この記事はただの理系大学2回生が英語圏のネット記事漁ってまとめただけの記事ですので、内容に関して法律的に正しいか保証できず、責任を取れません。(内容が古くなる可能性もあります)
対象地域にあわせ、各法律をご参照の上、あくまでも参考程度にお願いいたします。
Cookie使用同意の必要性
最近のインターネッツでは、よく「Cookie使用同意」が求められるバナーが出てきますよね。(特に英語・EU圏!)
参考:EUトヨタのホームページ。日本トヨタのサイトではこのようなCookie同意バナーは表示されない。
実は、EUではGDPRという個人情報保護法において、Cookieの扱い方が厳格に規定されています。
日本でも、EUほど厳しくはありませんが、2022年4月にCookieに関する規制がなされていまして、我々エンジニアも目を背けることはできません。(参考)
GDPRが厳しすぎるあまり、GDPRさえ満たせれば基本的にどこの地域でも大丈夫だと言われています。そこで、特にweb開発をされている方は、GDPR基準でのCookie同意の扱いについて知っておくべきではないでしょうか。
問題提起
本記事の問題提起はこちらです。
Cookie使用同意を拒否した場合、Cookieは一切使えない?サーバーが取得しない場合でも?
もしそうだとするとフロントエンド開発がずいぶんやりづらくなります。
個人情報の文脈で登場するCookieには、ユーザーの閲覧の追跡などマーケット分析目的でサーバーのデータベースに蓄積するものが挙げられますが、皆さんご存じの通り、サイトの入力情報、設定やログイン情報の保持など、個人情報を取得せず、サイトの機能に必要不可欠なCookie、ユーザー体験を向上させるCookieがありますよね。これらがないと毎回サイトにアクセスする度に設定を戻さないといけません。ブラウザ上だけで完結してサーバー側は何も取得しないCookieだってあります。これらはどうなるんだよ!
GDPR基準では、「Cookie使用に同意しない者は閲覧させない」も禁止されています。
拒否された場合の処理だるくなりすぎるんじゃないか、、?フロントエンドの実装によっては何を見せればいいんだ、、?と困惑するものではないでしょうか?
結論
同意確認が不要なCookieがあります。 これはStrictly necessary Cookie(マジで要るCookie)というものです。
Strictly necessary Cookieはファーストパーティのもの(外部サイトではなく自サイトが使用するCookie)で、
- サイトが動作するに必要不可欠なもの
- セキュリティ上必要なもの
が挙げられます。
サイトが動作するに必要不可欠なものとは、けっこう厳密に(Strictly)必要かどうかを判断する必要があります。
というのも、Functionality Cookie(機能Cookie)というカテゴリーもあり、論理記号で書けば
サイトが動作するに必要不可欠なもの ⊂ 機能Cookie
という感じで、「機能Cookieではあるが必要不可欠とはいえないCookie」もあり、こちらは同意が必要とされています。(サーバーが取得してないのになんでだよ!)
抽象的な話は分かるけど具体例が欲しいですよね。
Cookie Scripsによると、必要不可欠Cookieとは下記のようなものが挙げられています。
- オンラインショッピングにおける買い物カゴとして、購入対象を保存
(さすがに何を買っても買い物カゴが溜まらなければ、嫌でしょ) - ログイン機能関係
Cookie Yesによると言語設定も含まれます。(さすがに言語設定が反映されずにずっと画面がสวัสดีค่ะだと困りますよね)
セキュリティに関しては、専門外なので「セキュリティ上技術的に大事なもの」ととどめておきます。
さいごに
Cookie同意を拒否されても、Cookieを一切使えないわけではなく、機能上必要不可欠なCookieを使用することができます。
下図のような、「同意」「拒否」の二択ではなく、「完全同意」「部分的同意」の二択になっているサイトもあり、面白いですね。
参考:CookieProのCookie同意確認バナー。「完全に同意」か「部分的に同意」の二択になっている。
参考文献