ユーザーの利便性を高めてくれるクッキーだが、ネット広告の配信でも重要な役割を果たしている。他のサイトで見た商品の広告が別のサイトでも表示される「行動ターゲティング広告」がその典型だ。ネット広告事業者は各サイトがユーザーの端末に付与しているクッキーを名寄せし、サイト間でユーザーの行動履歴を共有する「クッキーシンク」と呼ばれる仕組みを提供している。「この仕組みが10年ほど前にできたことで、広告枠の単価は100倍になった」とあるネット広告業の経営者は語る。

 中には行動ターゲティング広告を「つきまとわれているようで気持ち悪い」と感じるユーザーもいるだろう。そのため、欧州はクッキーを個人情報として保護対象に指定。ポップアップなどで注意を喚起し、クッキーを取得することや第三者提供をすることについて、ユーザーの同意を取るよう各企業に求めている。他方、日本の個人情報保護法はクッキーを保護対象にしていない。そのため、同意がなくても取得や第三者提供ができてしまう。

 GDPRはクッキーを個人情報として取り扱うことを一部の域外の企業にも求めている。西村あさひ法律事務所の石川智也パートナーはこう解説する。「欧州居住者を対象にしたサービスを提供しているサイト、または欧州居住者の行動を“監視する”仕組みがあるサイトは、日本の企業でも対象になる」。

 前者に該当するのはドイツ語やフランス語でも表示をしているゲームや旅行関連のサイトなど。より適用範囲が広いのは後者だ。「グーグルアナリティクスのようなアクセス解析ツールを利用しているだけで“監視”とみなされる可能性がある」(石川氏)。欧州居住者が自社のサイトを訪れるかどうかは前もってわからない。「クッキーと解析ツールを使っているサイトは原則対応すべきだと思った方がいい」(同)。運用会社のMFSインベストメント・マネジメントのように、欧州のサイトと同様のポップアップで同意を求める日本企業も出てきている。

クッキーを巡るルールが一変?

 こうした対応をさらに厳しく迫るのが、欧州委員会が最終調整を進めている「eプライバシー規則」だ。一部では「クッキー法」とも呼ばれている。本来、GDPRと同じタイミングで施行されるはずだったが、域内企業の反発が多かったため継続審議となっている。「2018年内か19年にも内容が固まる見通しで、GDPRと同じ課徴金と域外適用の制度が組み込まれるとみられる」(石川氏)

 そのポイントは、行動ターゲティング広告のような追跡行為を受け入れるか否かをユーザーに明確に確認することや、クッキーの提供を拒否するユーザーにも平等にウェブサービスを提供することなどだ。つまり、ユーザー側が希望しないクッキーでの追跡行為を排除することを求めている。

 ポップアップの説明が「マーケティングに利用する」などあやふやなものだと、同意とは認められなくなる可能性がある。前出のネット広告業の経営者は「クッキーの提供者が激減し、ネット広告の収益モデルがひっくり返る可能性がある。ネット上の無料サービスが維持できず、課金が必要になる例が増えるかもしれない」とeプライバシー規則の先行きに気をもむ。

 これまで多くのネット事業者が「分かりにくい説明をすることはユーザーにかえって不親切だ」という理屈で、同意をせずに、あるいはあやふやな同意でクッキーを取得したり外部提供したりしてきた。しかし、米フェイスブックの情報流出問題などを背景に、こうしたネット広告の“常識”に疑問を抱くユーザーも増えている。

 マーケティング会社のイーライフ(東京・渋谷)が5月に発表した約2400人へのアンケート調査では、「ネット広告で印象が良かった、または役に立った」ことは「ない」という回答が約80%に上った。ネット広告に懐疑的な人にも関係なくクッキーを使って追跡している現在の広告ビジネスモデルは、むしろ広告主のブランドを傷つける可能性すらある。

 eプライバシー規則により、こうしたユーザーの懐疑的な声はさらに強くなる可能性がある。現在のネット広告がはらむ問題に大きな波紋を投げかけることになりそうだ。