※日経ソフトウエア 2019年3月号の記事を再構成

インターネット上のトラッキング技術「ブラウザーフィンガープリント」を3回にわたって解説する。第2回はブラウザーフィンガープリントへのニーズが高まっている背景として、Cookieとネット広告とGDPR(EU一般データ保護規則)の関係を解説する。

広告配信サーバーはユーザーの挙動から、その人が関心を持ちそうな広告を掲載しようと、いつでも見つめている (c)Shutterstock
広告配信サーバーはユーザーの挙動から、その人が関心を持ちそうな広告を掲載しようと、いつでも見つめている (c)Shutterstock

※「Cookieとは? 改めて知りたいネットのトラッキング技術」の続きです。

 Webブラウジングをすると広告を見ないことはないというくらい、ネット上には多くの広告があふれている。

 これらの広告は多くの場合はCookieを利用していて、それらはthird-party Cookie(サードパーティークッキー)と呼ばれている(図1)。一方、アクセスした先のサーバーから発行されるものを、first-party Cookieと呼ぶ。

図1●広告で頻繁に利用されるサードパーティークッキー
図1●広告で頻繁に利用されるサードパーティークッキー

 Cookieは、広告の色々な用途で利用されている。例えば、ユーザーがあるWebサイトで「冷蔵庫」を見ていて、別のWebページに移動したときに「冷蔵庫」の広告が表示されるといったことがある。これを「リターゲティング広告」というが、これはユーザーの挙動がCookieでトラッキングされていて、広告を配信しているサーバーがそのCookieを利用することでユーザーを特定しているからだ。広告配信サーバーはユーザーの挙動から、その人が関心を持ちそうな広告を掲載しようと、いつでも見つめているのだ。

 Cookieの仕組みを中心に、この「冷蔵庫」の例をもう少し詳しく見てみよう。

 Webページを見ていて広告バナーが表示されるときや広告をクリックしたとき、ユーザーのWebブラウザーは、知らないうちに広告配信サーバーから発行されたCookieを受け取っている。例えば、Webページ上に広告が表示されるとき、Webブラウザーは広告配信サーバーにJavaScriptなどを介してアクセスしていて、広告として表示する画像やテキスト、クリックした時の遷移先URLを取得している。その時同時に、広告配信サーバーはCookieを発行している。ユーザーは自分から広告配信サーバーにアクセスしているわけでもないのに、Webページ上の広告枠を通じて、Cookieを受け取ってしまっているのだ。

 図2で、筆者のChrome上にあるCookieを示した。一旦Chrome上のをすべてのCookieを消去し、わずか数箇所ほどのWebサイトを訪れた後に残されていたCookieだ。Cookieが発行されたWebサイト名を見てみたところ、筆者がアクセスしたWebサイト以外のところばかりだった。Chromeで開いていないにもかかわらず、大量のCookieが発行されてPC上に保存されていたのだ。

図2●Chrome上で確認されたサードパーティークッキー
図2●Chrome上で確認されたサードパーティークッキー

 ちなみに、たった一つのWebサイトを閲覧しただけで、24個もの大量のサードパーティークッキーが発行されているケースもあった。実際、多くのニュース系サイトは、アクセスするとすさまじい量のCookieが発行される。これらは、広告配信事業者やユーザーの挙動をトラッキングするサービスで利用されているものがほとんどだ。

 訪れたことがないWebサイトからCookieが大量に発行され、WebブラウザーやPC上での自分の挙動が勝手に分析されるというのは、あまり気持ちのよいものではないだろう。

図3●Chromeで確認。Cookieに情報を入れる場合は生の平文ではなく暗号化すべき
図3●Chromeで確認。Cookieに情報を入れる場合は生の平文ではなく暗号化すべき

 そこで、Webブラウザーや端末の設定でできる、サードパーティークッキーを抑制できる機能を紹介しよう。

 図3は、iPhoneのSafariの設定。「サイト越えトラッキングを防ぐ」のチェックをオンにするだけだ。これはITP(Intelligent Tracking Prevention)と呼ばれる機能で、iOS11から追加された。前述のような“ユーザーを追いかけてくる広告”で利用しているCookieに制限をかけるものだ。

 具体的には、Cookieの発行を行ってから24時間だけ当該サードパーティークッキーにアクセスすることができて、それ以降はアクセスできなくなるというもの。つまり、サードパーティークッキーを利用している広告配信業者などは、24時間以降はユーザーの追跡ができなくなり、リターゲティング広告やユーザーの挙動解析ができなくなるのだ。

