こんにちは。山屋です。
みなさんはどんなクッキーがお好きですか?私はカントリーマアムが好きです。という話は置いておいて…
Webサイトを閲覧していると、以下の画像のように「クッキーを受け入れますか?」といったダイアログが表示されたことはないでしょうか。
これが一体何なのか前々から気になったので、今回はいろいろと調べてみました。
そもそも「クッキー」とは何か
簡単に説明すると、Webサイトがユーザーのブラウザに保存する小さなデータのことです。
初めて訪れたWebサイトでは、Webサイトがクッキーの値を含めたレスポンスを返す→ブラウザはそれを保存しておく→ブラウザが次に同じWebサイトにアクセスするときにその値を送り返す、ということをしています。これがどういうことなのかというと、クッキーによって過去にアクセスしたことがあるWebサイトかどうかを判別できるということです。
これを応用してWebサイトがレスポンスに一意なIDを含めたクッキーを送信すればユーザーを区別することができ、ログイン状態となるわけです。
このクッキーは「ファーストパーティークッキー」と呼ばれ、先ほどの画像に書かれているクッキーとは別物です。画像のクッキーは「サードパーティークッキー」と呼ばれるものです。
サードパーティークッキーとは
一言で言えば「訪問したwebサイトとは異なるドメインから設定されたクッキー」のことです。
主な用途としては広告で、複数サイトにまたがったユーザーの行動の追跡を行う際に用いられます。
Webサイト(画像の「Aのブログ」)には「広告配信会社」のスクリプトが埋め込まれており、広告配信会社の「広告表示枠」があります。広告配信会社のWebサーバは広告画像と共にクッキーを発行し、そこにユーザーを識別する情報や、現在のページを訪れたことを示す情報を含めます。これが「サードパーティークッキー」です。
そして別のサイトを訪問し、もし同じ広告配信会社の広告表示枠があるならば先ほどのサードパーティークッキーが送信され、先ほどのページを訪問した人と同一人物であると判断するのです。
(こちらの記事にも詳しく書いてありますので、興味があればぜひ読んでみてください)
サードパーティクッキーの問題点
仕組みを知らないユーザーからすれば自分がさっき調べていたことに関する広告があちこちのサイトで表示されてしまい、監視されていると感じても仕方ないでしょう。(完全に余談ですが、昔私がネットサーフィンをしていたときにあちこちのサイトでキングクリムゾンの「クリムゾン・キングの宮殿」のCDジャケット画像が大量に表示されていたのはこれのせいだったということですね。怖かったです)
Webサイトと広告主のサイトが訪問したことを認識しているのなら理解できますが、広告配信会社というよくわからない第三者が勝手にユーザーの個人情報を収集しているということになります。これはプライバシーの侵害に当たるのでは?という議論がなされています。詳しくは後述しますが、昨今はサードパーティークッキーの使用をやめようという傾向にあります。
なぜサードパーティクッキーを廃止しないのか?
広告をパーソナライズできないため
トラッキングができなくなってしまうため、ユーザーの好みを反映した広告を表示できなくなってしまうでしょう。それに伴って広告をクリックされる頻度が下がり、広告料で運営しているWebサイトにとっては大打撃となると思われます。
一部のシングルサインオン(SSO)に影響が出る可能性があるため
iframeを用いてログインが必要なページを埋め込んでいる場合は影響が出る可能性があります。
例えばWebサイトにFacebookのページが埋め込まれているとしましょう。この場合htmlのiframeの中にFacebookのログイン画面のurlが記述されています。訪問した際にFacebookのサーバーにアクセスし、「facebook.comに保存されているクッキー」も一緒に送信するのです。これがサードパーティークッキーです。これによってログイン状態でFacebookが埋め込まれます。
サードパーティクッキーの現在の対応
国内の法律
法律では規制の方向に進んでいます。(法律については明るくないので、詳しくはこちらの記事や総務省のページをお読みください)
2022年4月に「改正個人情報保護法」が施行され、サードパーティクッキーは規制の対象となりました。
加えて2023年6月に施行された「電気通信事業法の改正法」によりCookieを含む情報を第三者に提供する場合、事前にユーザーの同意を得ることなど3つの条件のうちいずれかに対応することが義務付けられることになりました。これが最初の画像の画面ですね。
ブラウザ
ブラウザごとに対応方針が大きく異なっています。ここではシェアの大きいブラウザのみ紹介します。
Safari
2020年3月から、サードパーティクッキーをデフォルトでは完全にブロックしています。
Appleはプライバシーを非常に重要視しているようです。
Chrome
2025年をめどにサードパーティクッキーを段階的に廃止することを目指すと発表していましたが、2024年7月に廃止を撤回しました。
そして最新の発表(2025年4月22日)でも、「サードパーティクッキーの選択肢を提供する現在のアプローチを維持する」との方針を示しました。
今後の展望
法律、ブラウザ共にサードパーティクッキーは規制の方向に進んでいくのだろうと思われます。
代替技術として、プライバシーの保護と広告効果の両立を目指し、Googleが提唱しているプライバシーサンドボックスというものが業界全体で取り組まれています。現在はまだ開発中のようです。(こちらの記事で解説されています)
まだChromeではサードパーティクッキーは提供されていますが、開発が進めばプライバシー保護と広告効果が両立できるのでしょうし、定期的にウォッチしようかなと思います。
感想
たまに表示されているダイアログが気になっていただけなのに、ずいぶん遠いところまで調べてしまいました。法律やプライバシーサンドボックスなど、普段業務では触れることのない分野について知ることができて良い勉強になりました。
個人的には、広告で自分が調べていたものがあちこちで表示されるのは監視されているように感じてしまうので、規制してほしいという気持ちはあります。しかし、広告がなければ成り立たないサービスは確実にあって、何か良い落とし所はないものか…と思うのでプライバシーサンドボックスには期待しています!
最後までお読みいただきありがとうございました。
参考資料
- 3rd Party Cookie Advent Calendar 2023
- 改訂新版 プロになるためのWeb技術入門
- 6.5.5 セッション管理不備の危険性 コラム「サードパーティクッキーと個人情報保護」
