2σ Guide

Cookie同意取得のUXを
損なわない実装例

Cookie同意取得は、バナー表示だけでなく、ユーザーが理解しやすく選べる情報設計、同意前タグ制御、撤回、同意記録、外部送信台帳、QAまでを含む総合設計です。

7原則 UX設計の核
3選択肢 第一階層の基本
四半期 定期レビュー目安
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

Cookie同意取得のUXを 損なわない実装例

法務・UX・開発・監査を一体で設計し、ユーザーの選択をデータ処理に反映します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
Cookie同意取得のUXを 損なわない実装例
法務・UX・開発・監査を一体で設計し、ユーザーの選択をデータ処理に反映します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • Cookie同意取得のUXを 損なわない実装例
  • 法務・UX・開発・監査を一体で設計し、ユーザーの選択をデータ処理に反映します。

POINT 1

  • Cookie同意取得のUXを損なわない実装例の全体像
  • 法務・UX・開発・監査を一体で設計し、ユーザーの選択をデータ処理に反映します。
  • 必要な処理だけに同意を絞る
  • 第一階層を短く同等にする
  • 同意前に任意タグを発火させない

POINT 2

  • Cookie同意取得のUX設計に必要な基本用語
  • Cookieの種類、類似技術、同意、CMP、ダークパターンを分けて整理します。
  • 類似技術
  • Cookie同意のUXを設計するには、Cookieの種類ごとに同意対象か説明対象かを分ける必要があります。
  • 読者は、どの区分が初期OFFや目的別選択の対象になりやすいかを読み取ってください。

POINT 3

  • Cookie同意取得のUXと法規制を地域別に整理する
  • 日本・EU・英国・カリフォルニア州で、同意、通知、オプトアウトの重心が異なります。
  • Cookie同意UXは、対象法域ごとに求められる選択の形が異なります。
  • 読者は、事前オプトイン、通知・公表、オプトアウト、GPCのどれが必要になるかを読み取ってください。
  • 地域別にUIを出し分ける場合でも、タグ管理の事実は共通です。

POINT 4

  • Cookie同意取得のUXを損なう典型的な失敗
  • 画面を全面的に塞ぐ
  • 一般的な解析や広告Cookieのために全面モーダルで閲覧を止めると、過度な圧力として評価される可能性があります。
  • 拒否が隠れている
  • 同意ボタンだけが大きく、拒否が小さなリンクや第二階層にある設計は、自由な選択を歪めます。

POINT 5

  • Cookie同意取得のUXを損なわない7つの設計原則
  • 1. 同意が不要な処理を減らす
  • 2. 第一階層は短く同等に選べる
  • 3. 第二階層で目的別に選べる
  • 4. 同意前ブロックを技術保証
  • 5. 撤回・変更を常時可能にする
  • 6. 外部送信は台帳と専用ページで管理
  • QAへ戻す
  • 必要な同意だけに絞り、短く説明し、同意前ブロックと撤回可能性を保証します。

POINT 6

  • Cookie同意取得のUXを損なわない実装例
  • サイト類型ごとに、必要な表示、同意、オプトアウト、設定導線を選びます。
  • 実装例は、対象地域とタグのリスクに応じて変わります。
  • 読者は、自社のタグ利用とユーザー地域に近い行を起点に、どのUIと台帳が必要かを読み取ってください。
  • 外部送信ページは、バナーに入りきらない詳細情報を整理する場所です。

POINT 7

  • 非必須タグを同意後に読み込むフロントエンド実装例
  • UIより先に、同意状態とタグ発火制御を一致させる設計を作ります。
  • フロントエンド実装では、任意タグを最初からHTMLに書かないことが重要です。
  • 次の実装例は、同意状態を保存し、同意後に該当カテゴリのタグだけを読み込む考え方を示します。
  • 読むべき点は、初期状態が必須のみで、解析・広告・外部サービスが初期OFFになっていることです。

POINT 8

  • Consent Modeと外部送信台帳の実装上の注意
  • 同意信号、タグの読み込み条件、台帳データをつなげて管理します。
  • Google Consent Modeを使う場合も、説明文と実際の送信挙動を一致させる必要があります。
  • 次の例は、初期状態で広告・解析関連の保存を拒否状態にする考え方です。
  • 読者は、同意前にどの通信が発生する設定なのかを、基本実装と高度な実装で分けて確認してください。

