TANAKA Hiroki
Webサイトを訪れた際に表示される同意バナー。この仕組みは同意管理システムや CMP(Consent Management Platform)とも呼ばれ、日本ではまだなじみが薄いかもしれません。
Yuwai(以下、当社)のブログ記事でも言及したように、法律や端末によってプライバシー保護が強化されている流れの中、広告やアクセス解析の計測に利用される Cookie をコントロールする必要性は高まってきています。
日本においてもグローバルで展開する企業であれば GDPR や CCPA といったプライバシー保護法に則った Cookie の同意管理は必要になっています。また、国内だけで展開する企業においても個人情報保護法や電気通信事業法といったプライバシー保護法の元、Cookie の利用については通知や公表、同意の取得が求められるようになってきています。
国内におけるプライバシー保護法も、当社の見通しとしては今後も緩和されることはなく、長期的に見れば制限が厳しくなっていき、国内でも Cookie や外部送信に係る同意管理が必要になるだろうと予測しております。また、越境 EC など海外に対してのビジネスも活発になっていくであろうことを考えると、デジタルマーケティングを支援する当社としてプライバシー保護法への理解と同意バナーの表示や同意管理が行える CMP に対する理解が不可欠であると考えております。
このような背景や CMP に対する知見を深める目的から、当社では2024年の秋にサービスがリリースされた IIJ の STRIGHT ONE を契約し、当社のサイトで導入してみました。
本記事では、実装から運用開始までに行ったことや気づきなどをメモしていきます。
※本記事は IIJ さまとのタイアップ記事ではなく、有料パートナーシップの関係にはありません
IIJ が提供する Cookie 同意管理プラットフォーム STRIGHT ONE とは
STRIGHT ONE は株式会社インターネットイニシアチブジャパン(IIJ)が提供する、Cookie 同意管理プラットフォーム(CMP)です。
CMP としては海外の One Trust や Cookiebot、国内では Webtru といったものが主流になっている中、国内における Cookie 同意管理の課題を解決するためのソリューションとして STRIGHT ONE が新たに加わりました。
当社は次の観点から STRIGHT ONE の魅力に惹かれ、それまで利用していた CMP から乗り換えを行いました。
同意バナーが邪魔にならない
2025年1月時点では、日本国内では Cookie の利用に際して必ずしも同意を得ることが必要とされてない一方で、Web サイトの訪問者に対する情報の透明性確保の観点から、企業として Cookie や外部送信に関しての情報を通知ないし公表したいという企業も増えてきています。
日本国内では同意を得ることが必ずしも必要ではないですが、通知や公表のために CMP を導入すると Web サイト訪問時にキービジュアルなコンテンツがそれに隠されてしまうケースが多いため、ブランドの観点からみれば CMP は必ずしも必要とならないのだから導入しなくて良いという考えもあります。
2025年1月時点では、プライバシー保護に対する姿勢を見せたいという意見と、ブランド観点から CMP を導入したくないという意見はどちらも正しいです。
そこで、この問題を同時に解決するためのソリューションとして、STRIGHT ONE を利用するのが適切なのだろうなと考えました。
2025年1月時点では、個人情報法護法の元で Cookie の利用に際して事前の同意を必要とする動作がなければ、Cookie の利用に関してはオプトアウトの管理だけで良いので、同意バナーを大きく表示させる必要はなく、通知公表やユーザーが同意管理が実現できるためのリンクがあれば十分です。
当社のサイトでも、画面の左下に表示をさせています。プライバシー設定をクリックまたはタップをすることでバナーが拡張表示されます。
確かにこの表示であれば、Web サイトのコンテンツ表示に影響を与えることなく、通知公表が行えますね。
年額10万円台前半(月額1万円以下)から利用可能なので、価格に対して機能のパフォーマンスが高い
当社のサイトの場合、1日当たりの Web サイト平均訪問者数はわずかのため、料金としては月額9,800円(税別)で利用をしています。中小規模のサイトであれば、多くの場合でドメイン数が1つで1日当たりの Web サイト平均訪問者数が50万人を超えることはないと思いますので、ほとんどのケースで月額9,800円(税別)で運用できるでしょう。
同じ IIJ が日本の代理店となっている海外製の CMP の One Trust は年額195,000円(税別)~で、月額にして16,250円(税別)~になります。国産 CMP の Webtru であれば、6,000円(税別)~のプランもありますが、STRIGHT ONE と同等の地域別出し分け機能など利用すると、月額12,000円(税別)~となるので、価格面では STRIGHT ONE に分があります(2025年1月時点)。
Cookie だけではなく、電気通信事業法の外部送信規律も対応
2025年1月現在、電気通信事業法により Web サイトの訪問者に関する情報を外部に送信するケースでは、Cookie を利用するかどうか関わらず外部送信規律の対象となる場合があります。
