「Cookie同意」対応の実態は？ ツールを導入したキヤノンMJ、SUBARU、リコーが赤裸々に意見交換

日本では法的な義務はないものの、個人情報保護の観点や将来的な規制強化を見据え、多くの企業が導入し始めている「Cookie同意ツール」。実際に導入した企業担当者が「デジタルマーケターズサミット 2025 Summer」に登壇。キヤノンマーケティングジャパン（以下、キヤノンMJ）の西田健氏、高橋啓介氏、SUBARUの荒木孝充氏、リコーの菱沼大輔氏が、導入の背景や運用実態、技術的な課題から同意率データまで、赤裸々な意見交換を行った。

Cookie同意の現状と世界の動向

各パネラーのディスカッションに入る前に、今回のモデレーターの西田氏は、Cookie同意の現状、世界と日本のCookie同意の取り扱いの違いについて説明した。

なぜ、Cookie同意が必要なのか

Cookieはウェブサイトを閲覧したとき、ブラウザに保存される小さなテキストファイルのこと。ログイン状態の維持や前回閲覧したページの履歴が分かるなど、便利な機能である一方で、個人の情報が特定されやすい機微な情報であり、個人情報保護の観点で問題となりやすい。

たとえば、ECサイトでは購入履歴や閲覧ページ、クリック情報などが含まれる可能性があるため、利用の前に同意を取得することがだと語る。この同意が必要な理由として、以下の3点を挙げた：

• ユーザー自身に関する情報をユーザー自身がコントロールする権利を保障するため。
• 情報の利用に対する透明性、予測可能性を確保するため。
• 企業側がユーザーの知らない間に情報を無断利用しているのではないかという「不信感」を生まないようにするため。

これらの点が企業の信頼性やブランド毀損、法的リスクにつながる可能性があることから、Cookie同意が重要視されているという。

欧州・米国・日本におけるCookie規制の違い

西田氏は、世界と日本のCookie規制の違いについても触れた。欧州のGDPR（一般データ保護規則）では、同意の方式としてデフォルトは「不同意」で、明示的なオプトイン。それに対し、米国のCCPA（カリフォルニア州消費者プライバシー法）では、デフォルトは「同意」でオプトアウトであり、拒否する権利を担保することが必須とされている。

一方、日本はあいまいで両方式が混在しているが、実質的にはオプトアウト方式が多いという。

Cookie同意ツール（CMP）の普及状況

CMP（Consent Management Platform）は、Cookieバナーの表示、同意の取得、記録、管理を一括で行えるツールで、厳密にはその機能の1つがCookie同意バナーの表示だといえる。しかし、ほぼ同義として使われていることが多い。

さて、このCMPの日本での設置状況をトライベックストラテジー社による「企業情報サイトランキング」で上位の会社を中心に、キヤノンMJが調査したところ、次図のように、約半数の企業が設置していることがわかった。

なお、「Cookie取得の文言のみ」と「CMPのオプトアウト設定」を合わせると、約50％がオプトアウト設定になっている。また、6割の日本企業が、Cookieを許可するボタンのほうが拒否するボタンよりも目立つデザインになっているという。

Cookie同意ツールは必要か

では、あらためて日本の企業はCookie同意ツールを導入すべきだろうか。西田氏は、Cookieまわりの日本の現状と今後について、次の4点にわたって語った：

1. 日本の現状では、Cookieは「個人関連情報」扱い

   日本の現状では、Cookieは「個人関連情報」扱いで、単体では個人情報に該当しません。そのため法的には対応する必要がないとされています。ただし、他の情報と結びつくと個人情報になる可能性があり、特に外部提供する場合は第三者提供だと見なされる可能性があります。たとえば、自社のグループ会社にデータを転送するなども、法人が違えば厳密には第三者提供となり得ます（キヤノンMJ　西田氏）

2. 個人情報保護の観点から、世界的なトレンドは厳格化の方向
   今後は対応が必要になる可能性が高い。

3. 日本発のグローバル企業は、海外現法で導入が必須
   海外で導入していることを考えると、日本の本社が未対応のままというわけにはいかないため導入している、という現状もある。

4. UI・UX、ブランド戦略の観点から導入する傾向
   現状は、「個人情報を意識している会社」と見られることを意識して、導入する傾向がある。

導入のきっかけと目的

各社のパネラーによるディスカッションでは、まずはそれぞれの導入背景について、語られた。

導入を検討し始めたのは、個人情報保護法改正がきっかけです。法的には必須ではないとわかっていましたが、将来的に規制が厳しくなる可能性や、お客様の情報を勝手に使うのではなく許可をもらって使うべきだ、という考えから導入しました（SUBARU　荒木氏）

法的には導入しなくもいいですが、ウェブ業界の勉強会で16社中13社が導入していると知り、「お客様への配慮」という視点で導入を決めました（リコー　菱沼氏）

海外規制対応というよりも、コーポレートブランディングの観点で導入を決めました。デジタルマーケティングを目的としたデータへの影響や表示の問題を検証するため、まずはコーポレートサイトだけに入れてスモールスタートしました（キヤノンMJ　高橋氏）

なお、導入サイトは、SUBARUはブランドサイトとコーポレートサイト、リコーはグローバルサイトと日本のコーポレートサイト、キヤノンMJはコーポレートサイトのみと、各社で異なるアプローチを取っている。