まとめ

  • Cookie同意取得のUXを 損なわない実装例
  • Cookie同意取得のUXを損なわない実装例の全体像:法務・UX・開発・監査を一体で設計し、ユーザーの選択をデータ処理に反映します。
  • Cookie同意取得のUX設計に必要な基本用語:Cookieの種類、類似技術、同意、CMP、ダークパターンを分けて整理します。
  • Cookie同意取得のUXと法規制を地域別に整理する:日本・EU・英国・カリフォルニア州で、同意、通知、オプトアウトの重心が異なります。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

Cookie同意取得のUXを損なわない実装例の全体像

法務・UX・開発・監査を一体で設計し、ユーザーの選択をデータ処理に反映します。

Cookie同意取得のUXを損なわない実装は、きれいな表示を作ることではありません。同意が本当に必要な処理だけに限定し、ユーザーが短く理解でき、拒否や撤回も同じくらい簡単で、選択が実際のタグ制御に反映される状態を作ることです。

次の一覧は、UXと法務を両立する七つの核心をまとめたものです。読者にとって重要なのは、ボタンの見た目ではなく、ユーザーの意思決定負荷を減らし、実際のデータ処理に選択を反映するための優先順位を読み取ることです。

01

必要な処理だけに同意を絞る

必須Cookie、解析、広告、外部送信、第三者提供、越境移転を分け、不要な同意要求を減らします。

02

第一階層を短く同等にする

利用目的と「すべて同意」「任意Cookieを拒否」「目的別に選ぶ」を同程度の視認性で示します。

03

同意前に任意タグを発火させない

法務文言だけでなく、広告タグや解析タグが同意後にのみ動く実装を確認します。

04

拒否・撤回を簡単にする

拒否は同意と同程度に簡単にし、同意後も設定変更リンクへ常時アクセスできるようにします。

05

外部送信を台帳化する

送信先、送信情報、利用目的、停止方法、担当部署、レビュー日をデータとして管理します。

06

アクセシビリティを要件にする

キーボード操作、フォーカス管理、読み上げ、モバイル表示、ボタンサイズを設計段階で確認します。

07

証跡を残す

同意状態、文言バージョン、UIバージョン、変更履歴、テスト結果を後から監査できるようにします。

この設計では、ユーザーをだまして同意率を上げるのではなく、選択のしやすさと説明責任を両立します。とくに、同意前ブロック、同程度の拒否導線、撤回可能性、ネットワーク挙動の検証が品質の中心になります。

Section 01

Cookie同意取得のUX設計に必要な基本用語

Cookieの種類、類似技術、同意、CMP、ダークパターンを分けて整理します。

Cookie同意のUXを設計するには、Cookieの種類ごとに同意対象か説明対象かを分ける必要があります。次の比較表は、必須、機能、解析、広告、第三者Cookieの違いを整理したものです。読者は、どの区分が初期OFFや目的別選択の対象になりやすいかを読み取ってください。

区分意味同意設計上の考え方
必須Cookieサービス提供に不可欠なCookieログイン維持、セキュリティ、カート保持通常は同意対象ではなく、説明対象にします。
機能Cookie利便性向上のためのCookie言語設定、表示テーマ法域によって同意またはオプトアウトが必要になり得ます。
解析Cookie利用状況分析のためのCookieページ閲覧数、離脱率、クリック分析匿名性、外部送信、法域、同意方式を確認します。
広告Cookie広告配信・リターゲティング用Cookie行動ターゲティング、広告効果測定高リスクで、明確な同意またはオプトアウト設計が必要になりやすいです。
第三者Cookie自社以外のドメインが設定・利用するCookie広告ネットワーク、SNSプラグイン外部送信、第三者提供、越境移転、広告規制を確認します。

Cookieだけに注目すると、類似技術を見落とします。次の一覧は、Cookie同意管理で同時に見るべき技術を示します。各項目は、端末保存、読取り、外部送信、識別子連携のどこに関係するかを確認するためのものです。

