サードパーティクッキーが消えた後:サードパーティクッキーの基礎知識6

サードパーティクッキーの基礎知識

更新日:2022年11月2日(初回投稿)
著者:ひぐぺん工房 松浦 健一郎、司 ゆき

前回は、サードパーティクッキーを使うと何ができるのかを紹介しました。今回は最終回です。サードパーティクッキーの廃止について取り上げます。サードパーティクッキーが規制された背景、Webブラウザごとの規制状況、サードパーティクッキーの代替策などを解説します。

1. サードパーティクッキーが規制された背景

近年、Webブラウザによるサードパーティクッキーの規制が強まり、サードパーティクッキーは廃止に向かっています。その背景には、ユーザーの個人データ(個人に関する情報)を保護することを目的に、GDPRやCCPAといった法規制が生まれた影響があります。

・GDPR

GDPR(General Data Protection Regulation:EU一般データ保護規則)は、EUにおける個人データの保護を目的とする規則で、2018年5月から適用されています。ウェブサイト提供者の拠点がEU域外にある場合でも、EU域内の個人データを扱う場合には、GDPRが適用されます。例えば、個人データの収集や処理を伴うウェブサイトを日本で公開し、そのウェブサイトをEU域内の個人が利用する場合にも、GDPRへの対応が必要です。ウェブサイトの提供者については、個人や企業といった種別、中小企業や大企業といった規模を問わず、GDPRの対象になります。

・CCPA

CCPA(California Consumer Privacy Act:カリフォルニア州消費者プライバシー法)は、カリフォルニア州における個人データの保護を目的とする法令で、2020年1月から適用されています。GDPRと同様に、カリフォルニア州外に拠点がある場合でも、カリフォルニア州内の個人データを扱う場合には、CCPAが適用されます。ただし、GDPRとは異なり、個人データを扱っていても、収入が多額でない場合や扱う個人データが多数でない場合には適用されない、という特徴があります。

GDPRやCCPAは、クッキーも個人を識別するための重要なデータと見なします。ウェブサイトがクッキーを使用する場合、ファーストパーティクッキーかサードパーティクッキーかに関係なく、ユーザーの許可を得る必要があります。ユーザーがクッキーを許可しない場合、クッキーは使用できません。

海外のウェブサイトを利用する皆さんは、クッキーの使用について許可を求められたり、ウェブサイトが使用するクッキーの一覧表を見かけたり、といったことが最近増えてきたと感じているかもしれません。これらは、GDPRやCCPAの影響と考えられます。

日本でも、2022年4月から改正個人情報保護法が施行されました。この法律では、特定の個人を識別できる「個人情報」と、識別できない「個人関連情報」を定義しており、クッキーは後者の個人関連情報に相当します。クッキーを使用する際にユーザーの許可を得る必要はないものの、クッキーと他の情報を合わせることで個人の識別が可能になる第三者にクッキーを提供する場合には、ユーザーの許可が必要になります。

2. サードパーティクッキーの規制状況

こういった法規制に呼応して、Webブラウザ自体も、個人データの保護を目的にサードパーティクッキーの規制を強めています。ここでは、代表的なWebブラウザであるSafariとChromeについて、クッキーに対する規制の状況を紹介します。

・Safari

AppleのSafariには、トラッキング(ユーザー行動の追跡)を防止するITP(Intelligent Tracking Prevention)という機能があります。ITPは、何度かのアップデートを経て、クッキーに対する規制を強めてきました。そして、2020年3月に提供されたITP 2.3以降、サードパーティクッキーは無効化されています。また2020年9月のiOS 14では、ウェブサイトを一時的に移動することによりサードパーティクッキーをファーストパーティクッキーとして渡す、バウンストラッキングという手法も制限されました(図1)。

図1:バウンストラッキング
図1:バウンストラッキング

バウンストラッキングでは、ユーザーはあるウェブサイト内でページを移動する際に、いったんトラッキング用のウェブサイトに移動します。そして、トラッキング用のクッキーを送受信した後に、リダイレクトという機能を使って、元のウェブサイトに戻ります。トラッキング用のクッキーは、実質はサードパーティクッキーです。しかし、一時的にトラッキング用ウェブサイトに移動した際に送受信するため、ファーストパーティクッキーの扱いになります。例えば、ある店舗にいる顧客を一時的にトラッキング用の店舗に連れ出して、トラッキング用のポイントカードを渡し(あるいは提示させ)、顧客が気付かないうちに元の店舗に送り返すような方法です。これは、サードパーティクッキーの規制を回避する手法だったものの、iOS 14において制限されました。

Safariにおけるクッキーの扱い方は、ユーザーが設定で変更できます。macOSでSafariを使用している場合、メニューの「Safari」→「環境設定」で設定を開き、「プライバシー」をクリックします(図2)。「ウェブサイト越えトラッキングを防ぐ」をチェックするとサードパーティクッキーが無効になり、チェックを外すと有効になります。ファーストパーティクッキーも無効にするには、「すべてのCookieをブロック」をチェックします。

図2:Safariにおけるクッキーの設定
図2:Safariにおけるクッキーの設定

・Chrome

GoogleのChromeでは、2022年までにサードパーティクッキーを段階的に廃止する予定が、2023年後半まで延期になりました。現状ではサードパーティクッキーが有効ですが、設定によって無効にもできます。アドレスバーに「chrome://settings/cookies」と入力すると、クッキーの設定が開きます(図3)。選択肢は次のとおりです。

  1. 1:Cookieをすべて受け入れる
  2. 2:シークレットモードでサードパーティのCookieをブロックする
  3. 3:サードパーティのCookieをブロックする
  4. 4:すべてのCookieをブロックする

本稿執筆時では2が標準になっています。この設定を3に変更すれば、サードパーティクッキーを無効にできます。また、設定が2の状態でも、シークレットモード(WindowsはCtrl+Shift+Nキー、macOSはCommand+Shift+Nキー)の使用中は、サードパーティクッキーが無効になります。

図3:Chromeにおけるクッキーの設定
図3:Chromeにおけるクッキーの設定

このように、サードパーティクッキーに対する標準設定は、Safariでは既に無効になっており、Chromeでもいずれ無効になる見込みです。おそらく、多くのユーザーがWebブラウザを標準設定のまま使うことを考えると、サードパーティクッキーを受け入れるユーザーは少数化し、サードパーティクッキーを利用するサービスもまた減少しそうです。

3. サードパーティクッキーの代替策

続きは、保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。