「Beats Flex ー fragment designスペシャルエディション」 Apple公式サイトで販売開始
11/03/2022
Cookieとは、WebサーバーからWebブラウザーに送信される小さなデータのこと。HTTP Cookieとも呼ばれ、WebブラウザーがWebサーバーとHTTP(あるいはHTTPS)での通信を行う際に、セッション管理に利用される。WebサーバーがCookieの情報を照合することで、ユーザーが間隔を空けてページに再訪した場合でも、前回訪問時の状態からWebサイトでの行動を再開することができるようになっている。
例えば、ECサイトではカートに商品を入れたままページを離れても、Webサーバーがその際のカート情報を保存している。ユーザーが再訪した際には、Cookieの情報を送信して照合することで、離脱前のカートの状況を再現する。また、会員制のWebサイトでは、Cookieがログイン状態を維持することに利用されるケースもある。この他にも、以下のような現在のWebにおける利便性を実現する機能もCookieの技術によるものだ。
エージェント方式のシングルサインオンでは、Web認証後にセッションCookieと呼ばれるものが発行される。これを保持したままWebシステムにアクセスすることで、一度の認証によって複数のシステムにアクセスできるようになっている。
Webのアクセス解析で訪問数・セッション数やページビュー数、ユニークユーザー数の計測のためにCookieを使用している。Cookieとセッション情報を紐づけることで、ユーザーそれぞれの行動を把握している。
Cookieを利用し行動を把握できるということは、どのWebサイトでどのようなコンテンツを閲覧したのか、あるいはどのECサイトでどのような商品を見たのかといった、ユーザーの閲覧履歴を把握できるということでもある。過去に閲覧した商品やサービスの広告を一定期間後に表示する、あるいは関連する商品やサービスに関する広告を表示するといったように、応用して利用されている。
Cookieの問題点を説明する前に、まずCookieの分類について整理しておきたい。
Cookieの利用範囲だが、これは「ファーストパーティー」と「サードパーティー」として区分される。「ファーストパーティー」とは、製品やサービスを提供している「当事者」のことだ。対して、「サードパーティー」とは、製品やサービスを提供する「当事者以外の関係者」のことをいう。ちなみに、セカンドパーティーはその製品やサービスを利用するユーザーのことを指す。
すなわち、ファーストパーティーCookieとは、ユーザーが訪問しているWebサイトが発行したCookieということになる。例えば、「www.example.com」で発行されたCookieを「example.com」というドメインでのみ利用するものがファーストパーティーCookieとなる。
サードパーティーCookieは、ユーザーが訪問しているWebサイト以外のドメインで発行されたCookieのことを指す。発行元のドメイン以外においても、Webブラウザー側に保存された情報を活用するというのが前提だ。シングルサインオンや広告のターゲティング・効果分析、Webサイトの解析などの利用で用いられる。
近年、サードパーティーによるCookie利用は問題視されるようになってきている。Cookie関連の技術がもたらすメリットをデメリットが上回るほど、過剰な利用が進んでしまったという認識が広がりつつある。EUでは一般データ保護規則(GDPR:General Data Protection Regulation)が施行され、日本国内でも改正個人情報保護法が成立。Cookieのような情報も場合によっては「個人情報」と見なされ、保護のために利用を一定程度規制することが世界的な潮流となりつつある。こうした時流を受け、Google Chromeやアップル社のSafariなどではサードパーティーCookieを廃止する方向に舵を切り始めている。
トラッキングに用いられるCookieは、Webサイトにアクセスするユーザーの行動、データの推移などを継続的に追跡する。そして、収集したデータはターゲティング広告やコンテンツ表示の最適化など、さまざまな用途に利用される。トラッキングは、ユーザーの利便性を高める一面もあると同時に、過剰なサービスが時にプライバシー侵害と見なされることもある。
そもそも、「トラッキング」とは日本語訳では「追跡する」という意味だ。追跡することで、そのユーザーの好みにマッチした広告やコンテンツを表示できるようになるものの、ユーザーによってはそうした表示が「監視されている」と感じてしまうのも無理はないだろう。
トラッキングはセキュリティ的に何が問題なのか?Cookieを削除すれば、その時点までの行動履歴が削除され、広告やコンテンツの表示もリセットされる。しかし、再度発行元のWebサイトを訪問すれば、新たなCookieが発行されることになる。一度Cookieを削除すればよいというわけではないので、注意するようにしてほしい。
Cookieを適切に管理するためには、WebブラウザーのCookieに関する設定を変更するという方法がある。基本的にほとんどのWebブラウザーでは、Cookieの設定に加え、削除も可能となっている。代表的なWebブラウザーであるパソコン版のGoogle Chromeを例に、設定の手順を紹介していく。