TECH

類似技術

ローカルストレージ、セッションストレージ、ピクセルタグ、SDK、フィンガープリンティング、計測タグ、広告タグも検討対象です。

CONSENT

同意

ユーザーが、どの情報が、誰に、どの目的で利用されるかを理解できる状態で、自由に、明確に意思表示することを前提にします。

CMP

CMP

同意記録、タグ制御、撤回、地域別表示、ベンダー管理を担う仕組みですが、設定が不適切ならリスクは解消しません。

Section 02

Cookie同意取得のUXと法規制を地域別に整理する

日本・EU・英国・カリフォルニア州で、同意、通知、オプトアウトの重心が異なります。

Cookie同意UXは、対象法域ごとに求められる選択の形が異なります。次の比較表は、日本、EU、英国、カリフォルニア州の違いを並べたものです。読者は、事前オプトイン、通知・公表、オプトアウト、GPCのどれが必要になるかを読み取ってください。

地域基本方針UXへの影響
日本Cookieが常に同意必須ではない一方、個人関連情報の第三者提供、外部送信規律、外国第三者提供を確認します。外部送信ページ、必要に応じた同意ボタン、タグ台帳、記録義務を設計します。
EU非必須Cookieは、自由で具体的で十分な情報に基づく明確な同意が中心になります。第一階層に拒否を置き、任意タグは同意前に読み込まない設計が基本です。
英国PECRとUK GDPRを踏まえ、非必須技術は原則オプトインです。統計目的等の例外は条件を確認します。例外に頼る場合も、明確な情報提供と容易な拒否手段を整えます。
カリフォルニア州販売・共有のオプトアウト、GPC、Do Not Sell or Share対応が中心になる場面があります。Cookie同意画面とは別に、販売・共有停止と信号処理をUIとタグ制御に反映します。

地域別にUIを出し分ける場合でも、タグ管理の事実は共通です。次の重要ポイントは、最も厳しい地域を基準にした共通の安全策を示します。どの地域向けでも、説明とネットワーク挙動が一致していることを確認してください。

設計上の注意ユーザーに「同意後にのみ使用します」と説明する場合、同意前にも限定的な通信を行う高度な計測設定とは整合しない可能性があります。説明文と実際の送信を必ず一致させます。
Section 03

Cookie同意取得のUXを損なう典型的な失敗

全面遮断、拒否隠し、専門用語、同意前発火、撤回不能、アクセシビリティ不備を避けます。

UXを損なうCookie同意は、ユーザー体験だけでなく同意の有効性にも影響します。次の一覧は、代表的な失敗を並べたものです。各項目では、ユーザーが自由に選べるか、説明が理解できるか、選択後の処理が一致するかを読み取ってください。

画面を全面的に塞ぐ

一般的な解析や広告Cookieのために全面モーダルで閲覧を止めると、過度な圧力として評価される可能性があります。

拒否が隠れている

同意ボタンだけが大きく、拒否が小さなリンクや第二階層にある設計は、自由な選択を歪めます。

専門用語だけで説明する

パーソナライズ、外部送信、プロファイリング等は、第一階層では具体的な目的に言い換える必要があります。

同意前にタグが動く

見た目の表示があっても、ページ読み込み時点で広告タグや解析タグが動いていれば、同意管理は実質的に機能していません。

撤回できない

同意後に設定変更できない、設定リンクがない、拒否後も繰り返し表示する設計は信頼を損ないます。

アクセシビリティを無視する

キーボード操作、読み上げ、フォーカス、ボタンサイズ、モバイル表示に不備があると、同意の理解と操作に影響します。

研究からも、選択肢の見せ方が結果を大きく左右することが示されています。次の強調表示は、英国上位1万サイトのCMP実装を調査した研究から得られる実務上の示唆を要約したものです。読み取るべき点は、同意率だけをKPIにすると、法的・倫理的に持続しない設計へ寄りやすいことです。

拒否を第一画面から外すと同意率は上がるが、公正な同意とは別問題です

同意UIはユーザーの選択に強く影響します。結果として同意が多いことより、同意に至る画面設計が公正だったかを検証する必要があります。

Section 04

Cookie同意取得のUXを損なわない7つの設計原則

必要な同意だけに絞り、短く説明し、同意前ブロックと撤回可能性を保証します。

UXを損なわない設計は、画面を作る前のデータ最小化から始まります。次の判断の流れは、タグ削減、第一階層、第二階層、同意前ブロック、撤回、外部送信台帳、アクセシビリティまでの順番を示します。上から順に実装すると、過剰な同意要求と実装漏れを同時に減らせます。

