サードパーティークッキー廃止が企業に与える影響とは。現状とweb広告大手の対応とは。
「脱Cookie」に向けた動きが世界で加速しています。日本も例外ではありません。特に「サードパーティークッキー」の廃止により、web広告の根底が変化し、あらゆる業界が大きな変化を強いられています。
しかし、そもそもCookieとはどのような技術で、どうして廃止されることになったのでしょうか。
Facebook、プライバシー訴訟で和解金9000万ドル
2022年2月に、米カリフォルニア州の地方裁判所でFacebookの個人情報取り扱いについてひとつの和解が成立しました*1。
FacebookのユーザーがFacebookを訴えたもので、ログアウトした後にもFacebookが自分のインターネット上の活動を追跡していたことが連邦および州のプライバシー・盗聴法違反にあたると主張していたものです。
裁判は2012年から始まり2017年に一度退けられましたが2020年4月になって連邦高裁によって復活し、Facebookが訴訟取り下げを求めて動いたものの実現せず、和解を受け入れたという経緯です。訴えを起こしたこのユーザーに対しFacebook側が9000万ドルを支払うという和解内容です。
さて、裁判で注目されたのは、Facebook上で多くの人が利用している「あるツール」です。
「いいね!」ボタンは、設置だけで個人データを収集している
「いいね!」ボタンはFacebookユーザーには馴染みの深いものでしょう。
この「いいね!」ボタンは、Facebookのアプリ内だけでなく、Metaが提供しているプラグインを使用すれば誰でも自分の運営するサイトに埋め込むことができます(図1)。
しかし、実はこの「いいね!」ボタンが、プライバシーを侵害するものであると日本や欧州でも判断されているのです。
日本の個人情報保護委員会の見解
まず日本では2018年に、個人情報保護委員会が、「いいね!」ボタンの機能に関して、Facebookに対して行政指導を行っています*2。
・Facebookユーザーが「いいね」ボタンが設置されている外部サイトを閲覧すると、当該ボタンをクリックしなくても自動的にユーザーID、アクセスしているサイトの情報がFacebookに送られ、Facebookの保有する利用者登録情報と紐づけられる。
・情報の送信は、ユーザーがFacebookアカウントを有しているかどうか、Facebookにログインしているかどうかにかかわらず行われる。
ユーザーはどのサイトに「いいね!」ボタンが設置されているのか、そのサイトを訪れてみなければわかりません。しかしボタンのあるサイトを訪れれば、同意する・しないに関わらず、FacebookのIDなどの個人情報がサイトやFacebookに送られます。
冒頭のカリフォルニア州での裁判も、この「いいね!」ボタンの機能についての訴えです。
Facebookからログアウトした状態でも、「いいね!」ボタンが設置されたサイトを通じ、ユーザーがネット上でどのようなサイトを訪れているかなどを追跡できてしまうのです。
なお、Meta社は自身のサイトに掲載しているプライバシーポリシーの中で、「いいね!」ボタンなどのソーシャルプラグインを通じて、ユーザーがアクセスしているウェブサイトに関する情報を収集することを明示しています(図2)。
欧州司法裁判所での判断
さらに「いいね!」ボタンによる個人情報収集の責任は、プラグインを提供しているMeta社だけにあるものではない、とする国も出ています。
欧州司法裁判所は2019年に、ドイツのあるECサイト運営企業が「いいね!」ボタンを通じて取得したユーザーデータを、ユーザーに通知することなくFacebookに送信していた問題についてひとつの判断を下しました*3。
このECサイト運営者は、「いいね!」ボタンを押していないユーザーやFacebookに登録していないユーザーのデータまでもFacebookに送信していたと裁判所は述べています。
しかし、ボタンが押されようと押されまいと、ユーザーの個人データを収集してFacebookに送信している点で、Facebookのデータの共同管理者になり得るという見解を欧州司法裁判所は示したのです。
「いいね!」ボタンと「Cookie(クッキー)」
「いいね!」ボタンをここまで大きな情報収集ツールにしているのが、「Cookie(クッキー)」の技術です。
クッキーの機能
サイトのサーバーは、サイトを訪れたネットユーザーのブラウザに短いテキストファイルを送信し、ブラウザにこのファイルを保存させ、識別情報を書き込みます。これが、Cookie(クッキー)です。