Cookie を利用するかどうかに関係なく、訪問者に関するデータを外部送信ということなので、従来の CMP ではこれらのルールをカバーしきれないケースもあります。特に海外製の CMP であれば、日本の法律への機能準拠が間に合っていないケースもしばしばです。国産 CMP の Webtru であれば電気通信事業法にも対応しています。
細かなジオロケーションルール設定とテンプレート管理ができる
当社は日本国内向けにサービスを提供しておりますが、将来的に海外でもあまり触れられていないようなテーマについては、当ブログで情報発信をしていきたいと考えています。その第一歩として、Google 広告の P-MAX に関する記事を英訳した記事を投稿しています。
そのような状況であれば、海外から当社 Web サイトへのアクセスも発生するため、訪問者の居住地によってはプライバシー保護法の準拠が必要になってきます。
プライバシー保護法と一つにいっても、EU の GDPR、アメリカカリフォルニア州の CCPA など、世界各地で異なる法律が制定されており、それらへの対応は一様ではありません。
つまり、訪問者の居住地に応じた同意バナーの表示や同意管理が必要になるのです。
STRIGHT ONE の主機能として、標準で GEO ロケーションルールが提供されているので、例えば日本、EU、カリフォルニア州それぞれからアクセスがあった場合でも、居住地の法制度に準拠した形で同意バナーを表示したり、Cookie 利用に関する同意を管理することが可能になっています
前述の例でいうと、日本ではバナーは非表示にするが通知公表と同意管理の機能を提供、EU では Cookie を利用する前に同意バナーを表示して同意取得や管理の機能を提供、カリフォルニア州ではサイト訪問時に同意バナーを表示し、利用している Cookie に対する同意管理やオプトアウトの機能を提供するというような形です。
その他にもたくさんの機能が提供されている
基本機能としてバナーカスタマイズ機能の他、たくさんの魅力的な機能があるので、下記を参考にしてみてください。
STRIGHT ONE 導入のステップ
STRIGHT ONE を契約して実装から機能公開までには下記のステップを踏みました。
- 管理コンソール上でサイトの登録を行う
- 登録サイトをクロールし、Cookie や外部送信に関するスキャンを行う
- サービスマスタと照合できなかった不明な Cookie や外部送信について、自分で調査して独自運用データとしてマスタに登録する
- 各国向けのバナーテンプレートを作成する
- 地域ごとに表示を出し分けるために、テンプレートをグループ化する
- バナースクリプトを発行し、Google タグマネージャーで実装する
- Google タグマネージャーのコンテナに STRIGHT ONE が提供する JSON ファイルをインポートする
- Cookie の分類ごとに Google タグマネージャーのトリガーを紐付け直す
- バナーをパブリッシュして、同意バナー表示や同意管理を開始する
初期設定する項目は多めですが、一度設定してしまえば頻繁に変更することもないため、STRIGHT ONE が提供する導入マニュアルを見ながら頑張って設定しました。
すべての手順を紹介するのは難しいので、どんな感じだったかという雰囲気だけお伝えできればと思います。
CMP で管理したいサイトのドメイン設定や、定期的にサイトをスキャンして Cookie や外部送信の有無を確認するためのクロール設定を行います。管理者向けの画面や RSS フィードとして出力されるページなど、スキャンが不要なページを予め除外しておくことが可能です。
サイトを登録したら初期スキャンを実行します。しばらく待ってスキャンが完了すると、STRIGHT ONE が認識できたサービスと認識できなかったサービス(Unknown)の数が表示されます。
自動的に検知できサービスと不明のまま残ってしまった Cookie などについて確認します。
STRAIGHT ONE 導入時に一番つらかった設定がこれです。
サイトのスキャンの結果、Unkown と判定されてしまった Cookie や外部送信情報などについては、検出された Cookie 情報に対して、どのようなサービスでどのような用途であるかといった情報を個別に登録していく必要があります。
一部のサービスにおいては、一部の Cookie が STRIGHT ONE によって自動的に認識されたが、一部の Cookie は Unknown として分類できなかったみたいなことも起きたりもしていました。
すべてのサービスで事細かにプライバシーに関する情報が提供されているわけではない(本来はすべて提供されるべきとは思いますが)ため、これを自力で対応するのは非常に大変でした。導入しているサービスが少なくても大変な思いをしたので、様々なサービスやプログラムを利用している Web サイトではこの設定が特に重くのしかかるはずです。
マーケター自身が設定するにも、テクノロジーとエンジニアリングを理解していないといけませんし、エンジニアが対応するにせよ、そのサービスやプログラムが何を目的にしているかをすべて把握していることも難しいかと思いますので、マーケターとエンジアが協力し合って対応する必要があります。