7原則で組み立てるCookie同意UX

1. 同意が不要な処理を減らす

広告Cookie、重複タグ、過剰な第三者送信を見直し、同意要求そのものを減らします。

2. 第一階層は短く同等に選べる

利用目的を短く示し、すべて同意、任意Cookieを拒否、目的別に選ぶを同程度に表示します。

3. 第二階層で目的別に選べる

必須、解析、広告、外部サービスなどの目的を説明し、任意カテゴリは初期OFFにします。

4. 同意前ブロックを技術保証

任意タグをHTMLに直接書かず、同意状態を確認してから読み込みます。

5. 撤回・変更を常時可能にする

フッターや設定画面にCookie設定を置き、後から選択を変えられるようにします。

6. 外部送信は台帳と専用ページで管理

バナーに詰め込まず、送信先、情報、目的、停止方法を一覧化します。

検証不足
QAへ戻す

ネットワーク通信、フォーカス、モバイル表示、ログを再確認します。

検証済み
運用へ進む

タグ追加申請、定期監査、文言変更時の再同意要否を管理します。

第一階層の理想は、短い説明と三つの同等な選択肢です。次の文言例は、ユーザーに必要な情報を押し付けすぎずに示す構成です。ボタンの並びから、拒否が同意より不利になっていないかを読み取ってください。

当サイトでは、表示に必要なCookieのほか、閲覧状況の分析と広告改善のためのCookieを使用します。
任意Cookieは、同意後にのみ使用します。

[すべて同意] [任意Cookieを拒否] [目的別に選ぶ]
Section 05

Cookie同意取得のUXを損なわない実装例

サイト類型ごとに、必要な表示、同意、オプトアウト、設定導線を選びます。

実装例は、対象地域とタグのリスクに応じて変わります。次の比較表は、国内コーポレートサイト、日本向けEC、グローバルSaaS、ログインサービスの四つを並べたものです。読者は、自社のタグ利用とユーザー地域に近い行を起点に、どのUIと台帳が必要かを読み取ってください。

モデル想定ケースUXを損なわない設計
国内コーポレートサイト日本国内中心、広告リターゲティングなし、アクセス解析あり、外部送信規律の対象可能性あり大きな同意バナーではなく、外部送信ページ、フッターリンク、小さな通知、Cookie設定導線を中心にします。
日本向けECサイト会員登録、購買履歴、広告効果測定、リターゲティングを利用第一階層で三択を示し、広告カテゴリは初期OFF、同意後に広告タグを読み込みます。
グローバルSaaS日本、EU、英国、カリフォルニア州のユーザーがいるB2B SaaS地域別CMP、EU/英国の事前同意、カリフォルニアのGPC、日本の外部送信ページを統合します。
ログインサービス端末単位のCookie同意とアカウント単位の広告・メール設定を持つサービス端末ごとのCookie設定とアカウント全体のプライバシー設定を分け、ユーザーの誤解を減らします。

外部送信ページは、バナーに入りきらない詳細情報を整理する場所です。次の表は、サービス名、送信先、送信情報、利用目的、停止方法を並べる例です。列ごとに、利用者が何を送られるのか、誰に送られるのか、どう止められるのかを確認できることが重要です。

サービス名送信先送信される情報利用目的停止方法
アクセス解析サービスAA社Cookie ID、閲覧URL、ブラウザ情報、利用日時サイト利用状況の分析、品質改善Cookie設定で解析をOFF
広告配信サービスBB社Cookie ID、広告識別子、閲覧URL、広告クリック情報広告配信、広告効果測定Cookie設定で広告をOFF、または提供会社の停止手段を利用
動画埋め込みサービスCC社IPアドレス、ブラウザ情報、閲覧ページURL動画表示、再生品質維持動画を再生しない、または外部連携をOFF
Section 06

