当社サイトのリンクを通じて購入すると、アフィリエイト手数料が発生する場合があります。 仕組みは次のとおりです.

Cookie 法とは正確には何ですか?

プライバシーおよび電子通信規則 (PECR) は、一般に「Cookie 法」として知られており、インターネット ユーザーのプライバシーを保護するために設計された英国の法律です。 これは 5 つの EU 電子通信指令の 1 つであり、すべての EU 加盟国が 2011 年 5 月 25 日までに施行することが義務付けられています。 はい、2011 年 – しかし、業界に多大な混乱を引き起こしたため、英国の規制当局である ICO は期限を 2012 年 5 月 25 日まで延長しました。

リチャード・ボーモントの 「新しい Cookie 法に関する初心者向けガイド」2012 年 5 月 23 日に発行された『』は、Web デザイナーと開発者が考えるべきことについて素晴らしい概要を提供しました。 それから 3 か月が経過し、騒動は沈静化しましたが、コンプライアンスと技術的実装の詳細は広く解釈されており、一貫性がありません。

しかし、それは単なるクッキーではありません

焦点は Cookie の使用にありますが、PECR はユーザーのプライバシーに影響を与える他のテクノロジーもカバーしています。 これらには次のものが含まれます。

  • YouTube などの Web サイトに埋め込まれたサードパーティのサービス
  • ソーシャルメディアなど、APIを使用してWebサイトに統合されたサードパーティのサービス
  • Web サイト、Web アプリケーション、またはモバイル アプリケーションのデータベースの読み取りと書き込みを可能にするテクノロジー

最も懸念されるのは、行動を追跡するためにコンピューターやモバイルデバイスにデータを保存するために使用されるテクノロジーです。

Cookie に加えて、これらの機能の実行を支援する他の既存および新興テクノロジーには次のものがあります。

  • Flash Cookie または Flash ローカルに保存されたオブジェクト
  • HTML5ストレージ
  • WebストレージまたはDOMストレージ
  • インデックス付きデータベース API またはインデックス付き DB
  • モバイル アプリケーションのローカル データ ストレージ

わかりやすくするために、PECR の対象となるすべてのテクノロジーを総称して「Cookie」と呼びます。 同じ理由で、Web サイト、Web アプリケーション、モバイル アプリケーションを総称して「Web サイト」と呼びます。

YouTube ビデオを埋め込む Web サイトには YouTube のスクリプトも埋め込まれており、YouTube Cookie が有効になります。
YouTube ビデオを埋め込む Web サイトには YouTube のスクリプトも埋め込まれており、YouTube Cookie が有効になります。

一体何が大騒ぎになっているのでしょうか?

Cookie は主流のデジタル通信で確立されており、インターネット エコシステムの重要なコンポーネントです。 ほとんどの組織ではコンテンツ管理システムを使用しています
(CMS) ウェブサイトのコンテンツや Cookie を埋め込んだシステムを効率的に作成、公開、管理するための コア コードに機能が組み込まれているため、Cookie は現代の Web の動作方法に不可欠な部分となっています。

Cookie はプライバシーを侵害したり乱用したりするために作成されたものではありません。HTTP はステートレス プロトコルであるため、Cookie はブラウザと連携して動作し、HTTP が状態を維持できるように設計されています。 ウェブが進化するにつれて、Cookie の使用も進化しました。

Cookie 法に関する限り、望ましくないまたは煩わしい広告やテクノロジーにアクセスして使用することにより、ユーザーのプライバシーを侵害する方法で Cookie を使用する組織は、 真の犯人は個人を特定できる情報ですが、法律はテクノロジーの用途ではなく、使用されるテクノロジーに焦点を当てているため、すべての Cookie は個人に対する脅威とみなされます。 プライバシー。 ただ、そうではありません。

Web業界はそれに対して何をしているのでしょうか?

Web 業界は団結した業界ではないため、単一の意見が存在せず、何を実装するかについての明確なガイダンスが必要なだけの Web デザイナーや開発者にとって、物事はそれほど簡単にはなりませんでした。

この法律が行き過ぎであるという意見には広く同意があるが、Cookie に対する ICO のアプローチにより、実際の問題は薄められる結果となった。 消費者が情報に基づいた選択をするために必要な情報を提供することで消費者の利益が保護されるのではなく、Web サイト所有者は 強制執行を恐れて ICO の期限に間に合うように急いで、さまざまな粘着絆創膏のソリューションを使用したが、そのほとんどがコンプライアンスを満たしていなかった 要件。

問題は次のとおりです。

  • ほとんどの組織は、完全に準拠するための専門知識を社内に持っていません。
  • アプローチ、解釈、ポリシーに関して業界全体の合意はありません。
  • 技術的な基準、規格、ガイドラインはありません。

