そうだ、今度の車はジャガーにしよう!とか、次はロレックスのどれ買おうかな〜?とか思いつつ海外ブランドのウェブサイトにアクセスすると、「個人情報取りますけど、いいですか」なんて無粋な質問が画面に出ますよね最近。世に言うGDPR(General Data Protection Regulation)というやつです。おちおち妄想もできません。
ちょうど、最近の日付でまとめられている方がいました↑
2018年に施行された際にはウェブ業者間でも「どうする」みたいな話題が出ましたが、冷静に考えると
- 適用対象はEU域内との取引がある企業
- 企業内にデータ保護オフィサーの任命が必要
- そもそも、IPアドレスやCookieを個人情報とみなし取得を制限するもの
など、単にウェブ上の仕組みとして実装する/しない以前に、企業の事業内容や組織体制が問題になるため、徐々に「まあ、いいか」的にフェードアウトしていきました。
特に3つめのIPアドレスやCookieを個人情報とみなし取得を制限するものは、ウェブ業者にとって影響甚大で、ここが制限されると自分たちのビジネスに支障が出るわけです。実際、サイトの改善提案や結果の定量化に利用するGoogleアナリティクスが、事実上使えなくなるので、そりゃあ積極的にやろうとは思いません。
とはいえ、もし実際にEU域内とお取引があり、企業内にデータ保護オフィサーも配置したクライアントが「IPアドレスやCookieを個人情報とみなし取得を制限したい」とおっしゃったら、対応するのが業者の務め。最近は海外採用も盛んですし。
というわけで先日、自社サイトに試験的にGDPR対応の仕組みを導入してみました。
どんな風に導入したのか
<aside id="gdpr">
<p>当ウェブサイトでは、サービス向上のためGoogle Analyticsによるご利用者様情報(Cookie)の取得をいたします。<br>情報取得にご同意いただける場合は、下記チェックボックスへのチェックをお願いいたします。</p>
<label><input type="checkbox" data-message="ご同意誠にありがとうございます">Cookieの取得に同意する</label>
</aside>
対象のページにこんなHTML↑を追加します。
チェックが入ったあとにお礼の文章が表示できるよう「data-message=”ご同意誠にありがとうございます”」という独自データ属性も設けました。これらをCSSとJavaScriptで制御します。それと通常<head>内、もしくは外部JSファイルに記述するGoogleアナリティクスのトラッキングコードは、勝手に働かないように削除しておきます。
実際のページ上ではこんな感じ↓
ページにアクセスするとCookieの取得に先立って、ウィンドウ下部に同意に関するメッセージ欄が表示されます。その後、同意にチェックを入れるか、同意せずに画面をスクロールさせるとメッセージ欄は消えます。
なお、同意にチェックが入れられたら
- 「同意した」という記録をCookieとして7日間保存
- Googleアナリティクスの作動開始
- 以降、サイト内でページ遷移してもGoogleアナリティクスは引き続き作動
という処理。
また「同意した」という記録の保存期間7日が過ぎると記録は消去され、その後のアクセス時には再度、同意のためのメッセージ欄が表示されるようになります。
導入期間など
期間は4月28日〜5月29日の1ヶ月間。新型コロナ禍という特殊な状況下ではありましたが、それまでも一定のアクセスを維持していたのと、あくまで実験的な試みだったので厳密な数字は求めない前提で導入。まあ、他人にしゃべったりする予定がなかったので、テキトーに始めたということです。
導入前の予想
離脱率のアップを招くのではないか?
表示される内容はあくまでCookieの取得に関するものなのだけれど、国内のサイトではあまり見かけない設問のため、そもそもクッキーってなんだよ、意味不明、怖い、となりかねない。結果、アクセス即離脱というケースを増やすのではないか?
サイトの閲覧自体に影響はないので、無視されるのではないか?
チェックをしようがしまいが、ユーザーがページを閲覧する上で影響を受けることはない。だったら、チェックするのも手間だし、『なんか取られる』と思ったら極力チェックしない(=無視する)のが一般的なユーザー心理なのでは?
理由はなくても、怖いサイト/企業、という印象を与えるのでないか?
ページの閲覧中、ひいては閲覧後も、なにやら情報をかすめ取ってる企業という印象をユーザーに与えるのではないか? 企業イメージに悪い影響を及ぼすのではないか?
とまあ、いろいろなことを考えた訳ですが。結果、
PV数はゼロになった
まさかここまでとは。
なお、実装時のミスも疑って何度も検証しましたが、スクリプトの動作には問題なし。またその間にも、営業メール含めフォームからのお問合わせはありましたので、実際にアクセスがあったのは間違いありません。単純に、Cookieの取得に同意する人がひとりもいなかったようです。
これが物販や求人情報を扱うサイトなら違ったかもしれませんが、プロモーションを目的としたウェブサイトでは、実際想像に難くない結果です。となると、上で挙げた「理由はなくても、怖いサイト/企業、という印象を与えるのでないか?」これだけが残る状況。
つまりGDPR対応の導入には、どこにもメリットがありませんでした。
いまGDPR対応するなら
- 同意メッセージの表示は、EU域内からのアクセス時のみに限る
- そこまでするのだから、サイトはある程度多言語化
- 理由なく忌避されないために、GDPRを知らないユーザーに向けた説明
少なくとも、日本からのアクセス時には表示しないほうがよさそう。ただGDPRというルールの周知が進めば無用な偏見は減らせるので、自分たちの利益のためにも、啓蒙する機会は窺っていきたいものです。
あとアジア諸国でも、少しずつGDPRに準じた個人情報保護法制が整っている模様。この辺は見逃せません。
当社でのGDPR対応の今後
国内においては現状、リスクをとってまで導入する意義はないかなあ。この結論に至れたことは収穫。
今後もしやるとすれば、まずは上で書いた懸念点をそれぞれ再検証したいもの。PV数ゼロになってしまうだけでは、何が起きたのかはサッパリわかりませんから。いつかまたどこかで試してみようと思います。
あとは、海外採用の相手国として関心度の高い台湾、ベトナム、インドネシアあたりの状況は引き続き要注目です。日本の新卒採用に積極的なアジアの求職者は、今のところ総じて優秀で、多言語化されていないサイトでも自分で読み解いて応募してくれます。ただし今後はコンテンツだけではなく、法対応にもローカライズが必要。求職者が優秀だからといって、法対応はおざなりにできません。このあたりは、私たち業者からの提案が必要なポイントですよね。がんばります。
おまけ、オプトイン(Opt-In)とオプトアウト(Opt-Out)
意志の取得には2方式
GDPRに限った用語ではありませんが、同意など、ユーザーの意志を取得する際の方式には2種類があります。
- オプトイン(Opt-In)
ユーザーが行動して、意思表示をする方式 - オプトアウト(Opt-Out)
ユーザーが行動しないと、意思表示したとみなされる方式
若干説明に悪意を込めてみましたが、我ながら言い得て妙。
現在の多くの個人情報保護法下では、上の2つのうちのオプトイン(Opt-In)のみが意思表示方式として認められているそう。そういえば以前、Facebookが初期設定項目をオプトインに変更したとのトピックもありましたね。
当ウェブサイトではご利用者様情報(Cookie)の取得をいたします。
情報取得にご同意いただけない場合は、下記チェックをお願いいたします。
これ↑だとアウトなのでご注意。