非必須タグを同意後に読み込むフロントエンド実装例

UIより先に、同意状態とタグ発火制御を一致させる設計を作ります。

フロントエンド実装では、任意タグを最初からHTMLに書かないことが重要です。次の実装例は、同意状態を保存し、同意後に該当カテゴリのタグだけを読み込む考え方を示します。読むべき点は、初期状態が必須のみで、解析・広告・外部サービスが初期OFFになっていることです。

const DEFAULT_CONSENT = {
  necessary: true,
  analytics: false,
  advertising: false,
  externalServices: false
};

function applyConsent(preferences) {
  if (preferences.analytics) loadScriptOnce("analytics-tag", "/tags/analytics.js");
  if (preferences.advertising) loadScriptOnce("advertising-tag", "/tags/ads.js");
  if (preferences.externalServices) loadScriptOnce("external-service-tag", "/tags/embed.js");
}

function rejectAll() {
  saveConsent(DEFAULT_CONSENT);
  deleteOptionalCookies();
}

設定画面は、目的別にON/OFFを選べるだけでなく、何のために送信されるかを説明する必要があります。次の文言例は、解析と広告を分ける構成です。読者は、各カテゴリの説明が具体的で、任意カテゴリが同意前にONになっていないことを確認してください。

カテゴリ説明文の方向性初期状態
必須Cookieログイン状態の維持、セキュリティ、ショッピングカート保持に必要です。常に有効
アクセス解析ページ閲覧数、滞在時間、エラー発生状況を把握し、サービス改善に利用します。OFF
広告・マーケティング広告効果測定、興味関心に応じた広告表示に利用します。OFF
外部サービス連携SNS埋め込み、動画プレーヤー、地図表示などに利用します。OFF
Section 08

同意記録とアクセシブルな設定画面の設計

証跡を残しつつ、キーボード操作・読み上げ・目的別選択に対応します。

同意記録は、過剰な個人情報を集めず、必要な説明責任を果たせる範囲で設計します。次の比較表は、記録すべき項目と注意点を並べたものです。読者は、後から「どの説明に、どのカテゴリで、いつ同意したか」を確認できるかを読み取ってください。

項目目的注意点
同意日時いつ同意したかを示します。タイムゾーンを統一します。
ポリシーバージョンどの説明に同意したかを示します。文言変更時に再同意要否を判断します。
同意カテゴリ解析、広告等の選択状態を示します。必須Cookieは常時有効として明示します。
UIバージョンどの画面で同意したかを示します。スクリーンショットやデザイン履歴と紐づけます。
地域判定適用法域の説明に使います。IPだけに依存しすぎないようにします。
ユーザーIDまたは匿名ID問い合わせ対応や監査に使います。必要最小限にします。
撤回履歴撤回・変更への対応を示します。同意と同様に重要です。

アクセシブルな設定画面では、操作結果が分かるボタン名と、目的別の説明が必要です。次の一覧は、設定画面に求められる構成を示します。順番やフォーカスに意味があるため、キーボードだけで自然に操作できるかも確認してください。

H

明確な見出しと説明

「Cookie設定」などの見出しと、任意Cookieの目的別ON/OFFを選べる説明を置きます。

理解説明
T

目的別の選択

アクセス解析、広告・マーケティング、外部サービス連携などをfieldsetやラベルで明確に分けます。

選択初期OFF
B

結果が分かるボタン

OKではなく、設定を保存、すべて拒否、閉じるなど、操作結果が分かる文言にします。

操作アクセシブル
Section 09

文言例と開発・QAチェックリスト

分かりやすい文言、同等な選択肢、ネットワーク挙動の一致を検証します。

文言は、法務的に正確であるだけでなく、一般ユーザーが理解できる必要があります。次の比較表は、避けるべき表現と改善方向を示します。読者は、目的が曖昧な表現や拒否を遠ざける表現を、具体的な送信情報・目的・選択肢へ置き換えることを読み取ってください。

避ける表現問題改善方向
当社は利便性向上のためCookieを使用します目的が曖昧です。分析、広告、表示設定などに分けます。
続行すると同意したものとみなします明確な意思表示になりにくいです。ボタン等で積極的意思表示を得ます。
拒否する場合は詳細設定へ拒否が同意より困難です。第一階層に拒否ボタンを置きます。
必要なCookieには同意が必要です必須Cookieと任意Cookieが混同されています。必須Cookieは常に有効であることを説明します。
第三者に提供する場合があります誰に何を何のために送るか不明です。送信先、情報、目的を表で示します。

