Cookie(クッキー)情報の無断利用規制への流れ

 最近、初めてアクセスするサイトを開くと、「このサイトはクッキー(cookie)を利用しています」というメッセージが表示されることが多くなりました。


これは、2018年にEU(欧州連合)が「一般データ保護規則(GDPR:General Data Protection Regulation)」という規則を施行したことによります。この規則は、「EU圏内からのアクセスが可能なサイトがCookie(クッキー)を利用して情報収集している場合は、ユーザーにその旨を知らせて了解を取らなければならない」というものです。つまり、サイトの閲覧者に無断でクッキーの情報を収集することを禁じようというわけです。主たる目的としては、GAFAMのような巨大企業が無軌道に個人情報を収集・利用してさらに独占的な支配力を強めることに歯止めをかけようというものでしょうが、規制自体は個人が趣味で開設しているささやかなサイトにも及びます。我々日本人が日本で開設しているサイトでも、EU圏内のユーザーがアクセスできる以上、この規制の対象になります。また、日本でも、2019年に、公正取引委員会がクッキー情報の無断収集・利用は独占禁止法に違反する恐れがあるとして規制する方向で検討に入ったと報道されていますので、「日本には関係ない」とは言えません。なにより、Googleが、Adsenseなどの関連サービスを利用しているサイト運営者に対してGDPRに適切に対応するよう促していることが大きいようです(→ユーザーの同意確認に関するサイト運営者(パブリッシャー)および広告主向けガイド)。


そんなわけで、僕も自分のサイトに、クッキー利用の同意を確認するメッセージを表示させることにしました。機能の概略は、初めてサイトを訪れたユーザーに向けて「このサイトはクッキーを利用しています」というポップアップメッセージを表示し、「OK」ボタンをクリックしたらメッセージは消え、次回以降のアクセス時にはメッセージは表示されない、というものです。


さすがに自力でこの機能を実現するのは大変です。Wordpress利用者であれば、専用のプラグインがあるので、それを導入すれば済むらしいのですが、Bloggerにはそんな便利なものはありません。


そんな僕のためにあるのが、「Cookie Consent」というWebツールです。このツールは自分のサイト向けに上記の機能を実現するjavascriptのコードを自動で生成してくれるので、あとは、そのコードを自分のサイトのソースコードに貼り付けるだけです。以下、このツールを使ってクッキー利用同意確認メッセージを表示させる手順をまとめておきます。


プライバシーポリシーの作成

「Cookie Consent」を利用する前に、自サイトのプライバシーポリシーを作成しておかなければいけません。クッキー利用同意確認メッセージ内の「詳細はこちら」のリンク先がこのプライバシーポリシーになるからです。そして、そのポリシーの中に、「メッセージのOKボタンを押すか、押さなくてもそのままサイトの閲覧を続けるかすれば、同意したものとみなす」という旨を記載しておきます。


プライバシーポリシーの内容については、ネット上に無数の実例があるので、それらを参考にするといいでしょう。ちなみに汎兮堂関連サイトでは、このような内容にしました。


Bloggerの場合、プライバシーポリシーは通常の投稿ではなく、固定ページにしたほうがいいでしょう。また、プライバシーポリシーにコメントを受け付ける必要はないので、投稿時の設定で、「オプション」→「閲覧者のコメント:許可しない(既存のコメントも表示しない)」を選択して、コメント欄を非表示にしておいたほうがすっきりしてよいと思います。


Cookie Consentでコード作成

プライバシーポリシーが出来上がったら、Cookie Consentにアクセスして、コードを作成していきます。


アクセスすると、なにか表みたいなのがあって、「Osano Hosted Edition」と「Open Source Edition」のどちらかを選ぶようになっていますが、右側の「Open Source Edition」のほうの下にある「Start Coding」をクリックします。


