cookie規制いつから始まった日本の法律と対策

cookie規制いつから始まった日本の法律と対策

金融情報

cookie規制はいつから日本で始まり何が変わったのか

Googleの「Chrome」でサードパーティCookieを廃止するという計画が撤回された今でも、Safari利用者の約25%には既にサードパーティCookieが完全にブロックされているため、リターゲティング広告が届いていません。


🍪 cookie規制|3つのポイント
📅
日本での規制開始時期

2022年4月の改正個人情報保護法、2023年6月の改正電気通信事業法という2段階で法規制が強化。サードパーティCookieの第三者提供には同意取得が義務化されています。

🌐
ブラウザ規制の現状

Safariは2020年からサードパーティCookieを完全ブロック。国内シェア25.57%(2025年2月時点)のユーザーに対し、既存のリターゲティング広告はほぼ機能しません。

対策のカギ

ファーストパーティCookieの活用・コンバージョンAPIの導入・プライバシーポリシーの整備が3本柱。違反時には法人に最大1億円の罰金リスクもあります。


cookie規制とは何か|基本的な仕組みをわかりやすく解説

「Cookie(クッキー)」とは、ユーザーがWebサイトを訪れた際に、ブラウザ上に行動履歴や入力情報などを一時的に保存しておく仕組みのことです。ログイン状態の維持やカート情報の保持など、私たちが日常的に恩恵を受けている技術がCookieによって成り立っています。


CookieにはSafariやChromeなどブラウザが動作する端末に直接データを保存する仕組みが取られており、非常に利便性が高い反面、ユーザーの知らない間に行動情報が収集・活用されるリスクも内包しています。


Cookieには大きく2種類があります。


- ファーストパーティCookie:ユーザーが訪問しているサイト自身のドメインが発行するもの。ログイン情報保持やカート機能など利便性向上が主な目的。


- サードパーティCookie:訪問サイト以外の別ドメインが発行するもの。リターゲティング広告やクロスドメインのユーザー行動追跡に使用。


「cookie規制」とは、このうち主にサードパーティCookieの利用を制限する動きを指します。プライバシー保護への関心が世界的に高まる中、国内外で法律やブラウザ側の自主規制が急速に進んでいます。重要なのはこれが一過性のトレンドではなく、「ルールの変更」だという点です。


参考:個人情報保護委員会によるCookieを含む個人関連情報の取り扱いに関する公式ガイドライン

令和2年改正個人情報保護法について(個人情報保護委員会)

cookie規制はいつから始まった|日本の法律2つの施行時期


日本のcookie規制の開始時期を正確に把握している人は、実際にはそれほど多くありません。日本ではいつからcookie規制が本格化したのかを、2つの法改正に沿って整理します。


① 2022年4月:改正個人情報保護法の施行


2022年4月に施行された改正個人情報保護法では、「個人関連情報」という新しい概念が設けられました。Cookieによって収集されたデータは、単体では個人を識別できない場合、「個人情報」ではなく「個人関連情報」として扱われます。ただし、そのデータを第三者(別の企業)に提供し、その企業が保有する情報と紐づけることで特定個人が識別できる場合は規制の対象となりました。


例を挙げると、A社がCookieデータをB社に渡し、B社がそれを自社の会員データと照合して個人を特定できるなら、A社はB社でユーザーの同意が取得済みであることを確認・記録する義務があります。この改正により、Cookieデータの第三者提供に明確なルールが生まれたのです。


② 2023年6月:改正電気通信事業法の施行


2023年6月にはさらに踏み込んだ規制が導入されました。ニュースサイトやSNS、検索サービスなど「他人の需要に応じてオンラインサービスを提供する事業者」が対象となり、Cookieデータを外部に送信する場合は次のいずれかへの対応が義務付けられています。


- 事前に所定の事項をユーザーに通知・公表する
- ユーザーから事前同意(オプトイン)を取得する
- ユーザーが後から拒否できる仕組み(オプトアウト)を設けて周知する