開発・QAでは、見た目ではなくネットワーク挙動を検証します。次のテストシナリオは、初回訪問、拒否、カテゴリ別同意、撤回、ポリシー更新、GPCを並べたものです。期待結果の列から、ユーザー選択とタグ発火が一致しているかを読み取ってください。

シナリオ期待結果
初回訪問、操作なし必須タグのみ読み込まれます。
任意Cookieを拒否解析・広告タグが読み込まれません。
解析のみ同意解析タグのみ読み込まれ、広告タグは読み込まれません。
広告のみ同意広告タグのみ読み込まれ、解析タグは設計に応じて制御されます。
すべて同意許可カテゴリのタグが読み込まれます。
同意撤回撤回後の新規送信が停止します。
ポリシー更新必要に応じて再表示または再同意が行われます。
GPC有効販売・共有関連処理が停止またはオプトアウト扱いになります。

自動テストでは、拒否後に任意タグが読み込まれないことを通信ログで確認します。次の擬似コードは、拒否操作後に解析や広告の通信が発生していないことを見る例です。実際には利用タグ名やテスト環境に合わせて調整します。

test("reject all prevents optional network requests", async ({ page }) => {
  const requests = [];
  page.on("request", request => requests.push(request.url()));

  await page.goto("/");
  await page.getByRole("button", { name: "任意Cookieを拒否" }).click();

  expect(requests.some(url => url.includes("analytics"))).toBe(false);
  expect(requests.some(url => url.includes("ads"))).toBe(false);
});
Section 10

Cookie同意実装のセキュリティ設計と組織体制

Cookie属性、CSP、タグ権限、役割分担を同意管理と一体で運用します。

Cookie同意はプライバシー設計ですが、Cookie自体のセキュリティも同時に確認します。次の一覧は、同意管理と混同しやすいセキュリティ項目です。読者は、認証Cookieと広告・解析Cookieを分け、タグマネージャー権限まで統制する必要があることを読み取ってください。

Secure・HttpOnly・SameSite

セッションCookieにはSecure、HttpOnly、適切なSameSiteを設定し、広告・解析Cookieと混同しないようにします。

同意管理用Cookieの最小化

同意状態の保存には機密情報や過剰な個人情報を入れず、必要最小限にします。

ローカルストレージの慎重利用

個人情報やトークンを安易に保存せず、保存目的と削除方法を確認します。

CSPと外部スクリプト制限

許可されていない外部スクリプトを制限し、タグマネージャーの権限管理を行います。

組織体制では、法務だけでも開発だけでも完結しません。次の比較表は、関係者ごとの責任を並べたものです。読者は、タグ追加、文言変更、ベンダー契約、テスト、監査の責任が分散しないように読む必要があります。

役割主な責任
法務担当・企業内弁護士法的根拠、同意要否、第三者提供、契約、規制対応の判断
外部弁護士高リスク案件、海外法、規制当局対応、広告・越境移転の助言
個人情報保護・プライバシー担当データフロー、プライバシーポリシー、外部送信表示、同意記録の管理
マーケティング担当利用タグ、広告目的、計測要件、ベンダー情報の提供
UXデザイナー第一階層・第二階層・設定画面・アクセシビリティ設計
フロントエンドエンジニアタグ制御、同意状態管理、UI実装、E2Eテスト
セキュリティ担当Cookie属性、CSP、タグマネージャー権限、外部スクリプト管理
内部監査担当台帳、証跡、統制、定期レビューの確認
Section 11

Cookie同意管理の社内ワークフローと定期レビュー

タグ追加申請、承認、QA、台帳更新、四半期レビューまでを運用に落とし込みます。

新しいタグを追加するたびに、法務・プライバシー・セキュリティ・UX・開発・QAが同じ順番で確認できる仕組みが必要です。次の時系列は、申請から本番反映までの順番を示します。各段階で止めるべきリスクが違うため、順序を飛ばさないことが重要です。

申請

タグ追加申請

送信先、送信情報、利用目的、ベンダー契約、対象地域を申請者が記入します。

確認

プライバシー・法務・セキュリティ確認

データフロー、同意要否、外部送信表示、第三者提供、越境移転、CSP、権限を確認します。

設計

UXと開発の反映

バナー・設定画面の表示変更要否を確認し、同意カテゴリに応じてタグを制御します。

検証

QAでネットワーク挙動を確認

拒否、同意、撤回、GPC、ポリシー更新時の通信と表示を確認します。

公開

台帳・ポリシー更新後に本番反映

外部送信ページ、Cookieポリシー、台帳を更新し、承認後に反映します。

定期レビューは、実際に発火しているタグと台帳の差分を見つけるために行います。次の一覧は、四半期ごとに確認したい項目です。読者は、同意率だけでなく、拒否率、撤回率、問い合わせ、表示崩れ、アクセシビリティも見ることを読み取ってください。

