キヤノンMJ/サイバーセキュリティ情報局
Cookieの利便性と問題点を考える
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「Cookieを削除するとどうなるのか? 」を再編集したものです。
セッション管理やコンテンツ表示の最適化など、ウェブサイトの利便性を高めるためにも使われるCookie。しかし、最近では「プライバシーを侵害する一要因だ」として批判を浴びる対象ともなっている。この記事ではCookieが抱える問題点をはじめ、Cookieの削除や受け入れ拒否をする際の影響範囲と内容、そして削除の手順について解説していく。
ウェブサイトの利便性を高めるCookie
Cookieとは、ウェブサーバーからウェブブラウザーに送信される小さなデータのこと。HTTP Cookieとも呼ばれ、ウェブブラウザーがウェブサーバーとHTTP(あるいはHTTPS)での通信を行なう際に、セッション管理に利用される。ウェブサーバーがCookieの情報を照合することで、ユーザーが間隔を空けてページに再訪した場合でも、前回訪問時の状態からウェブサイトでの行動を再開することができるようになっている。
例えば、ECサイトではカートに商品を入れたままページを離れても、ウェブサーバーがその際のカート情報を保存している。ユーザーが再訪した際には、Cookieの情報を送信して照合することで、離脱前のカートの状況を再現する。また、会員制のウェブサイトでは、Cookieがログイン状態を維持することに利用されるケースもある。この他にも、以下のような現在のウェブにおける利便性を実現する機能もCookieの技術によるものだ。
・複数の機能間でのログイン状態の維持を実現するSSO(シングルサインオン)
エージェント方式のシングルサインオンでは、ウェブ認証後にセッションCookieと呼ばれるものが発行される。これを保持したままウェブシステムにアクセスすることで、一度の認証によって複数のシステムにアクセスできるようになっている。
・ウェブ上でのユーザーの行動を把握するためのウェブ解析
ウェブのアクセス解析で訪問数・セッション数やページビュー数、ユニークユーザー数の計測のためにCookieを使用している。Cookieとセッション情報を紐づけることで、ユーザーそれぞれの行動を把握している。
・ユーザーの属性や過去の行動履歴にもとづいた商品、コンテンツを表示するパーソナライズ
Cookieを利用し行動を把握できるということは、どのウェブサイトでどのようなコンテンツを閲覧したのか、あるいはどのECサイトでどのような商品を見たのかといった、ユーザーの閲覧履歴を把握できるということでもある。過去に閲覧した商品やサービスの広告を一定期間後に表示する、あるいは関連する商品やサービスに関する広告を表示するといったように、応用して利用されている。
Cookieに関連する問題点
Cookieの問題点を説明する前に、まずCookieの分類について整理しておきたい。
Cookieの利用範囲だが、これは「ファーストパーティー」と「サードパーティー」として区分される。「ファーストパーティー」とは、製品やサービスを提供している「当事者」のことだ。対して、「サードパーティー」とは、製品やサービスを提供する「当事者以外の関係者」のことをいう。ちなみに、セカンドパーティーはその製品やサービスを利用するユーザーのことを指す。
すなわち、ファーストパーティーCookieとは、ユーザーが訪問しているウェブサイトが発行したCookieということになる。例えば、「www.example.com」で発行されたCookieを「example.com」というドメインでのみ利用するものがファーストパーティーCookieとなる。
サードパーティーCookieは、ユーザーが訪問しているウェブサイト以外のドメインで発行されたCookieのことを指す。発行元のドメイン以外においても、ウェブブラウザー側に保存された情報を活用するというのが前提だ。シングルサインオンや広告のターゲティング・効果分析、ウェブサイトの解析などの利用で用いられる。
近年、サードパーティーによるCookie利用は問題視されるようになってきている。Cookie関連の技術がもたらすメリットをデメリットが上回るほど、過剰な利用が進んでしまったという認識が広がりつつある。EUでは一般データ保護規則(GDPR:General Data Protection Regulation)が施行され、日本国内でも改正個人情報保護法が成立。Cookieのような情報も場合によっては「個人情報」と見なされ、保護のために利用を一定程度規制することが世界的な潮流となりつつある。こうした時流を受け、Google Chromeやアップル社のSafariなどではサードパーティーCookieを廃止する方向に舵を切り始めている。
特に問題視されている「トラッキング」に使われるCookie
トラッキングに用いられるCookieは、ウェブサイトにアクセスするユーザーの行動、データの推移などを継続的に追跡する。そして、収集したデータはターゲティング広告やコンテンツ表示の最適化など、さまざまな用途に利用される。トラッキングは、ユーザーの利便性を高める一面もあると同時に、過剰なサービスが時にプライバシー侵害と見なされることもある。
そもそも、「トラッキング」とは日本語訳では「追跡する」という意味だ。追跡することで、そのユーザーの好みにマッチした広告やコンテンツを表示できるようになるものの、ユーザーによってはそうした表示が「監視されている」と感じてしまうのも無理はないだろう。
トラッキングはセキュリティ的に何が問題なのか?