マーケターとして、またその擁護者として 包括的なデザイン、私はまだ、何らかの形でうんざりしない単一の解決策を見つけていませんが、本当の懸念は、Cookie 法案が真空中で起草されたように見えることです。 現時点では、他の法律と矛盾せずに完全に準拠するための解決策はまったくありません。

データ保護法の原則のいくつかと矛盾しており、アクセシビリティ基準を満たさないことは均等法の規定と矛盾します。 さらに、英国の組織の 96% は従業員が 9 名以下であるため、中小企業への財務上の影響を考慮する必要があります。 UX を損なう目障りな技術実装は、収益の損失につながるだけでなく、コストの増加にもつながります。 コンプライアンスを遵守している場合、中小企業が会社に基づく株主に対する義務に違反する可能性があります。 活動。

それでも、サイトごとに実装しても、インターネットが直面する広範なプライバシー問題は解決されません。 複数のデジタル チャネルにわたってユーザーのプライバシーとセキュリティを確実に維持することは、業界全体の関心事であるはずです。

DNT (Do Not Track) の取り組みは意図的に行われたものですが、ブラウザは独自の行動をとっています。
DNT (Do Not Track) の取り組みは意図的に行われたものですが、ブラウザは独自の行動をとっています。

誰もがリスクを冒すわけではありませんが、…

様子を見るのが楽しかったです Silktide の大胆な「DEAR ICO, SUE US」アプローチ しかし、.net は法的アドバイスを提供するためにここにいるわけではないので、これは推奨ではありません。 それでも、シルクタイドの言うことには一理ある。 良い 実際にいくつか. ICO が全面的に応じたときに何が起こるか興味深いところですが、それまでの間は、おそらく私たちの残りの人々はそこまで大胆ではないので、とぼとぼと進んでいくことにします。

その場合、ICOは法律を緩和するのでしょうか?

現時点では、英国のすべての Web サイト所有者によるコンプライアンスの要件は絶対です。 この法律では、Cookie の種類、Cookie の使用目的、Cookie が保存するデータの種類を区別せず、包括的な規定を適用しています。 2012 年 5 月の期限に向けて、ICO は準拠しようとする組織が直面する課題を認めたものの、そのガイダンスはよく言っても大雑把なものでした。

2012年4月、英国文化・メディア・スポーツ省はICOに対し、よりビジネス主導で現実的なアプローチを検討するよう要請する公開書簡を送った。 これにすぐに続いて、政府のデジタル サービス部門である GovUK の担当者が、DCMS の書簡に沿ったガイドラインを公開しました。 ICO の対応は満足のいくものではなく、自らの立場を堅持しましたが、政府自身の不遵守が前例となりました。

ICO は業界が単一の解決策を見つけることを期待していましたが、解決策は見つからず、最後の 1 時間で ICO はガイドラインに重要な変更を加えました。 違反者に対する規制と罰則の適用方法が緩和され、さらに重要なことに、 業界としてのセッション Cookie の使用を認識して、黙示の同意を許容できるとみなすオプション 標準。

ICOに対するSilktideの公の異議申し立ては勢いを増しているが、ICOは積極的ではなく、ブログで次のように述べている。

「…暗黙の同意が許可されるかどうかについてはまだ不明な点もありますが、私たちはこれについて教育する取り組みを続けています。」

ICOはさらに、消費者の苦情に対応しており、11月に進捗状況を発表する予定であると述べている。

そしてクッキーは崩れていきます。

私たちは今何をすることが期待されているのでしょうか?

したがって、現時点では、ICO は組織が次のことを行うべきだと述べています。

「...ユーザーに適切な情報を提供するためにあらゆる手段を尽くし、ユーザーが自分のデバイスに保存されているものについて十分な情報に基づいた選択ができるようにしています。」

泥のように澄んでいる。 唯一の例外は、Cookie の使用が「厳密に必要」な場合です。これは ICO で使用される用語ですが、定義が曖昧で、激しく議論されています。 簡単に言えば、ユーザーのプライバシーとセキュリティを保護するために Cookie が必要な場合、それは必ず必要です。 他のすべての用途については、Cookie がユーザーのプライバシーを侵害するリスクに応じて強制される可能性が高くなります。

格差と混乱があるにもかかわらず、ただ「様子見」するのは得策ではありません。

大胆なアプローチ。 推奨されませんが、業界が迷惑していることを示しています
大胆なアプローチ。 推奨されませんが、業界が迷惑していることを示しています

同意の探求

PECR がもたらす主な変更の 1 つは、Web サイトがデバイスに Cookie を保存するためにユーザーから同意を得るという要件です。 当初、ICO ガイドラインでは、データが保存される前にすべての同意が得られることが期待されていました。 ICO がこれが常に可能であるわけではないことを受け入れ、そのガイダンスに暗黙の同意を含めたとき、ウェブ業界は大きな安堵のため息をつきました。