TAG

タグと台帳の一致

実際に発火しているタグ、送信先、送信情報が台帳と一致しているかを確認します。

LAW

規制・ガイダンス更新

新しい法規制、ガイドライン、執行事例、ベンダー仕様変更を確認します。

UX

表示と選択の公正性

同意率を上げるために拒否を不利にしていないか、PC・モバイル・多言語で崩れていないかを確認します。

Section 12

Cookie同意取得のUXでよくある質問

一般情報として、タグ実態と対象法域で判断が変わる点を確認します。

FAQでは、個別サイトの適法性を断定せず、一般的な制度説明として整理します。次の回答は、Cookie同意取得のUXでよく迷う論点をまとめたものです。実際の結論は、対象国、タグの種類、第三者提供、外部送信、同意記録の設計によって変わります。

日本国内向けサイトでもCookie同意バナーは必ず必要ですか

一般的には、日本ではCookieそのものが常に個人情報に該当し、常に事前同意が必要になるわけではないとされています。ただし、Cookie ID等が個人情報または個人関連情報に関係し、第三者提供や提供先での個人データ取得が問題になる場合、外部送信規律の対象サービスである場合には結論が変わる可能性があります。具体的な対応はタグとデータの流れを整理して検討する必要があります。

拒否ボタンを設定画面に入れてもよいですか

一般的には、拒否が同意より困難な設計は、ユーザーの自由な選択を歪める可能性があります。EU・英国向けでは拒否を同意と同程度に容易にする考え方が重要です。具体的なUIは対象法域や処理内容によって変わるため、第一階層での拒否導線を含めて検討する必要があります。

CMPを導入すれば法務リスクは解決しますか

一般的には、CMPは同意管理の道具であり、送信先、送信情報、利用目的、タグ制御、契約、同意記録、外部送信表示を正しく設定して初めて機能します。デフォルト設定が自社の法的要件に合っているとは限らないため、導入後も監査が必要です。

拒否したユーザーに毎回バナーを出してよいですか

一般的には、拒否したユーザーに毎回同意を迫る設計は、圧力のあるUXになり得ます。拒否状態も一定期間保存し、ポリシー変更や保存期間満了など合理的な理由がある場合に再表示する設計が望ましいとされています。

もっとも現実的な初期対応は何ですか

一般的には、最初に行うべきことはバナーのデザインではなくタグ棚卸しです。どのタグが、何を、誰に、何のために送っているかを一覧化し、必須、解析、広告、外部サービス、販売・共有、越境移転に分類したうえで、地域別のUIと技術制御を設計します。

Reference

この記事の参考情報源

公的資料、規制当局資料、アクセシビリティ標準、実装資料、研究資料を確認します。

法令・規制当局資料

  • 個人情報保護委員会「Cookieや端末識別ID等に関するQ&A」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • JIPDEC「電気通信事業法における外部送信規律について」
  • European Data Protection Board, Guidelines 05/2020 on consent under Regulation 2016/679
  • GDPR Article 7, Conditions for consent
  • CNIL, Refusing cookies should be as easy as accepting them
  • ICO, Cookies and similar technologies
  • ICO, Guidance on the use of storage and access technologies
  • California Attorney General, California Consumer Privacy Act materials
  • California Attorney General, Global Privacy Control materials

アクセシビリティ・実装・研究資料

  • ウェブアクセシビリティ基盤委員会「Web Content Accessibility Guidelines (WCAG) 2.2 日本語訳」
  • Midas Nouwens et al., “Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence”
  • W3C WAI-ARIA Authoring Practices Guide, Dialog (Modal) Pattern
  • Google Developers, Consent mode overview
  • Google Developers, Set up consent mode on websites
  • MDN Web Docs, HTTP Cookie の使用
  • OECD, Dark commercial patterns
  • CNIL, Cookie regulation materials