つまり2023年6月が、日本でcookie規制が実質的に事業者全体に広がった転換点といえます。「いつから対応すべきだったか」という問いに答えるなら、2023年6月がその答えです。


cookie規制の背景にある海外の動向|GDPRとCCPAの概要

日本のcookie規制を理解するには、海外の先行事例を知ることが欠かせません。世界的な規制の流れが日本にも波及しているからです。


EUのGDPR(一般データ保護規則)は2018年5月に施行され、CookieIDも「個人データ」として明確に位置づけられました。GDPRの特徴は、その制裁金の大きさにあります。違反した場合、最大で「2,000万ユーロ(約30億円)または前年度年間売上高の4%のいずれか高い方」という巨額の罰金が科されます。


実際にGoogleはGDPR違反で2019年にフランス当局から5,000万ユーロ(約62億円)の制裁金を受けています。日本企業も、EU市民のデータを扱う場合はGDPRの適用対象になる点は見落とせません。


厳しいところですね。


米国カリフォルニア州のCCPA(カリフォルニア州消費者プライバシー法)は2020年1月に施行されました。CookieデータはCCPAにおける「個人データ」に該当するため、データの第三者販売・共有に際してオプトアウトの仕組みを設ける義務があります。CCPAによる制裁金は過失で1件最大2,663ドル、故意の違反で最大7,988ドルとされています。


これらの海外規制が先行したことで、日本国内の企業も「いつからcookie規制に対応すればよいのか」という問いを持つようになりました。そして日本でも、2022年・2023年の法改正へとつながっていきます。


EUのGDPRとCookieの関係・制裁金事例について詳しく解説されています

EU一般データ保護規則(GDPR)適用後の日本企業の動向と課題(EY)

cookie規制のブラウザ対応|SafariとChromeの現状はどう違う


法律だけでなく、ブラウザ側の規制もcookie規制の大きな柱です。現在、日本でのブラウザシェアは以下のとおりです(2025年2月時点)。


| ブラウザ | 日本シェア | サードパーティCookie規制 |
|---------|----------|----------------------|
| Chrome | 54.45% | 廃止計画を2024年7月に撤回。現状は継続利用可 |
| Safari | 25.57% | 2020年3月から完全ブロック |
| Microsoft Edge | 11.54% | トラッカー規制あり。一部ブロック |
| Firefox | 5.2% | トラッキング防止機能で多くをブロック |


Safariは2017年から段階的に規制を強化し、2020年3月以降はサードパーティCookieを完全にブロックしています。Safari+Firefoxだけで日本のブラウザシェアの約30%を占めます。つまり今この瞬間も、全ユーザーの3割近くにはサードパーティCookieを使ったリターゲティング広告がそもそも届いていないということです。


Chromeについては、当初2022年までの廃止を宣言していたものの複数回の延期を経て、2024年7月に完全廃止計画を撤回しました。「Chromeが廃止を撤回したから安心」という認識は危険です。なぜなら、SafariとFirefoxでの規制はすでに実施済みで、Chromeが廃止を撤回してもその事実は変わらないからです。ブラウザ全体のトレンドとしては、プライバシー保護強化の方向は変わっていません。


最新のサードパーティCookieの廃止スケジュールと各ブラウザの規制状況が確認できます

【2026年最新】サードパーティCookieとは?仕組みや規制状況を解説(アドエビス)

cookie規制でリターゲティング広告はどう変わるのか


サードパーティCookieの規制によって最も直撃を受けるのが、リターゲティング広告(追跡型広告)です。リターゲティング広告とは、以前サイトを訪れたユーザーに対して、後日別のサイトで同じ商品・サービスの広告を表示する手法です。金融系サービスでも、証券会社の口座開設キャンペーンやクレジットカードの申込み促進などで広く使われています。


この仕組みは、サードパーティCookieがユーザーのサイト横断的な行動を追跡することで成立しています。サードパーティCookieが規制されると、以下の2点が大きく変わります。


