IIJ、新しいCookie同意サービス「STRIGHT」提供開始。プライバシー保護とブランド露出効果を両立
株式会社インターネットイニシアティブ(IIJ)は、Webサイトでのクッキー(Cookie)の取得や利用において、クッキーバナーを表示せずに、利用者に透明性のある情報開示と同意の管理機会を提供する新サービス「STRIGHT」(ストライト)を開発し、10月29日から提供を開始した。今後1年間で5000ライセンスの販売を目指し、5年間で2万ライセンスを販売する計画だ。 【画像】クッキーバナーが視認性や操作性を損なう例、伝えたいブランドに関する情報も隠れてしまう クッキーバナーとは、利用者がWebサイトに初めてアクセスしたときに表示される、ユーザーの行動データなどの取得や第三者への送信などに関するWebサイトの方針を説明し、同意を求めるもの。Webサイトの視認性が低下し、利用者にわずらわしさを感じさせるほか、サイトデザインによってはブランドのロゴやキービジュアルなど、重要な情報をクッキーバナーが隠してしまうこともある。 ■ 視認性・操作性を損なわずに、適切なプライバシー保護を実現 STRIGHTでは、視認性を損なわないエリアにプライバシー設定画面へのリンク情報を表示し、これをクリックすると、詳細設定バナーがポップアップして、利用者が同意・拒否を選択できる。視認性を損なわず、わずらわしさも感じさせず、同時に事業者側のブランド露出効果も損なわずに、法令に準拠した様式で適切にプライバシー保護機能を提供することが可能になるサービスだ。 IIJの中西康介氏(ビジネスリスクコンサルティング本部ビジネスリスクコンサルティング部 部長)は、「海外では、欧州の ePrivacy指令やGDPR、米国のCCPAなどにより、クッキーそのものが個人情報と定義されているため、クッキーバナーの掲出が一般的となっており、制裁事例も多い。だが、日本においては、ほとんどのサイトで法的義務がなく、ブランドサイトにとっては、クッキバーナーの表示によるデメリットが多いため、導入が進んでいない」と、海外と対比した国内の事情を説明した。 そして、「新たに開発したSTRIGHTは、これまでのクッキーバナーの課題を解決し、ブランドサイトでの個人データ保護レベルを底上げできる新たなプライバシーツールとなる。これまでのクッキーバナーツールに代わるものになる」と、自信をみせた。 ■ サイト運営者にとって頭が痛い「離脱率上昇」を回避可能 多くのサイトでは、サイト訪問者が知らない状態で、訪問者の行動データを取得しており、クッキーバナーは、この事実をユーザーに知らせる役割と、利用者がデータの取得の可否を選択できるようにしている。 だが、クッキーバナーを表示することで、工夫したサイトのテザイン性が損なわれるだけでなく、訪問者の離脱率が上昇することが想定されたり、離脱によってコンバージョンの測定が不可能になったりといった課題も生まれている。 「わずか0.1%でも離脱率を避けるためにデザインを工夫している現場にとって、クッキーバナーによる離脱は受け入れがたいものとなっている。日本では、法的義務がないため、売上げにもマイナスの影響が出るクッキーバナーを入れたくないというのが基本的な考え方である。だが、法務部門や広報部門では、クッキーバナーを表示することで、自社のプライバシー保護の姿勢をアピールできるという狙いもある。プライバシー保護を優先するか、売上げを守るかの二者択一を迫られている」と、中西氏は指摘する。 企業のコーポレートサイトでは、クッキーバナーの採用が広がっているが、商品紹介などのブランドサイトでは、導入が進んでいないのが実態だ。 IIJの調査によると、国内では4,000ドメインでクッキーバナーが導入されているに過ぎず、そのうち、IIJが約3,500ドメインをサポートしているという。この3,500ドメインを対象に分析すると、コーポレートサイトが2,900ドメインと約8割を占め、ブランドサイトは600ドメインに留まる。 日本ではWebサイト全体で626万ドメインが運用されており、そのうち、約530ドメインがブランドサイトとなっている。クッキーバナーを採用しているサイトが少数派であることが浮き彫りになるとともに、とくにブランドサイトでのクッキーバナーの掲出が進んでいないことが分かる。 ■ 日本のブランドサイトを前提とした「クッキーバナーを掲出しない」実装 STRIGHTを利用することで、サイト訪問者に対して、クッキーバナーを掲出せずに、透明性を持った情報開示を行い、訪問者が求めないのであれば、処理を停止できる機能を用意。簡単に、本人関与の機会を提供できるようになるという。 