https://eset-info.canon-its.jp/malware_info/special/detail/200402.html
Cookieを削除すれば、その時点までの行動履歴が削除され、広告やコンテンツの表示もリセットされる。 しかし、再度発行元のウェブサイトを訪問すれば、新たなCookieが発行されることになる。一度Cookieを削除すればよいというわけではないので、注意するようにしてほしい。
Google ChromeにおけるCookieの設定方法
Cookieを適切に管理するためには、ウェブブラウザーのCookieに関する設定を変更するという方法がある。基本的にほとんどのウェブブラウザーでは、Cookieの設定に加え、削除も可能となっている。代表的なウェブブラウザーであるパソコン版のGoogle Chromeを例に、設定の手順を紹介していく。
・Cookieの削除
アドレスバーの右端にあるメニューをクリックして設定画面を開き、「プライバシーとセキュリティ」をクリックする。 表示される一覧のメニューから、「Cookieと他のサイトデータ」、「すべてのCookieとサイトデータを表示」をクリックしていくことで、ブラウザー上に保存されているCookieの一覧が表示される。
個別に削除することも可能だが、ブラウザーを多用しているユーザーの場合、その数は数百以上に上る。そのため、まとめて削除するか、右上にある「Cookieを検索」から削除したいドメインの対象を探し出して削除する、といったようにピンポイントで対処した方が効率的だ。
・Cookieのブロック(拒否)の設定
先ほどのメニュー「Cookieと他のサイトデータ」では、Cookieの受け入れの設定も可能だ。初期設定では、「シークレットモードでサードパーティーのCookieをブロックする」になっているはずだ。サードパーティーCookieの利用を懸念するユーザーは、ここで「サードパーティーのCookieをブロックする」を選択しておくことで、以降のウェブ閲覧ではサードパーティーCookieをブロックすることができる。
なお、Cookieすべてをブロックすることも可能だが、メニュー上にも「推奨されません」との記載があるように、ウェブサイトのなかには、Cookieを利用した便利な機能を搭載しているところも少なくない。Cookieを使用できないサイトや使用できるサイトを個々に登録もできるため、頻繁に利用するウェブサイトで、Cookieを受け入れないと利用に支障が出てしまうサイトのみ登録する、といった判断を検討するのも一考だろう。
・Cookieを削除した際の影響範囲と内容
Cookieを削除することで、トラッキングされることはほとんどないと言ってよい。しかし、ウェブサイト閲覧時の利便性が大きく損なわれる可能性があることは頭に入れておきたい。まず、過去に訪問したウェブサイトのセッション情報が削除されることで、ログイン状態が解除されてしまう。他にも、掲示板などでの書き込み時に自動的に表示されていたニックネームなども削除されることになる。また、買い物途中だったECサイトのカートの中身も空になっているかもしれない。削除することで、Cookieの利便性に関する貢献度がわかるはずだ。
プラットフォーマーがCookieを制限する時代へ
先述のとおり、サードパーティーCookieに対する風当たりは厳しくなってきている。Cookieの情報だけでは個人を特定できるという特性は持たないものの、他の情報と組み合わせることで個人情報に近似した情報となり得る。そのような情報をサードパーティーという第三者がユーザーの許可なく利用するのは望ましくない、という考えだ。
先に触れたEUのGDPRでは、Cookieなどで「仮名化」された情報も「個人情報」とみなすため、その利用においてはユーザーに「暗黙的ではない同意」を得ることが求められるようになった。この法令の施行は2018年5月だが、欧州のユーザーが訪問する可能性のあるウェブサイトでは、このタイミングでCookieへの同意を求める一文が表示されるようになった。EUのこうした動きは米国、そして日本へと着実に波及し、世界的なトレンドになりつつある。そして、このような動きに追随するかのように、プラットフォーマーと呼ばれる巨大IT企業も変化を見せている。
先駆けてサードパーティーCookieを禁止したアップル社のウェブブラウザーであるSafariは「ITP(Intelligent Tracking Prevention)」と呼ばれる、従来のCookie利用と比較してユーザーの行動追跡に大幅な制限が課される仕組みを導入している。ITPでは、サードパーティーCookieを発行から24時間後に無効化して30日後に削除する。また、JavaScriptやHTML5から導入されたAPIであるLocalStorageを使用、あるいは4つ以上のドメインからリダイレクトされているといったファーストパーティーCookieについても制限をかけるようになっている。
※LocalStorage:ウェブブラウザー上にデータを保管できる仕組みのこと。Cookieよりも大容量のデータを保管でき、送受信のタイミングを柔軟に変更できる。
また、GoogleもChromeにおけるサードパーティーCookieの利用の停止を2023年までに行おうとしている。そして、Cookieに代わる広告ターゲティングの手段として、「FLoC」という技術のテストを並行して開始している。FLoCは、「Federated Learning of Cohorts」の略で、興味や関心を同じくするユーザーをグループ化することによって、個人を特定させずにターゲット広告を可能とする技術だ。
ユーザーがどのグループに属するかは機械学習アルゴリズムが行なうため、広告企業などに個人を特定される恐れがない。すでに、最新のChromeではこの技術を用いた「プライバシーサンドボックス」を試用できるようになっており、着実に普及に向けた動きが進んでいる。こうした新たなテクノロジーにCookieが代替され、利便性とプライバシー保護を両立できる時代が目前に迫りつつあるのだ。