- ターゲティング精度の低下:過去の閲覧履歴に基づく広告配信が制限され、興味・関心の薄いユーザーにも広告が表示されやすくなる
- コンバージョン計測の欠損:「ビュースルーコンバージョン(広告を見てから後日別ルートでアクセスし成約に至るケース)」の計測ができなくなる


マーケターの87.1%がcookie規制の影響を「すでに感じている」と回答しているという調査結果もあります(株式会社イルグルム調査)。


これは意外な数字かもしれません。


しかし現実には既にSafariでの規制が進んでいる以上、影響はすでに起きているのです。


対策として今すぐできることは、Google広告やMeta広告などの「コンバージョンAPI」を設定し、ブラウザCookieに頼らないサーバーサイドでの計測手法を導入することです。広告媒体の管理画面から設定できる場合が多く、まずは利用中の広告媒体のコンバージョンAPI対応状況を確認するところから始められます。


cookie規制でコンバージョン計測に欠損が生じる仕組み

広告費は使っているのに成果が見えにくくなった」という声は、cookie規制が本格化した2023年以降に急増しています。その原因のひとつが、コンバージョン計測の欠損です。


従来、ユーザーが広告をクリックしてからサイトを訪れ購入・申込みをするまでの流れを、サードパーティCookieを使ってトラッキングしていました。この計測はChromeでは現状引き続き利用できますが、Safariでは2020年時点でブロックされているため、全ユーザーの25%超の行動データが取れていない状態になっています。


加えて、Safariはファーストパーティ(自社ドメイン発行の)Cookieについても規制しています。JavaScriptで発行されたファーストパーティCookieは最大7日間しか保持されません。これはどういうことでしょうか?


例えば、ユーザーが広告をクリックし1週間以上経ってから申し込んだ場合、Safariではその成約を広告経由と正しく紐づけられない可能性があります。「広告効果が低い」と判断して予算を削減したら、実は広告が十分に機能していた、というケースが起こりえます。計測データに頼るほど、見えないリスクが広がるということですね。


コンバージョン計測の精度を保つためには、コンバージョンAPIの活用に加え、UTMパラメータの適切な設定や自社CDPへのファーストパーティデータ蓄積が有効です。いずれも広告担当者が自ら設定・管理できる施策であり、まず優先的に取り組むべき対策です。


cookie規制の違反リスク|法人への罰則は最大1億円

「なんとなく対応が後回しになっている」という企業も少なくないでしょう。しかし、cookie規制(特に改正個人情報保護法)への違反は、無視できないリスクをはらんでいます。


2022年の改正個人情報保護法では、法人に対する罰金の上限が従来の30万円から最大1億円に引き上げられました。


具体的には次のとおりです。


- 個人情報保護委員会の措置命令違反:法人に対し最大1億円の罰金
- 個人情報保護委員会への虚偽報告・報告拒否:最大50万円の罰金
- 不正な個人データ提供・盗用:1年以下の懲役または50万円以下の罰金


欧米はさらに厳しく、EUのGDPRでは最大2,000万ユーロ(約30億円)または年間売上高の4%のいずれか高い方が制裁金として科される可能性があります。Googleは実際に2019年にフランス当局から約62億円の制裁金を受けています。


重要なのは、cookie規制への対応は「コンプライアンス上の義務」であるという認識を持つことです。罰則が現実化するには段階的な流れがある(調査→勧告→命令→罰則)とはいえ、企業名の公表や社会的信頼の失墜は、金銭的損失より大きなダメージになる場合があります。


対応は早いほど有利です。


個人情報保護法改正後の罰則強化について詳しく解説されています

改正個人情報保護法の概要 ~改正前および改正後の変更点(NTTデータ先端技術)

cookie規制への対策①|ファーストパーティCookieとデータ活用


サードパーティCookieへの依存から脱却するために最も現実的な手段が、ファーストパーティCookieとファーストパーティデータの活用です。ファーストパーティCookieは、自社サイトのドメインが発行するため規制の影響が相対的に少なく、引き続き使用できます。