ファーストパーティクッキーと分析クッキー

この時点で、ICO は、Web サイトがファーストパーティ Cookie を使用する場合は許容されるとみなします。

  • 非侵入的な機能または分析目的のみ。
  • どのような Cookie が使用されているかをユーザーに適切に通知します。 そして
  • 合理的に実行可能な限り速やかに同意を求めます。

ただし、法律自体は変更されていないため、これは刑務所から自由に脱獄できるカードではありません。

サードパーティクッキー

Web サイトで第三者がユーザーのデバイスに Cookie を設定することを許可している場合、同意を取得するプロセスはかなり複雑になります。 ウェブサイトの所有者は、自分のドメインにない他のドメインからの Cookie を受け入れるようにユーザーに要求するため、さらに面倒です。 コントロール。

事前の同意と黙示の同意

ICO は、ステートレス HTTP プロトコルが状態データをシームレスに受け渡せるようにするために、ほとんどの Web サイトではユーザーが Web サイトにアクセスするとすぐにセッション Cookie を設定することを考慮しています。

したがって、事前の同意を得ることが不可能または現実的でない場合、Web サイトは、 Cookie がユーザーのデバイスに設定されてから、ユーザーが Cookie に関する関連情報にアクセスできるようになり、Cookie が提供されるまでの時間 オプション。

ICO はユーザーが同意する必要があると強調しているにもかかわらず、現在、暗黙の同意が最も一般的に使用されているメカニズムです。 ICO が暗黙の同意が有効であると確信する前に、Cookie に関する適切な知識と理解を得る必要があります。 方法。

フレンドリーで暗黙的: オレンジは Cookie の使用についてユーザーに優しく通知します。
フレンドリーかつ暗黙的: www.orange.co.uk は Cookie の使用についてユーザーに優しく通知します。

プラグアンドプレイだけできますか?

既成の解決策はありませんが、サードパーティ Cookie を使用せず、正しいことをしたいだけの倫理組織は恐れる必要はありません。 ICO の期限に先立って、私は PECR のあらゆる側面 (設計、技術、マーケティング、法律、運営など) についてアドバイスする学際的なチームを率いました。 はい、私はそれほど退屈です - そしてこの記事の情報は私が学んだことを抽出したものです。

強制執行の可能性を考慮して

導入のハウツーに入る前に、評価すべき重要なことの 1 つは、施行の可能性です。 ICO はリスクの評価に基づいて決定を行いますが、手順の詳細については説明しません。

以下の場合、ICO が規制措置を講じる可能性はありません。

  • 明らかなプライバシーの侵害はありません。
  • ウェブサイト、ウェブアプリケーション、またはモバイルアプリケーションでの Cookie の使用を十分にレビューしました。
  • 使用する Cookie についてユーザーに十分に通知していること。
  • ユーザーが Cookie を受け入れるかどうかを選択できるようにした場合。 そして
  • ユーザーはブラウザで Cookie を拒否するように設定していません。
明確な選択: 使用する Cookie とその理由について率直に述べてください (私の個人サイト: http: Sandiwassmer.co.ukother-pagesterms-and-conditions#terms)
明確な選択: 使用する Cookie とその理由について率直に述べてください (私の個人サイトでは: http://sandiwassmer.co.uk/other-pages/terms-and-conditions/#terms)

すべての Web デザイナーと開発者が知っておくべきこと

Web サイトが Cookie を使用する理由

ハイパーテキスト転送プロトコル (HTTP) は、Web ページがインターネット経由でリクエストおよび配信される手段です。 イントラネットやその他のネットワークは「ステートレス プロトコル」と呼ばれ、すべての Web ページがリクエストされ、提供されます。 分離。 HTTP プロトコルには、Web ページのリクエストを受信するサーバーが、リクエスト元のブラウザに Web ページを提供するために行われた以前のリクエストを「知る」ための規定はありません。

静的ページのみを持つ Web サイトの場合、このステートレス性は問題になりません。 ただし、ほとんどの Web サイト、Web アプリケーション、モバイル アプリケーションは静的ではなく、ある程度のレベルの ユーザー対話。ステートレスな性質のため、HTTP プロトコルだけではユーザーの対話を容易にすることはできません。 交流。

e コマース Web サイトで、誰かが商品をショッピング カートに追加してチェックアウトに進むには、テクノロジーがセットで特定の機能を実行する必要があります。 そのためには、システム全体がステートフルである必要があり、Cookie は、 HTTP。