クッキーによって、同じユーザーが再びそのサイトを訪れた時、ブラウザの情報をサイトのサーバーに送るようにすることができ、サイトのサーバーは「同じ人物がまた来た」と認識することができます(図3)。
訪れたサイトから直接発行されるファーストパーティークッキーは、例えば会員サイトを見ていたブラウザを閉じ、そのあともう一度開いてもログイン情報が残っていたり、ECサイトでの買い物途中でブラウザを閉じても、再びそのサイトに行けばカートに商品が残っていたりするなど、ユーザーの利便性向上につながっています。
リクナビ問題とCookie
2019年に、就職情報サイト「リクナビ」を運営するリクルートキャリアが、就活学生の「内定辞退率」を本人のじゅうぶんな同意なしに予測し38社に無償提供していたことがわかり、個人情報保護委員会が行政指導を出しました。
クッキーを利用すれば、ブラウザを特定してその動向を追跡でき、下のような情報収集が可能になります(図4)。下の図はリクルートから「リクルート123」というクッキーを発行されたユーザーを例に取っています。
リクルートはクッキーの発行によって、ユーザー「リクルート123」のその動向を追跡することが可能です。もちろん、ブラウザ情報だけで個人の氏名や住所を特定できるわけではありません。しかし、求人企業が就活生から集めたデータと照らし合わせれば、個人を特定できてしまう可能性が高まります。その可能性について、リクナビから就活生にはじゅうぶんな説明がなかった、これが大問題であるというのが個人情報保護委員会の判断です。
「サードパーティークッキー」をめぐる議論
中でも、現在議論の対象であり廃止に向かっているのが「サードパーティークッキー」です。
A社がC社に広告を依頼したとしましょう。しかし、そのC社がさらに他の広告事業者などにクッキー情報を送信・共有するとそれは「セカンド」ではなく、全くの第三者にとってのクッキー情報となります。
この「サードパーティークッキー」がユーザーやクッキー発行者の見知らぬところで流通し利用されていることが問題になっているのです。
サードパーティークッキーの情報を広告事業者などが横断的に共有すると、このようなことが可能になってしまいます。「DMP123」というクッキーを割り振られたネットユーザーの行動が、ここまで明らかになってしまうのです(図5)。
広告事業者としてはこれで、ある程度DMP123さんの好みや関心ごとを把握でき、DMP123さんのブラウザに関係性のありそうな広告を集中的に表示させることができます。
実際、広告は対象の氏名や住所を知らなくても発信でき、データから一定の人格が浮かび上がれば、追いかけることができてしまうのです。
ここまでくると、サードパーティークッキーによって得られる情報は個人の氏名や住所を含まなくても、じゅうぶんな個人情報になり得ると考えられます。
JavaScriptによる「タグのピギーバック」
また、問題はさらに複雑になっています。Cookieに限らず、サイトにJavaScriptが使われていた場合です。
JavaScriptはブラウザに対して指示をすることができる特性を持っています。サイトを訪問すると「JavaScriptをオンにしてください」というポップアップが出ることが時々あります。
もちろんJavaScriptもユーザーの利便性を向上させるために使われ始めたものですが、広告事業者などへのアクセスを指示するJavaScriptが使われていた場合、下のような無限とも言える現象が起きてしまいます(図6)。タグの「ピギーバック」などと呼ばれ、広告業界では広く使われています。
サイトAからB、BからCヘの誘導、CからDへの誘導…という形で、もとのサイトAの運営者すら把握できないリクエストがどんどん生まれていきます。このような手法も、プライバシーを侵害するものとして問題視されつつあります。
Cookieをはじめ、他者がユーザーのブラウザに指示を出したり操作したりできる手法はプライバシー侵害に当たるのではないか、という法的議論が進んでいるのです。
欧米のCookieに関する規制
企業がCookieを介して得られる情報について、法律で規制対象とする個人情報に含めるのか含めないのかは現在、国によって分かれています。
欧州一般データ保護規制(GDPR)
EU域内(及びEEAの一部であるアイスランド、ノルウェー、リヒテンシュタイン)の個人データ保護を規定する法律として2018年5月25日から施行されているのがGDPR(=General Data Protection Regulation、一般データ保護規則です(図7)。
その中では、上図が示す次のような個人データが対象になっています。
・氏名
・住所
・所在地