ファーストパーティデータとは、自社が直接ユーザーから収集したデータ全般を指します。メールアドレス、購買履歴、会員登録情報、サイト内行動履歴などがこれにあたります。これらは「ゼロパーティデータ(ユーザーが意図的に提供したデータ)」とともに、今後のマーケティングにおける最も信頼性の高いデータ源となります。


ファーストパーティデータを蓄積・活用するための実践的な方法には、会員登録・ポイントプログラムの導入、メールマガジンの購読促進、アンケートやウェビナー参加などのコンテンツ施策などがあります。


金融領域では、投資信託の情報提供サービスや資産シミュレーションツールなど、ユーザーが自発的に登録・活用したくなるコンテンツを通じてファーストパーティデータを収集している事例が増えています。CDP(カスタマーデータプラットフォーム)と呼ばれるデータ統合ツールを使えば、これらのデータを一元管理し、広告配信やメールマーケティングに活かすことが可能です。


cookie規制への対策②|コンバージョンAPIとプライバシーサンドボックス

ブラウザのcookie規制が進む中、Cookieに依存しない計測・配信技術も急速に整備されています。その代表が「コンバージョンAPI(CAPI)」です。


コンバージョンAPIとは、ユーザーの行動データをブラウザ経由ではなく、サーバーからサーバーへ直接送信することで、Cookieのブロックに左右されない計測を実現する技術です。Meta(Facebook)広告やGoogle広告、TikTok広告など主要媒体が対応しており、ブラウザ上の計測と組み合わせることで計測精度を大幅に改善できます。


これは使えそうです。導入自体は多くの場合GTM(Googleタグマネージャー)や広告管理画面から設定でき、専門的な開発知識がなくても対応できます。


もうひとつ注目されるのがGoogleが開発を進めてきた「プライバシーサンドボックス」です。ただし2025年10月にGoogleはプライバシーサンドボックスの採用低迷を理由に一部技術を廃止する方針を発表しており、代替技術の確立に向けた動きは依然流動的な状況です。現時点での最優先事項は、コンバージョンAPIの設定とファーストパーティデータの蓄積であることに変わりはありません。


cookie規制への対策③|プライバシーポリシーとCookieバナーの整備

cookie規制への対応として法的に必要な手続きが、プライバシーポリシーの整備とCookieバナーの設置です。とりわけ2023年6月の改正電気通信事業法施行以降、ユーザーへの通知・公表が義務化された範囲が広がっています。


プライバシーポリシーには以下の内容を明記する必要があります。


- 送信されるユーザー情報の具体的な内容(Cookieの種類・取得データ)
- 情報を取り扱う事業者の名称
- 利用目的(広告配信、アクセス解析など)


加えて、オプトアウト(後から拒否できる仕組み)を提供している場合は、その方法もわかりやすくユーザーに周知することが求められます。CookieバナーはCMP(コンセントマネジメントプラットフォーム)というツールを使って実装するケースが一般的です。OneTrustやCookiebotなどの国際的なCMPに加え、日本語対応の国内サービスも多数提供されています。


対応が「形式的なもの」にならないように注意が必要です。たとえばCookieバナーで「全て同意」ボタンを強調し「拒否」ボタンを見づらくする手法はダーク・パターンとして問題視される場合があります。EUではこうしたデザインがGDPR違反と判断されたケースもあります。プライバシーポリシーの整備は、法的義務を満たすと同時にユーザーの信頼を獲得するための機会でもあります。


cookie規制が金融系サービスのWeb広告に与える独自の影響

金融系サービスがcookie規制の影響を特に大きく受ける理由があります。それは「ユーザーの検討期間が長い」という特性です。


例えば、証券口座の開設や投資信託の購入は、ユーザーが最初に広告を見てから実際に申し込むまで数週間から数ヶ月かかることがあります。この長い検討期間の間に、SafariのファーストパーティCookie規制(最大7日間で削除)の影響で、広告経由の初回訪問とその後の申込みが正しく紐づかなくなるケースが頻発しています。