すると、その表の下にコードを生成するための各種設定をするウィザードが表示されます。左側で設定をすると、その内容を反映したコードが右側に表示される仕組みです。また、設定内容を反映したメッセージのプレビューが実際に表示されるので、それを見ながらデザインを考えることができます。

まず、「1 Position」でメッセージを表示する場所を設定します。ページの下端、上端、右下、左下などから選びます。

「2 Layout」ではボタンのデザインを、「3 Palette」ではメッセージとボタンの色を選択します。

「4 Learn more link」では、メッセージ内の「Learn more(詳細はこちら)」のリンク先を設定します。「Link to your own policy」を選択し、上で作成した自サイトのプライバシーポリシーページのURLを入力します。「5 Compliance Type」は「Just tell users that we use cookies」を選択します。それ以外の選択肢は、拒否のボタンを追加するなどハードルの高いカスタマイズになるので、相応のこだわりと自信があるのでなければ選択しないほうがいいでしょう。

「6 Custom text」では、メッセージに表示する文章を設定します。「Message」はメッセージ本文を、「Dismiss button text」は了解ボタンに表示するテキストを、「Policy link text」はプライバシーポリシーへのリンクテキストを設定します。

以上で設定は完了です。

自動生成されたコードを自サイトのソースに貼り付ける

設定が完了すると、それを反映したコードが自動生成され、右側に表示されます。コードは2つあり、上がHTMLコード、下がjavascriptコードになっています。

あとは、これらのコードを自分のサイトのソースコードに貼り付けるだけです。Bloggerのソースコードの編集は例によって、管理画面から「テーマ」画面を開き、「カスタマイズ」のメニューから「HTMLを編集」を選択して、ソースコード編集画面を開きます(Bloggerテンプレート「Smart」導入メモ #2 を参照)。編集の前にはバックアップをとっておきましょう。

上側のHTMLコードのほうは、</head>の直前に貼り付けます(後で見た時にわかりやすいように、「クッキー同意表示」というコメントを付けています)。

下側のjavascriptコードのほうは、</body>の直前に貼り付けます。

貼り付けが終わったら保存し、ソースコード編集画面を閉じます。これで作業はすべて完了です。これ以降に初めてサイトにアクセスすると、下のようにクッキー利用の同意確認メッセージが表示され、了解ボタンをクリックするまでずっと表示されます。了解ボタンをクリックすれば、メッセージは消え、次回以降アクセスしても表示されません。ただ、1年くらいすると再表示されるらしいです。

スマホではこのようになります。

それなりに邪魔ではありますが、仕方ありません。お手数ですが、了解ボタンをクリックしてメッセージを非表示にしていただくようお願いします。了解ボタンをクリックしなくても、サイトの閲覧継続をもって了解とみなすことになっておりますので、サイトを閲覧していただけるのであれば了解ボタンをクリックしていただくのがよいかと思います。ご面倒をおかけして心苦しいのですが、ご理解のほどお願いいたします。

追記(2022年1月16日)

この記事を公開した直後の1月14日、総務省がIT事業規制強化案を示しました。それによると、当初示されていた規制強化方針からは大きく後退し、サイトの利用者・閲覧者の情報(クッキーなどに紐づけられた情報を含む)を外部送信する場合(GoogleアナリティクスやGoogleアドセンスが該当)、利用目的をサイトで通知・公表するだけでよく、同意の取得までは求められないことになりました。つまり、今回の記事に即していえば、プライバシーポリシーの中に「クッキーを使用している」「クッキーの情報をGoogleアナリティクスで利用している」旨を記載しておくだけでよく、同意確認のためのポップアップメッセージは不要ということになります。

とはいえ、本編記事冒頭で説明しているとおり、今回とりあげたクッキー使用同意確認メッセージの表示はそもそもEUによる規制に曲りなりにも対応させることが目的ですので、日本での規制方針が後退したとしても、その必要性に変わりはありません。したがって、初回閲覧時のポップアップメッセージの表示も継続いたします。