analytics
- 入力フォームがある場合(CSRFありの場合)
- WordPress
- ネット通販 などなど
まず大前提として個人関連情報の Cookie を使用していても、バレないんじゃない、と考える方も。コレは完全にバレます、誰でも Cookie を使用しているかどうか分かります。
ただし、Cookieの内容については.... 分からないことも。
Yahoo!Japan を例に見ると主にユーザー情報やアクセス時間、場所?を Cookie に記録しているように見えます、しかし、具体的な内容は分かりませんね。
法律は難しい、 Cookie の内容は分かりづらい、じゃあどうすればいいの? って感じですよね。
全てのCookie法案のテキストを読んだわけではありませんが、日本は欧州を事例にしている、という点を踏まえると 免除 というキーワードがポイントになってきます。
Cookie同意を免除できるケース(イタリア)
- 設定用Cookie
- セッションCookie
- テクニカルで必須のCookie
Cookie同意を免除できるケース(イギリス)
- ユーザー入力の記憶用Cookie
- セキュリティ確保用Cookie
- ストリーミング・コンテンツ配信用Cookie
国によってルールは異なり、アメリカのカルフォルニアは Cookie同意 不要なんですね。
Cookie法案の背景や欧州の流れを見ると、 セキュリティ的に必要な個人に関係しない Cookie は 同意が不要かもしれませんね。(入力欄の CSRF など)
一部のコミュニティでは、
特定の人に結び付けられない限り、EU法に従って、セキュリティ関連のCookieを保存することが許可されています
と。
仮に Cookie に同意していない場合、入力フォームを送信すると以下のように。
実際に Cookie 同意あり・なし で入力フォームを制御しようと思うと、ちょっと面倒です。
また Cookie 同意ありのパターンでWebを運用していくとなると、同意データを記録しておく必要が出てきますね。
同意データは、かなりの量になると予測され、コレまた企業の本質とは違う活動になりそうな予感...
つまりできれば Cookie同意 運用しない方が楽。
上記で述べたような Google Analytics や 入力フォーム、 WordPress を使わなければ Cookie の同意は不要なんですね。
Google AnalyticsをCookieレスに
静的なWebサイトでもどれぐらい見られているか確認するために Google Analytics を利用されている方は多いと思います。
Google Analytics も Cookie を使用し、 Cookie同意が必要、と考えられますが、以下の場合では Cookieレスも可能に。
- Google Analytics バージョン3を使っている
- PHP か Node.js か Ruby か Python、 Perl 等が動くサーバーを使っている
- WordPressではない
Google Analytics のバージョンについては、管理画面から GA4設定アシストを開き、未接続なら Cookieレスの対象に。
実際にこのサイト(Python)で試したところ、ちゃんとトラッキングし、コンバーションも拾ってくれています。
Cookieレスにしたコード
view.py
#GoogleAnalytics Cookieレス
try:
today = datetime.now()
week = today.isocalendar()#tuple
week = week[1]#int 今年の何週目?
client_ip = get_ip(request)
user_agent = request.META.get('HTTP_USER_AGENT')
language = request.META.get('HTTP_ACCEPT_LANGUAGE')
host = request.META.get('HTTP_HOST')
GoogleId = client_ip + host + user_agent + language + str(week)
HashGoogleId = hashlib.md5(GoogleId.encode()).hexdigest()
except:
HashGoogleId = ''
context = {'GoogleId':HashGoogleId}
return render(request, 'machi_web/index.html', context)
HTML
gtag('config', 'UA-123456789-1', { page_path: location.pathname,client_storage: 'none', anonymize_ip: true , client_id:'{{GoogleId|safe}}' })
普通はユーザーがサイトにアクセスして、その人のIPアドレスや場所、言語などを元に Google Analytics が ユーザーID を発行していることを、 Google ではなくプログラム上で ユーザーID を発行し、運用するという方法。
Cookie に頼ることなく、ユーザーのアクセス情報を元にその人の情報を Google Analytics に送信するので、 Cookieレス、ということですね。
静的なサイトで Google Analytics のためだけに Cookie の同意.... という方は、 Google Analytics の Cookieレス、検討してみるのもいいかもしれませんね。
まとめ
実際に運用が始まり、どのケースがバツでどのケースが○、という指標がないと動きにくい Cookie法案ですが、来年の施行を考えると、ある程度の対策は検討しておきたいですよね。
また Cookie同意の運用対策やって、とWeb担当者に言っても、即対応、とはならないかもしれません。
私の場合も 7月まで詰まっていますし、何より Cookieの同意データの運用がネックになってきますよね。
その他諸々Webサイトにはいろいろ期待とお金、ストレスがあると思いますが、こうした変化に対応できなく淘汰されていく Web の世界を考えると、Web に注力してみるのも悪くないかもしれませんね。
Cookie の技術的なご相談は、町のWeb屋 大島 を検討されてみてはいかがでしょうか?
Cookie法案 トピックス
- 2020年12月フランスのデータ保護機関が、Cookieを利用した広告をめぐり Google に 約126億円、Amazon に 約44億円 の制裁金を科した
- Cookieの運用、違法な場合は日本 最大1億円の罰金
- 2020年9月時点で国内大手企業のWebサイト 5% が Cookie 対応済み
参考
免除について
-
https://cookie.bizrisk.iij.jp/blog/cookie-faq-01
-
https://www.iubenda.com/en/help/5525-cookies-gdpr-requirements
-
https://forum.codeigniter.com/thread-71296.html
-
https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-of-cookies-and-similar-technologies/how-do-the-cookie-rules-relate-to-the-gdpr/
Cookie関連のニュース
-
https://privtech.co.jp/blog/data/cookie_obtaining_consent.html
-
https://www.bci.co.jp/nichiryu/article/6704
-
https://www.afpbb.com/articles/-/3320668
Cookieチェッカー
-
https://www.cookieserve.com/
Cookie Less
-
https://goenning.net/2021/02/01/cookieless-google-analytics/
追伸:2020.04.19
Cookie を データベース管理していなく、 第3者にも提供する予定がなければ Cookie 規制の対象外?
弁護士さんの記事と法律文章を読んでみると多くの場合で Cookie の同意表示及び管理は不要?と思えるようになってきました。
興味ある方は、参考にしてみてください.