Cookieのオプトアウト

2025-04-22 公開 2025-04-22 更新 GitHub
本文

概要

日本に影響がまだないのは割と知られているけど、あるWebブラウザゲーム開発で必要になりかけたので調べてみる。

法律寄りの話題になってしまうので、ある程度実装寄りでまとめる。

以下が軽くわかる程度でまとめる

  • Cookie の オプトアウト、オプトインとは
  • GDPR, ePrivacyについて軽く
  • 日本に影響があるか
  • Cookieの同意が不要なケース

以下のような Cookie 同意バナー をたびたびサイトで見ることがある。

alt text

これはいったいどういった取り組みか

Cookie に関する規制 - MDN

Cookie の使用を対象とした法規制には、以下のようなものがあります。

  • EU の 一般データ保護規則 (GDPR)
  • EU の ePrivacy 指令
  • カリフォルニア州消費者プライバシー法

    これらの規制は、これらの管轄区域(EU とカリフォルニア州、特にカリフォルニア州の法律は総収入が 2,500 万ドルを超える事業体にのみ適用されるという注意事項がある)のユーザーがアクセスする全世界のウェブ上のあらゆるサイトに適用されるため、世界的な広がりを持っています。

Cookie同意バナーは、ジオロケーション(IPアドレス等)からユーザーがEU圏内からアクセスしていると判断した場合に表示されるよう設定されることが一般的

EU(外国制度) - 個人情報保護委員会

以下は規制の要件

  • サイトが Cookie を使用することをユーザーに通知すること。
  • ユーザーが一部またはすべての Cookie をオプトアウトできるようにすること
  • ユーザーが Cookie を受け取らなくても、サービスの大部分を利用できるようにすること。

とあるように、通知・オプトアウト可能にすることと、cookieを受け取らなくてもサービスの大部分を利用できるようにすることといった条件がある

ログインセッションってどこに保持すべきか

Cookieの同意がされない場合、ログインセッションなどをCookieに保持しているアプリケーションの場合ログインセッションをCookieに保持できなくなる。

しかし、ファーストパーティのセッションクッキーは同意バナーの対象外にできるらしいので、同意がされなくてもログインセッションのようなそのWebアプリケーションで重要な役割を果たす場合は免除されるケースがあるとのこと。

Are there any exemptions?(免除はありますか?) - ICO

同意が必要になる可能性は低い:

  • ユーザーがインターネットショッピングウェブサイトで商品をオンラインバスケットに入れたり、チェックアウトに進んだりする際に、購入したい商品を記憶するために使用されるCookie
  • ユーザーが要求したオンラインサービス(オンラインバンキングサービスなど)のデータ保護セキュリティ要件に準拠するために不可欠なセキュリティを提供するセッションCookie
  • または複数のコンピュータに作業負荷を分散することにより、ページのコンテンツが迅速かつ効果的に読み込まれるようにするロードバランシングCookie。

後でじっくり読みたいブログ

法務のためのCookie(クッキー)講座② ~同意とオプトアウト/クッキーポリシー~

以下のサイトだと必須のクッキーは拒否も同意もできず、個人情報が含まれないCookieであると言う注意書きのポップアップが出るようになっている。

WOVN.io | ウェブサイトを多言語化
WOVN.ioはウェブサイトのローカリゼーションサービスです。わずか数ステップで、あらゆる言語でリーチを拡大できます。
wovn.io

ちなみに、Google fontやFont Awesome, Adobe FontsをCDN経由で読み込むケースでは、 GDPR違反となるらしい。(Google font読み込み時にGoogleサーバーに閲覧者のIPアドレスが送信されることから、プライバシーの侵害とみなされるとのこと)

ダウンロードしてwoff形式でセルフホスティングするのが安全ではある。

ドイツでGoogle FontsをWebサイトに使うと訴えられる?|畑洋子 | ドイツ発 デザイン&翻訳
2022年からドイツで急増! Webサイト運営者に送りつけられる警告書 ※本記事は、ドイツでWebサイトを運営している人に向けて書かれています。 2022年の秋になって、Google Fontsの使用によるGDPR(EU一般データ保護規則)違反について、Webサイト運営者が警告書を受け取るケースがドイツで急増していると聞きました。私自身Google FontsをWebサイトに使うことが多いので、何が問題なのか、どう対応すれば良いのかを調べました。ここに簡単にまとめてみましたので、ドイツでWebサイトをお持ちの方、これから作ろうとしている方の参考になれば幸いです。 Googl
note.com

実装方法とベストプラクティス

Cookie に関する通知のベスト プラクティス  |  Articles  |  web.dev
Cookie に関する通知がパフォーマンス、パフォーマンス測定、ユーザー エクスペリエンスにどのように影響するかをご確認ください。
web.dev

パフォーマンスとユーザビリティを重視して Cookie に関する通知を最適化する。

通知実装のパフォーマンスの最適化について書いてあるが、興味ある時に軽く見る程度にする

CMPツール(同意管理プラットフォーム)と呼ばれるもので同意管理を行える。 代表的なのはCookie firstなど。

(仕事でCookie firstというサービスの調査を行ったがあまり覚えてない)

参考

Cookie に関する規制: https://developer.mozilla.org/ja/docs/Web/HTTP/Guides/Cookies#cookie_%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E8%A6%8F%E5%88%B6

EU(外国制度) GDPR(General Data Protection Regulation:一般データ保護規則): https://www.ppc.go.jp/enforcement/infoprovision/EU/

Cookies and similar technologies: https://ico.org.uk/for-organisations/direct-marketing-and-privacy-and-electronic-communications/guide-to-pecr/cookies-and-similar-technologies/

法務のためのCookie(クッキー)講座② ~同意とオプトアウト/クッキーポリシー~: https://www.tmi.gr.jp/eyes/blog/2022/13217.html

ドイツでGoogle FontsをWebサイトに使うと訴えられる?: https://note.com/suii_design/n/n0aa9fb728e48

Cookie に関する通知のベスト プラクティス: https://web.dev/articles/cookie-notice-best-practices?hl=ja

そのデータ活用、もういちどチェック! - LINEヤフー Tech Blog: https://techblog.lycorp.co.jp/ja/20240515a

Cookie に関する通知のベスト プラクティス: https://web.dev/articles/cookie-notice-best-practices