GDPRでCookieが規制される

 これらCookieを使った個人の特定や解析を、企業がオプトアウトで勝手に行えないようにする規則がEU圏で施行された。それがGDPRだ。

 GDPR(General Data Protection Regulation: 一般データ保護規則)という言葉を聞いたことがある人は多いだろう(図4)。GDPRは、EU内のすべての個人(EU圏の在住者として仕事での駐在者はもちろん、EU在住者が海外に旅行や仕事で居る場合も対象者)を対象とした、個人情報保護についての規約をまとめたものだ。2018年5月5日に施行された。

 GDPR施行日の前後で、非常に多くのWebサービスやWebサイトで、利用者の使用許諾内容の更新を求めるメールや規約変更が行われ、世界中を巻き込んだ事態になった。

 というのも、GDPRでの規則では、Cookieを利用した個人情報の利用には、ユーザーの同意を求める必要があるからだ。また、取得したデータはEU圏外へのデータ持ち出しは禁止されていて、データの保護・管理も正しく行わなければならないとされたのだ。さらに、取得したデータは、個人からの参照・削除の要求があった場合、対応を行わなければならない体制が求めらるようになった。

 これらに違反すると、2000万ユーロもしくは企業の売上の4%を制裁金として課せられる。大企業だけではなく、中小零細企業も対象となっており、非常に厳しいものだ。

 Webサービスを展開する企業にとって、この中で問題となったのが、サービスを行っている企業の所在地がEU圏になくてもGDPRの適用対象になることだった。これを「域外適用」と言う。例えば、EU圏の人がEU圏外のWebサービスを使ったとき、域外の企業もGDPRの対象となってしまうのだ。日本でWebサービスを展開する企業はこれまで、ユーザーがEU圏内の在住者だからといって特段個人情報の扱いを変えたりはしていなかった。それがGDPRによって、非常にナーバスな問題になってしまったのだ。

 GDPRで規定している個人情報は、Cookieに限らず、名前やメールアドレスはもちろん、IPアドレスやSNS上での投稿といった広い範囲になっている。そこで、GDPRの施行日に対応が遅れたWebサービスは、EU圏のIPアドレスからのWebアクセスができないようにブロックされてしまうという動きがあったほどだった(参考記事「米紙サイト、EUで一部閲覧不能 データ規制対応遅れ」)。

 日本国内だけでサービスを展開する企業ならまだしも、グローバル企業のWebサイトには、あらゆる国からのアクセスがある。GDPRの施行日以降でWebサイトを開くと、図5のようにCookieの許諾を求められるバナーをよく目にした読者も多かっただろう。GDPR以前・以後で、グローバル企業にかかわらず非常に多くのWebサイトでこのようなCookieの許諾ページを目にし、筆者はGDPRの影響の大きさを感じた。

図5●GDPRの影響で最近よく表示されるCookieの承認バナー。画面はARMのWebサイトの例。グローバル企業のサイトでGDPRの影響が強くなるため、よく見かける
図5●GDPRの影響で最近よく表示されるCookieの承認バナー。画面はARMのWebサイトの例。グローバル企業のサイトでGDPRの影響が強くなるため、よく見かける

 また、GDPRではEU域外への個人情報のデータを持ち出しを禁止しているが、個人情報の保護レベルがEU水準と認められた国や地域にはデータの移動ができる「十分性認定」という仕組みがある。この十分性認定を日本が欧州委員会から得ることが出来た(参考記事「日本のデータ移管、円滑に」)。これにより、例えば日本に本社があり、EU域内に法人と社員がある場合など、日本国内でEU域内のデータを扱いたい時に問題になっていた部分がクリアになった。ただし、個人情報を取得する際には、同意を取るといった部分は変わらない点については注意が必要になる。

 このGDPRの次に2019年内に施行予定となっていて恐れられているのが、「ePrivacy規則」だ(Regulation on Privacy and Electoric Communication: 通称Cookie法)。オプトアウトでのCookie利用はNGになり、Cookieを取得する際はオプトインで必ずユーザーからの能動的な同意を取らなくてはならない、というもの。これが施行されると、サードパーティークッキーは“全滅”となると言ってもよいだろう。

 なぜかというと、前述のように広告などで利用されているサードパーティークッキーは、ほとんどの場合はユーザーの同意を取らないでCookieを発行しているからだ。

 これらEUからの個人情報保護の規約は、今までユーザーの同意を取らないで情報を取得して広告やアクセス解析を行って経済活動をしてきた企業に対し、強い制限や制約として作用するだろう。

 実際に初めてGDPRの制裁金をケースも出てきた(参考記事「グーグル、GDPRで制裁金、情報収集に不備、日本企業もリスク」)。

 つまり、個人情報保護の流れから、Cookieの時代が今終わろうとしているのだ。

 2月22日掲載の記事では、いよいよブラウザーフィンガープリントとは何かを解説する。