クッキーの仕組み

Cookie は、サーバーがアクションを実行できる手段を提供します。 サーバーは Cookie を設定するリクエストを受信すると、アクションを実行して設定を実行します。 Cookie が設定されると、システムはステートフルになるため、サーバーは Cookie の値に基づいてさらなるアクションを実行できます。

ユーザーの観点から見ると、最初の対話は、ユーザーが Web ページをリクエストし、ブラウザーが HTTP リクエストをサーバーに送信するときに発生します。 サーバーは、応答の HTTP ヘッダーに埋め込まれた Cookie の形式で状態データを含む Web ページを提供することで応答します。 ブラウザは Web ページを受信して​​レンダリングし、ユーザーが設定を変更していないことを前提として、Cookie が が受け入れられない場合、Cookie データはユーザーのデバイスに保存され、送信したサーバーのドメインにファイルされます。 それ。

以降のインタラクションは、ユーザーが同じドメインから別の Web ページをリクエストしたときに発生します。 ブラウザには、そのドメイン用にファイルされた Cookie があり、それをサーバーに送信する前に HTTP 要求ヘッダーに挿入します。 新しい HTTP リクエスト ヘッダーに Cookie が存在するため、サーバーは前のリクエストを「認識」してリクエストを受信します。

Cookie の代替手段とそれが使用されない理由

状態情報を渡す代替手段が存在しないというのは誤りです。Cookie の機能を複製できる技術的手段は他にもあります。 しかし、それらは実用的でも望ましいものでもありません。 Cookie ははるかに優れており、シームレスで目立たないユーザー エクスペリエンスを提供します。

ユーザーの匿名性は保証できません

現時点では、インターネット上で完全な匿名性を保証するメカニズムはありません。 Cookie を無効にして DNT を使用しても、ユーザーの追跡は妨げられません。 標準的な PC とブラウザを使用すると、次のデータが利用できます。

  • IPアドレス
  • デバイスが設定されているタイムゾーン
  • 画面解像度や色深度などのユーザー設定
  • デバイスにインストールされているフォント
  • どのブラウザとどのデバイスが使用されているか
  • デバイスにインストールされているブラウザ拡張機能とプラグイン
  • ユーザーが JavaScript をオンまたはオフにしているかどうか
  • ブラウザが Cookie を受け入れるかどうか

Web標準、UX、アクセシビリティ、ベストプラクティス

同意に取り組むために登場したさまざまな技術ソリューションのコードと手法を調べてみましたが、要件を満たすものはありませんでした。 私たちが取り組んでいる標準やベストプラクティスは、Web デザイナーや開発者にとって最大の課題の 1 つとなっています。 クッキー; 興味深く創造的なソリューションはたくさんありますが、そのほとんどは Cookie の技術的ソリューションを提供するために個別に開発されています。 多くの場合、これにより、UX、Web 標準、アクセシビリティ ガイドライン、その他の法律のベスト プラクティスと矛盾することになります。

たとえば、ICO はオプトイン オーバーレイ機能の絶対位置決めに CSS を使用しているため、視覚的には目立ちますが、この機能は実際には HTML のフッターの最後にあります。 キーボードのみのユーザーとスクリーン リーダーのユーザーは、全体をナビゲートしない限り、この機能にアクセスする可能性は低いです。 Web ページからフッターまで移動できるため、選択することなく ICO Web サイト内を自由に移動できるようになります。 で。 仮にそうしたいと思ったとしても、アクセス方法を特定できる可能性は低いでしょう。

標準なしの同意: マークアップの最後にありますが、絶対的な位置決めに CSS を使用しています
標準なしの同意: マークアップの最後にありますが、絶対的な位置決めに CSS を使用しています

第 2 部で取り上げます: 実装

理由と理由を理解したら、パート 2 では、社内で行うか代理店を利用するかにかかわらず、実装のハウツーに進むために必要なすべてを説明します。 Cookie の徹底的な監査を実施し、行動計画を作成し、実装へのルートを決定し、 技術的なソリューションはあなたの Web サイトに適しており、規制に対する ICO のアプローチが進化し、テクノロジーが変化するにつれて、Web サイトで Cookie がどのように使用されるかを管理できます。 時間。

その間に:

参考文献とさらなる読み物

EU データ保護フレームワーク

  • EU データ保護指令

英国の法律とガイダンス

  • プライバシーおよび電子通信 (EC 指令) (改正) 規則 2011
  • ICO PECR コンプライアンス ガイダンス
  • ICO PECR 罰金ガイダンス

業界リソース

  • Google Analytics による Cookie の使用方法
  • IAB EU eプライバシー指令: パブリッシャー/アフィリエイトのための消費者透明性フレームワーク
  • W3C ブログ: Do Not Track の状態