アドレスバーの右端にあるメニューをクリックして設定画面を開き、「プライバシーとセキュリティ」をクリックする。表示される一覧のメニューから、「Cookieと他のサイトデータ」、「すべてのCookieとサイトデータを表示」をクリックしていくことで、ブラウザー上に保存されているCookieの一覧が表示される。
図1: ブラウザー上のすべてのCookieが表示される
個別に削除することも可能だが、ブラウザーを多用しているユーザーの場合、その数は数百以上に上る。そのため、まとめて削除するか、右上にある「Cookieを検索」から削除したいドメインの対象を探し出して削除する、といったようにピンポイントで対処した方が効率的だ。
先ほどのメニュー「Cookieと他のサイトデータ」では、Cookieの受け入れの設定も可能だ。初期設定では、「シークレットモードでサードパーティーのCookieをブロックする」になっているはずだ。サードパーティーCookieの利用を懸念するユーザーは、ここで「サードパーティーのCookieをブロックする」を選択しておくことで、以降のWeb閲覧ではサードパーティーCookieをブロックすることができる。
図2: Cookieの受け入れ設定
なお、Cookieすべてをブロックすることも可能だが、メニュー上にも「推奨されません」との記載があるように、Webサイトの中には、Cookieを利用した便利な機能を搭載しているところも少なくない。Cookieを使用できないサイトや使用できるサイトを個々に登録もできるため、頻繁に利用するWebサイトで、Cookieを受け入れないと利用に支障が出てしまうサイトのみ登録する、といった判断を検討するのも一考だろう。
Cookieを削除することで、トラッキングされることはほとんどないと言ってよい。しかし、Webサイト閲覧時の利便性が大きく損なわれる可能性があることは頭に入れておきたい。まず、過去に訪問したWebサイトのセッション情報が削除されることで、ログイン状態が解除されてしまう。他にも、掲示板などでの書き込み時に自動的に表示されていたニックネームなども削除されることになる。また、買い物途中だったECサイトのカートの中身も空になっているかもしれない。削除することで、Cookieの利便性に関する貢献度がわかるはずだ。
先述のとおり、サードパーティーCookieに対する風当たりは厳しくなってきている。Cookieの情報だけでは個人を特定できるという特性は持たないものの、他の情報と組み合わせることで個人情報に近似した情報となり得る。そのような情報をサードパーティーという第三者がユーザーの許可なく利用するのは望ましくない、という考えだ。
先に触れたEUのGDPRでは、Cookieなどで「仮名化」された情報も「個人情報」とみなすため、その利用においてはユーザーに「暗黙的ではない同意」を得ることが求められるようになった。この法令の施行は2018年5月だが、欧州のユーザーが訪問する可能性のあるWebサイトでは、このタイミングでCookieへの同意を求める一文が表示されるようになった。EUのこうした動きは米国、そして日本へと着実に波及し、世界的なトレンドになりつつある。そして、このような動きに追随するかのように、プラットフォーマーと呼ばれる巨大IT企業も変化を見せている。
先駆けてサードパーティーCookieを禁止したアップル社のWebブラウザーであるSafariは「ITP(Intelligent Tracking Prevention)」と呼ばれる、従来のCookie利用と比較してユーザーの行動追跡に大幅な制限が課される仕組みを導入している。ITPでは、サードパーティーCookieを発行から24時間後に無効化して30日後に削除する。また、JavaScriptやHTML5から導入されたAPIであるLocalStorage*1を使用、あるいは4つ以上のドメインからリダイレクトされているといったファーストパーティーCookieについても制限をかけるようになっている。
*1 Webブラウザー上にデータを保管できる仕組みのこと。Cookieよりも大容量のデータを保管でき、送受信のタイミングを柔軟に変更できる。
また、GoogleもChromeにおけるサードパーティーCookieの利用の停止を2023年までに行おうとしている。そして、Cookieに代わる広告ターゲティングの手段として、「FLoC」という技術のテストを並行して開始している。FLoCは、「Federated Learning of Cohorts」の略で、興味や関心を同じくするユーザーをグループ化することによって、個人を特定させずにターゲット広告を可能とする技術だ。
ユーザーがどのグループに属するかは機械学習アルゴリズムが行うため、広告企業などに個人を特定される恐れがない。すでに、最新のChromeではこの技術を用いた「プライバシーサンドボックス」を試用できるようになっており、着実に普及に向けた動きが進んでいる。こうした新たなテクノロジーにCookieが代替され、利便性とプライバシー保護を両立できる時代が目前に迫りつつあるのだ。