STRIGHTの機能を使い、フッターやハンバーガーメニューに「プライバシー設定」の文字列を入れ、そこをクリックすれば、クッキーバナーの設定画面をポップアップで表示し、詳細説明とともに、同意および同意の取消ができるように設定できる。 ■ 高いカスタマイズ性とグローバル対応のテンプレート 日本企業だけでなく、グローバル企業の導入も見込んでいるが、標準機能は、日本のブランドサイトでの利用を前提としている。GDPRやCCPAに対応したバナー表示はカスタマイズで対応でき、サイト訪問時にクッキーバナーを表示させることもできる。「同意取得の表示設定やテンプレートを使い分けることで、各国のプライバシー保護要件に適合した形で、海外事業や国際的なブランド展開のウェブ発信が可能になる」と、中西氏は説明した。 カスタマイズ機能では、そのほかにも情報提供のみの表示のほか、同意を得て初めてクッキーを発行し、行動プロファイリングなどを行う「オプトイン型」、サイト訪問時に処理を開始し、訪問者が嫌だったら処理を停止する「オプトアウト型」のいずれの設定も可能であり、同意バナーとプライバシー設定バナーは、サイトの中央、左、右に設定。同意バナーは下部分にも設定ができる。 また、STRIGHT独自の機能として、年齢と地域確認バナーが設定でき、年齢によって異なる文言を用いたり、親権者の同意が必要な場合などに利用できたりし、掲出するバナーの使い分けも可能になる。さらに、サイトフィルタリングバナーを利用して、20歳以上といった年齢や、医療関係者といった特定の条件にあった訪問者だけのアクセスも可能にする。これもSTRIGHTの独自機能だという。 「これらの機能は、別のツールを必要とするケースがほとんどだが、STRIGHTは標準実装している。また、第一層バナーを出さずに、第二層のプライバシー設定バナーを直接読み出すといった実装も可能にしている」と、中西氏は説明した。 そのほか、電気通信事業法の外部送信規律に対応しており、不特定多数への情報発信サイトや、SNSなどの他人の通信を媒介するオンラインサービスを提供する4類型に該当する電気通信事業者が公表および通知する事業者名、利用者情報、利用目的を、プライバシー設定バナーに表示できる機能を搭載する。 クッキーなどの個別トラッキング技術によらず、すべての外部送信サービスを検知、制御できる機能も採用しており、将来、新たなトラッキング技術が登場した際にも対応できる。 法規制を調査するIIJの専門チームにより、世界中の法律に対応し、最新の法規制情報に基づいたバナー設定テンプレートを用意していることも特長。これにより、簡単な設定が可能であるほか、ダッシュボードにより、バナーの同意率や拒否率、訪問者数などを確認できるようになっている。あわせて、外部送信サービスのスキャンの定期実行やマルウェア検知、リンク切れページの検出も行える。 「STRIGHTは、サイト訪問時にバナーを出さないという新たな選択肢を用意した。『出さないバナー』は、シンプルな仕組みであるが、消費者、事業担当者、法務部門のいずれにとってもメリットがある三方よしの解決策になる」とする。 ■ 月額1万円程度から。弁護士らによるサポートも用意 利用料金はオープンとしているが、ドメイン単位の契約で、契約期間は12カ月。平均訪問数が1日あたりの50万までの大規模なウェブサイトでも、月額で約1万円程度の料金設定を想定しているという。 パートナー販売とIIJによる直販を用意。STRIGHT契約専用ポータルでオンライン契約し、STRIGHT管理コンソールにアクセス。ツールを活用して、対象サイトの要件確認やスキャン、対象サービスの特定やバナーテンプレートの作成および設定、検証を経て、短時間で本番サイトへの実装が可能になる。 また、利用者の要望に応じたサポートメニューも用意。大規模なサイトや、グローバルでの法規制対応が必要なサイトの場合には、弁護士を含むIIJのプライバシーコンサルタントと技術要員がサポートを行う「導入サポート」を提供するほか、追加契約不要ですぐに問い合わせが可能な従量課金型の「スポットサポート」、プライバシーコンサルタントにより、世界各国のプライバシー保護関連規制に対応しているかどうかを判断し、レポートを提示する「コンプライアンスチェック」、設定や実装方法について、IIJの技術要員がセミナー形式で指導を行う「実装レクチャー」を用意している。 「IIJは、創業以来、高い品質のインターネット接続と、システム開発、セキュリティ対策、プライバシー保護を通じて、インターネットの安心と安全を守ってきた。IIJは、これらを“当たり前品質”で提供してきた。そのIIJが、これまでの知見を結集して開発したのがSTRIGHTである」と、中西氏は同サービスを位置づけた。
窓の杜,大河原 克行