つまり「広告費をかけているのに成果が見えない」という現象が、金融業界では特に深刻に起きやすいということです。


これが条件です。


また、金融サービスでは個人情報の取り扱いに対してユーザーの感度が特に高い傾向があります。「証券会社のサイトを見ていたら、別のサイトでも証券会社の広告が出てきた」という体験を不快に感じるユーザーは少なくありません。そのため、パーミッション(許可)を得たうえでのコミュニケーション強化、つまりメールマーケティングや自社アプリのプッシュ通知を中心としたチャネル戦略への移行が、金融系サービスには特に有効です。


cookie規制 いつから完全廃止になる|今後のロードマップと見通し

「Chromeがサードパーティcookie廃止を撤回したから、当面は心配しなくていい」という見方は現状では誤解を招きやすいです。


今後の動向を整理しておきましょう。


現在確定していること


- Safariはサードパーティcookieを2020年から完全ブロック済み(変更なし)
- FirefoxはデフォルトでトラッカーをブロックしCookieを隔離(変更なし)
- 日本の法律(改正個人情報保護法・改正電気通信事業法)は現行のまま適用中


現在流動的なこと


- Chromeのサードパーティcookie廃止:2024年7月に完全廃止を撤回。ただしユーザー自身がCookieのトラッキングを制御できる仕組みの検討が続いている
- EUの「ePrivacy規則」:法制化に向けた審議中。成立すればEU加盟国に直接適用される規則として全体の規制水準が引き上げられる見通し


Chromeのサードパーティcookie廃止が撤回されたことは、「cookie規制の流れが止まった」ことを意味しません。廃止撤回の理由は「広告業界全体の移行準備が整っていなかったため」であり、プライバシー保護の方向性自体は変わっていません。2025年以降も規制強化の流れは続くものと見ておくのが妥当です。


今すぐ取り組むべきことは明確です。コンバージョンAPIの設定、ファーストパーティデータの蓄積、プライバシーポリシーの整備という3点を着実に進めることが、変化の速い規制環境においても安定したマーケティング基盤を保つことに直結します。


Chromeのサードパーティcookie廃止撤回の背景と今後の対策について解説されています

サードパーティクッキーの廃止が撤回された背景と今後の対策を解説(クロス・マーケティング)

cookie規制 まとめ|金融に関心がある人が今すぐ確認すべきチェックリスト


ここまで解説してきた内容を踏まえ、実際に対応が必要な項目を確認しましょう。以下は特にWebサービスや広告運用に関わる方向けのチェックリストです。


📋 cookie規制対応チェックリスト


| カテゴリ | 確認事項 | 対応状況 |
|--------|---------|---------|
| 法的対応 | プライバシーポリシーにCookieの取得・利用目的が明記されているか | ✅ / ❌ |
| 法的対応 | オプトアウト手段(Cookieバナーなど)がユーザーに提供されているか | ✅ / ❌ |
| 計測対応 | 利用している広告媒体でコンバージョンAPIの設定が完了しているか | ✅ / ❌ |
| 計測対応 | GA4などの分析ツールでファーストパーティCookieが正しく設定されているか | ✅ / ❌ |
| データ戦略 | ファーストパーティデータ(会員情報・購買履歴等)の蓄積ができているか | ✅ / ❌ |
| データ戦略 | サードパーティCookieに依存しないメール・プッシュ通知等の施策があるか | ✅ / ❌ |


cookie規制への対応はいつから始めるべきか?答えは「今すぐ」です。2022年・2023年の法改正はすでに施行済みであり、Safariによるブロックもすでに実施中です。対応が遅れるほど、計測データの欠損が積み重なり、広告効果の判断精度が落ちていきます。


「規制が強化されてから考える」ではなく、「変化に先んじて準備する」姿勢こそが、cookie規制時代のマーケティングで差をつける最大のポイントです。


十分な情報が集まりました。


記事を生成します。