・オンライン識別子
・健康に関する情報
・収入
・文化的属性 など
この中で、「オンライン識別子」にはIPアドレスやCookieが含まれています。Cookieはネットユーザーのブラウザを識別するものですが、ユーザーの閲覧履歴が蓄積されると、一定の趣味や関心ごとを持ったひとつの人格が浮かび上がります。そしてこの人格をターゲットにした広告提供は、個人を狙ったものとみることもできます。
場合によっては、人に知られたくない嗜好までを反映した広告が画面に表示されてしまうこともあります。よってCookieも個人情報として扱うべきというのがEUの見解です。
これら個人情報の取得や利用、第三者への提供についてGDPRでは、必ず情報の持ち主であるユーザーの同意を得なければならないとしています。
GDPRを受けて、欧州各国のデータ保護機関はCookieの取得・利用方法についてガイドラインで規定しています。
例えばイギリスの「Guidance on the use of cookies and similar technologies(Cookie等類似の技術に対する規制)」では、サイト運営者はCookieを送付することへの同意について、例えば以下のように規定されています。
・ 当局(ICO)は、クッキーウォールの使用が、サービスへのアクセスの条件として企業や第三者が個人データを使用することに同意することをユーザーに要求したり、影響を与えたりすることを意図している場合、ユーザーにはクッキーを受け入れる以外に真の選択肢がないため、このアプローチは不適切であると考える。
・黙示の同意も認められない。 「このウェブサイトの使用を継続することで、クッキーに同意していることになります」というような文言は、GDPRが求める有効な同意の要件を満たしていないため、使用すべきではない。
・事前にチェックを入れたボックスや、スライダーのデフォルトが「オン」になっているようなものは、ターゲティング広告用などウェブサイト等の利用に必要不可欠ではないクッキーの利用には使用できない。
ユーザーは、ウェブサイト等の利用に必要不可欠ではないクッキーを制御する必要があり、同意を得る前にランディングページに設定してはならない。*4
また、フランスの「RECOMMENDATION "COOKIES AND OTHER TRACKERS”」では、Cookieの同意を求める場合、ポップアップなどに示されるボタンは「同意」「拒否」ともに同じサイズ、同じハイライトのものにすることが推奨されています(図8)。
どちらかだけを強調するのではなく同等のボタンを並べることで、ユーザーが自分の意思でCookieの受け入れを拒否しやすいようなサイト設計を強く求めているのです。
なお、フランスの個人情報機関であるCNILは2022年1月、Cookieの取り扱いをめぐってGoogleに対し1億5000万ユーロ、Facebookに対し6000万ユーロという巨額の制裁金を科しました*5。
CNILは、ウェブサイトfacebook.com、google.fr、youtube.comにおいて、ユーザーがすぐにCookieを受け入れることができるボタンが用意されている一方で、Cookie受け入れを拒否するには同等の方法がなく、すべてのCookieを拒否するには何度もクリックする必要があることを問題視しています。
この設計がユーザーの意思決定に影響を与え、フランスのデータ保護法違反にあたると判断したのです。
アメリカの動向
アメリカでも、サードパーティークッキーをはじめとした個人情報の保護については様々な規定が設けられています。
まず、カリフォルニア消費者州プライバシー法(CCPA)が2020年1月に施行されています。個人情報の収集などについて、サイト上でプライバシーポリシーに記載するだけでなく、これとは別に消費者への通知が必要とされるというものです。
そして2020年11月には、CCPAを改訂するカリフォルニア州プライバシー権法(CPRA)が成立しています。サードパーティークッキーを含むトラッキングに対応した「Do not sell my personal Information」ボタン設置の義務化が求められるようになりました*6。
なお、アメリカではクッキーなどを利用したターゲティング広告については自主規制の枠組みがあります。
日本の個人情報保護法改正とCookie
ここから先は
生成AI時代の「ライターとマーケティング」の、実践的教科書
ビジネスマガジン「Books&Apps」の創設者兼ライターの安達裕哉が、生成AIの利用、webメディア運営、マーケティング、SNS利活用の…
この記事が気に入ったらサポートをしてみませんか?