事が起こる前に知っておきたい！セキュリティ対策

ECサイトにおいてセキュリティはとても重要な反面、売上に繋がる要素ではないために、情報収集や対策が遅れがちになってしまう側面があります。今回はヨーロッパで施工されているEC一般データ保護規制（GDPR）とCookieに注目して解説をしていきます。

Contents

1 GDPRとは？
2 日本企業が無関係とは言い切れない
- 2.1 EU圏のユーザーにオンラインサービスを提供している場合
- 2.2 EC圏のユーザーの行動データを取得している場合
3 Cookieとは
- 3.1 Cookieの規制
- 3.2 Cookieの規制対策
4 まとめ

GDPRとは？

GDPRとは、EU域内での個人データの保護を規定する法として2018年5月に施行された規則です。GDPRが施行される以前に定められていた、EUデータ保護指令よりも内容が厳格化されており、EU加盟国に対して同一に効力を持っています。

注目すべきは、この対象範囲に個人を特定できる情報に加えて、位置情報、IPアドレス、Cookieといったオンライン識別子も対象となっている点です。

GDPRの適応範囲は以下のようになっています。

1.EU地域内に子会社や支店などの拠点を有している
2.EU地域内に拠点を有しておらず、以下のいずれかに該当している
・EU地域内にいる個人に対して商品やサービスを提供している
・EU地域内の個人の行動を監視（アプリやウェブサイトにおける個人の行動履歴や購買し歴の追跡など）

これらの条件に該当し、重大な義務違反をした企業は最大2000万ユーロ、または全世界売上の4％のいずれか高い金額を制裁金として課せられる可能性があります。

しかし違反してしまった場合でも、情報漏洩などの違反事項の判明から72時間以内に所定の機関に報告することでGDPRの適応を免れることも可能となっています。

日本企業が無関係とは言い切れない

GDPRは海外の法令ではありますが、日本企業も関係する場合があります。

EU圏のユーザーにオンラインサービスを提供している場合

HULUなどのオンライン動画、デジタルデータを保管するオンラインストレージ、オンラインゲーム、インターネットショッピングなどが対象となります。

EC圏のユーザーの行動データを取得している場合

購買履歴はもちろん、サイトにアクセスした際のIPアドレスやCookie情報、あるいはGPS情報を取得している場合も対象となります。EU圏からのアクセスを遮断していなければ、いつでも対象となり得るといえます。

Cookieとは

Cookieとは、WebサイトからWebブラウザに渡すデータ片のことで、以後はWebブラウザからWebサイトにデータを戻すことで過去に訪れた人と同じとみなしています。あるECサイトで過去に買い物カゴに入れた商品が数日たっても保持されているのは、Cookieを利用している場合が多いです。

Cookie はWebサイトに訪問したユーザーの情報を識別・トラッキングするために作られ、サイト運営者はユーザーがサイト上でどのような行動を取ったのか情報を把握することで、より良い顧客体験につなげています。

Cookieの規制

Web/ECサイト運営をしていく上で、ユーザー情報をトラッキングできるCookieは運営側にとってメリットの大きなシステムです。しかし、個人情報保護の観点から世界的に問題視されるようになってきています。

Cookieの規制で最も大きな影響を及ぼしているのは、サードパーティークッキー（3rd Party Cookie）です。Cookie情報を利用して広告を表示しているのがサードパーティークッキーで、初めてアクセスしたサイトに過去に閲覧した商品やサービスの広告が表示された経験をされたことがあると思います。

広告主はサードパーティークッキーを利用することで、複数のWebサイトにおける行動データを追跡して、購買の可能性の高い広告を表示することができます。こうしたCookie情報の活用が行き過ぎと判断され、アップルのSafariやGoogle Chromeで段階的に廃止の動きをとっています。

ユーザーにとっては知らない企業に自分の興味・関心・居住地域など類推されにくくなる反面、企業側は効率の良い広告配信ができなくなってきています。

Cookieの規制対策

もしマーケティングの主体がサードパーティークッキーに依存している場合、早い段階でファーストパーティークッキーを取得する必要があります。そのためには、ユーザーが自分の情報をWebサイトに渡すことによって有益だと感じられるようにすることです。例えば、以下のような方法で、ファーストパーティーデータを集めることができます。

ランディングページ

商品やサービスの情報を詳しく記載した、ユーザーが最初に訪れるページはアクセス数も多く、ファーストパーティーデータを集めるのに適したページといえます。ランディングページでは、クーポンの提供と引き換えにメールアドレスを入力いただくポップアップを表示するのがいいでしょう。

フォーム

商品購入の際にデータ収集に同意いただくと割引する方法が有効的です。商品の値引きが難しい場合は送料の負担を減らしたり、次回使えるクーポンを発行するなど講じます。

ソーシャルログイン

FacebookやTwitterといったソーシャルメディアのアカウントでWebサイトにログインする際、データの共有に同意いただく方法もあります。複数のログイン方法を提供することは、ユーザーの利便性を上げることにもつながります。

Cookie情報の取得にはプライバシーポリシーの提示やCookie利用における同意の事前取得、個人情報を保護する仕組みや体制づくりに注力していきましょう。

まとめ

Webサイトが広く普及するにつれて、さまざまな情報がインターネット上に蓄積されるようになっています。ユーザーを守るだけでなく、自社のWebサイトを守るためにも常に最新のセキュリティ情報を入手し、導入していくように心がけていきましょう。