この点に関しては STRIGHT ONE 側でのサービス自動認識能力が高まれば解決していく事項だとは思いますので、STRIGHT ONE の今後に期待したいところです。
各国の法制度に対応するバナーデザインや機能にするためのテンプレートを作成します。
STRIGHT ONE 側ですでにいくつかのテンプレートが用意されているので、カスタマイズするだけで大丈夫でした。バナー説明なども予め設定されています。
当社は、日本向けの情報提供のみテンプレート、EU の GDPR 向けのオプトインテンプレート、アメリカのカリフォルニア州の CCPA 向けのテンプレートの3つを作成しました。
どの地域からのアクセスされたとき、一つ前の手順で作成したバナーテンプレートのどれを表示させるかを紐付ける工程です。
日本には情報提供テンプレート、EEA と 英国は GDPR なので GDPR 向けのオプトインテンプレート、米国(カリフォルニア州)には CCPA 向けのテンプレートを使ってバナーを表示させるという設定をしました。
本来は、プライバシー保護法により Cookie や外部送信規律への対応が必要な地域すべての設定が必要ですが、主にアクセス元となりそうな上記をいったん設定しています。
最後にバナーの設定を終えたらバナースクリプトの発行に進みます。
STRIGHT ONE の目入アルを参考に、Google タグマネージャーのカスタム HTML タグとして登録、トリガーは同意の初期化を使います。
STRIGHT ONE では、Cookie 同意状況に応じて Google タグマネージャーに登録されたタグを実行するといったコントロールを行ってくれます。
そのためのトリガーやイベント設定については、STRIGHT ONE が提供する JSON ファイルを Google タグマネージャーのコンテナにインポートするだけで完了します。便利。
JSON ファイルのインポートが完了したら、各サービスの用途に応じて、カスタムイベントとページビュートリガーを組み合わせたトリガーグループを構成すれば設定が完了します。
当社の場合は Google アナリティクス 4(GA4)と Microsoft Clarity と QA ZERO をアクセス解析用途で導入しているため、これらを設定しています。
バナーの設定とバナースクリプトの実装まで終わったら、管理コンソールからパブリッシュを行うことでバナーの表示と同意管理が開始されます。
STRIGHT ONE の契約後、設定から実装、公開までのステップはこのような流れになりました。
やはり一番設定で大変だったのは、「3.サービスマスタと照合できなかった不明な Cookie や外部送信について、自分で調査して独自運用データとしてマスタに登録する」でした。
Unknown に分類された Cookie やストレージの情報など、どのサービスで使われているかが簡単に分かれば手を動かすだけなのです。が、サービスが分かっても、どのユーザー情報をどのように利用しているかなどが明示されていない場合もあり、その調査を進めながら設定しようとすると膨大な時間が溶けていきました。
さらに、日本国内だけではなく海外からのアクセスにも対応するため、日本語と英語の説明を設定しなければならない点も、設定を困難にしています。
前述もしましたが、ほとんどのマーケターが設定できるほどやさしくないし、エンジニアが設定するにもマーケターとの連携が必要といった印象なので、特に小規模の組織で導入するにはいささかハードルは高そうです。
ただし、こういった CMP の設定を手伝ってくれる企業やサービスはどこかにあるでしょうし、IIJ もオプションとしてサポートサービスを提供しているので、このようなサポートを活用するのもありでしょう。
設定のハードルは非常に高いものの、価格に対して機能のパフォーマンスが高く、大満足
初期設定がサイトの規模のわりに時間がかかったものの、設定してしまえば Web サイトで利用しているサービスやプログラムが増えない限りは、運用と言える運用は発生しません。
一方で、同じサービスでも不定期に外部送信されるデータの識別キーが変更になることで、新たな Unknown としてカウントされてしまい再対応が必要になる、本当にどこで使っている Cookie か分からないものも発掘されてしまい困るといった状況も発生しているので、定期的にこれらの対応が必要になっています。
また、すべての地域のプライバシー法に対しての対応が行き届いているわけではないので、これで対応が完璧とも思っていません。引き続き対応は進めていきます。
バナーのカスタマイズ、地域ごとのバナー設定、Google タグマネージャー連携(同意モードも対応)を考えても月額1万円程度で利用できるのは大変魅力であるサービスだなと実感しています。
ちなみに、母数が少ないので参考にもならないと思いますが、今のところ自社 Web サイトにおける同意バナーの表示率(プライバシー設定のリンクをクリックされた割合)が全体の 3% 程度、 Cookie の拒否率は全体の 0.2% 程度です。ただし、これはテスト動作も込みの割合なので実際はもう少し低いかもしれません。
当社としても、Cookie 制限やプライバシー保護法の整備が進むにつれ、Cookie コントロールや CMP、広告の Cookie レス計測についての相談を受けることも増えてきています。
このような要望に応えられるよう、CMP の運用や活用に対しても知見を深めていければと考えております。