菱沼氏は「海外の現地法人はGDPRの影響で2018年頃からすでに対応を進めていた」と補足し、キヤノンMJの高橋氏は「アクセス数や影響範囲を見て、比較的影響が少ないコーポレートサイトから始めた」と説明した。

ツールの比較検討

続いて、「ツールの比較検討」という話題に移った。

ツールによる制御方式には2種類ある

西田氏は、ツールには「Cookieを制御するタイプと、通信を制御するタイプ」との2種類があるという。まずは、どちらの方法を選ぶかが課題になる。

荒木氏は、多くの皆さんがGTM（Googleタグマネージャー）で各タグを管理し、タグごとにCookieを発行していると思うと語り、それらGTMで管理しているようなタグに対してCookieを制御するタイプは、次図のように同意したサービスのタグのみ発火する方式だと解説した。

一方、通信を制御するタイプは、タグは発火するものの、その後のサーバーとの通信を遮断する仕組みだ。

では、どちらの方式を選ぶべきか。それを考えるために、荒木氏は次図のような例をあげた。タグやCookie発行の管理ができていない状況で、誰かが勝手にタグを追加した場合に、それぞれの方式で何が起こるかを解説していった。

Cookieを制御するタイプ（手動設定）の場合：GTMを使ってタグを手動で管理している場合、直書きされた広告タグは管理外になるためCMPの制御を受けず、同意なしにCookieを発行してしまうリスクがある。

Cookieを制御するタイプ（オートブロッキング）の場合：自動でCookieをブロックする機能を使うと、予期せぬタグ（例：YouTubeの埋め込みコード）までブロックしてしまい、動画が再生されないなどの問題が発生することがある。エラーメッセージも出ないため、原因究明が難しい。

通信を制御タイプの場合：管理していない通信は遮断してしまうため、オートブロッキングと同じようにYouTubeが再生されなくなってしまう。把握していない通信があった場合、ウェブサイトの挙動がおかしくなるリスクがある。

菱沼氏は、これらの違いを認識したうえで、どちらの方式でも結果は同じだと考え、市場で主流の「Cookieを制御するタイプ」のツールを選定したと述べた。しかし、GTMで管理していないタグも制御の対象としたためCMPの運用が複雑になり、導入前には想定していなかったメンテナンス工数がかかったとの苦労を明かした。

荒木氏は「どちらが良いということではなく、自社のサイト運用に適したほうを選ぶべき」とアドバイスし、ツール選定時には「導入後」の運用体制まで考慮してベンダーと相談することが重要だと強調した。

不明Cookieの大量発生と対応

CMPツールを導入すると直面する問題として、正体不明のCookieが大量にみつかることがある。

高橋氏は「導入時に、ベンダーから不明Cookieが20個ほどあるとの連絡があり、衝撃を受けた」と語る。全体のCookie数は100〜200個程度あり、そのうち10〜20個が不明Cookie。最終的にはCMS（Contents Management System）を管理しているIT部門の協力で解決できたものの、定期的なスキャンで新たな不明Cookieが出てくるため、その都度調査が必要になるという。

調査方法としては、初期はネット検索などで調べていたが、最近ではAIを活用することで効率化が進んでいる。「AIにCookie名を入れて、クローリングして調べてもらう」「GPT（Generative Pre-trained Transformer）にエージェントを作ってCookie名を貼り付けることで分類まで回答してもらう」といった最新の対応事例を紹介した。

「×」で閉じるは「みなし同意」で良いのか

次図にあるような「閉じる」ボタンや「×」ボタンを押した場合、日本では多くの場合、同意したとして扱われる。この「みなし同意」問題についても議論された。

高橋氏は「同意のうち半分くらいは、×ボタンによるみなし同意の状況だ」と明かした。菱沼氏も「最初は×を押すと何もしなかったことになると思っていたが、実際には同意したことになっている。自分の意思と反するので、これでいいのだろうかと議論している」と懸念を示した。

荒木氏は「同意されたくないなら、Cookie同意ツールを入れるなよと思う」と率直な意見を述べ、「入れるなら、ちゃんとユーザーに選択をさせるべきなので、現在検討中」と、実態と理念の乖離に言及した。

データ欠損問題

続いて、Cookie同意ツール導入によるデータ欠損問題について議論された。Cookie同意バナーを出すと、拒否する人が増え、同意率が下がり、結果としてデジタルマーケティングに活用するためのデータが取れなくなるという問題だ。

多くの同意を取れているので、現状は取れているデータで分析しています。Cookieレスで使えるツールもありますが、Cookieと同じような動きをするのでいずれ使えなくなるのではないでしょうか（SUBARU　荒木氏）

コーポレートサイトと商品サイトを分けている場合、コーポレートサイトのみにCookie同意ツールを導入している企業が多いですが、当社もそうです。商品サイトに入れると、データ欠損問題が事業を直撃すると事業部に思われているため、今後の法規制や他社動向、トレンドを踏まえながら考えていきたいです（リコー　菱沼氏）

当社も企業情報サイトのみに導入していますが、同意率が高いので、現状ではデータ欠損の問題の影響はほぼ出ていないです（キヤノンMJ　高橋氏）

最後に荒木氏は「今回、ここで議論したことはインターネットの限界にも関わることで、とても重要。業界全体で、ユーザーにもっとわかりやすくCookieについて伝える方法を考えるべきだろう」と課題提起を行った。また、菱沼氏、高橋氏からは、「今後も担当者間で情報交換していくことが重要だ」と語られ、本セッションは終了した。