Webサイト運営者にとって、Cookieはマーケティング活動やユーザー体験の向上に欠かせない存在です。しかし、近年のCookie規制の強化によって、何も対策をとらないとWebサイトによっては以下のような問題に発展する可能性があります。
- プライバシー侵害
Cookieは、ユーザーのWebサイト閲覧情報を収集するためにも使用されることがあるので、プライバシーの侵害につながる可能性があります。
- マーケティング効果
Cookieが規制されることによって、ターゲティング広告やレコメンド機能などマーケティングの機能が制限されてしまう懸念があります。
また、そもそも対策を検討するためには現状を把握する必要がありますが、技術的な知識やスキルだけではなく、かなりの時間を費やすことになります。
ここでは、Cookieとはどういうものなのかについて説明し、前述のような課題に取り組むときに効果的なツールをご紹介します。
Cookieとは?
Cookieとは、Webサイトがあなたのブラウザに提供する永続的な情報のことで、ブラウザはそのCookieを、有効期限が切れるまでお使いのコンピューターに保存します。
後でそのサイトに戻り、ブラウザがWebサイトのページをリクエストすると、ブラウザはユーザーに代わってその情報をWebサイトに送信し、Webサイトが再訪問者を識別することを可能にします。
Cookieの使用例
ログイン – Cookieを使って認証
各種設定 – Cookieを使って、言語などの設定を保持
ショッピングカート – どの商品がカートに入っていたか、どのキャンペーン経由で商品を見たかなど
Cookieとはどんなものか?
Cookieは名前と値のペアで、値は単なるテキストです。値は数字のように短いこともあれば、数字と文字の羅列のように長いこともあります。Cookieは有効期限、セキュリティポリシー、どのWebサイトがCookieへのアクセスを許可されているかなどのメタデータを持っています。
Cookieはハードディスクのどこに保存されるか?
ブラウザによって異なりますが、Chromeの場合は下記のファイルに保存されます。
Windowsの場合:
C:¥Users¥<your_username>¥AppData¥Local¥GoogleChrome¥User Data¥Default¥Cookie
Macの場合:
~/Library/ApplicationSupport/Google/Chrome/Default/Cookie
※ ファイル自体はSQLite形式のファイル
1stパーティCookieと3rdパーティCookieの違い
一般的には、3rdパーティCookieとは現在訪問しているWebサイトとは違うドメインのCookieのことです。
本来Webサイトが注意を払うべきものですが、正しく分類されていなかったり、同意なしに使われたりすると、規制に抵触する可能性があります。
3rdパーティのCookieは、Webサイト全体でユーザーを識別するために使用されることがあり(1つのWebサイトだけで使用されることもありますが、3rdパーティのドメインに置かれます)、これによって、初めて訪問したサイトであっても、サイトがあなたのプロフィールやあなたが訪問したことのある他のサイトについて知ることができます。
これは、インターネット全般に存在するトラッキングと広告ネットワークのためですが、非常に一般的なことで、ある調査によればFortune500のWebサイトの95%は、悪意のある目的ではなく、様々な広告ネットワークに参加しているため、3rdパーティのCookieを使用しています。
ドメイン
Cookieの技術的なメタデータの1つに、「ドメイン」と呼ばれるものがあります。ブラウザはこのドメインを見て、この Cookie が WebsiteA.com のものであることを知ります。そしてブラウザは、あなたがWebsiteA.comにアクセスするときはいつでも、現在コンピュータにあるWebsiteA.comのドメインに関連付けられたCookieを WebsiteA.com へのリクエストとともに送信します。
その他に注意すべきメタデータ
セキュア/非セキュア
Cookie には安全な設定があり、オンかオフのどちらかです。
これは Cookie 自体が安全か安全でないかを意味するものではありません。
ブラウザが安全なCookieを送信するのは、ブラウザがHTTPSを使用している場合、つまりWebサイトとの通信にSSLまたは暗号化されたチャネルを使用している場合に限られるということです。
これは、Cookieに機密データや識別情報が含まれている可能性があるため、その情報が安全なチャネルを介してのみWebサイトに送信されるようにするためのセキュリティ対策です。
数年前、Google は検索エンジンの検索結果のデフォルトプロトコルを HTTPS にしました。
その結果、現在では多くの組織が、自社のデジタル・プロパティ上のすべての Cookie に安全なフラグが付い ていることを確認するベスト・プラクティスを遵守しています。
自分の Web サイトで非セキュアな Cookie を発見した場合は、さらに調査して、その Cookie が自分のビジネスの定義した標準にどのように適合するかを評価する必要があります。
HTTPONLY
これはJavaScriptコードにCookieの内容を見られたくない場合に使用します。これはクロスサイト・スクリプティングと呼ばれるセキュリティの脆弱性から保護するためです。これは、Cookie にネットワークリクエストを通じてのみ情報を送信するよう指示するものです。HTTPOnly は一般的なやり方です。
※ クロスサイト・スクリプティング(XXS): 信頼できるWebサイトに悪意のあるスクリプトを送り込む攻撃。ウェブ・アプリケーションは、ブラウザ・サイドのスクリプトの形で悪意のあるコードを別のエンド・ユーザに送信します。エンドユーザのブラウザは、そのスクリプトが信頼できないものであることを知る由もなく、実行してしまいます。
SAMESITE
これは、クロスサイト・リクエスト・フォージェリと呼ばれるセキュリティ脆弱性のカテゴリーを防ぐために、ここ数年で導入されました。Webサイトでは、このような攻撃を防ぐためにあらゆる手段を講じなければなりませんでしたが、SameSite機能を使えば、このような攻撃を元からブロックすることができるようになりました。
※ クロスサイト・リクエスト・フォージェリ(CSRF): これらの攻撃は、エンドユーザに認証されたウェブアプリケーション上で望ましくないアクションを実行させます。ユーザはだまされて、詐欺的な電子メールやチャットのリンクを経由して、送金やアドレス変更などの状態変更リクエストを実行させられます。
有効期限
すべてのCookieには、特定の時間、日数、年数など、ある程度の有効期限が設定されています。ヨーロッパでは、Cookieの有効期限はCookieの種類によって規制されています。
プライバシー規制に関して、Cookieで何を確認すべきか?
コンプライアンスに関する問題は重要であり、弊社取扱製品であるObservePointは、組織のWebサイトで起きている現実を、望ましい基準と比較するためのツールとともに継続的に監視するプラットフォームを提供します。
Cookieガバナンスはプライバシー・コンプライアンスの大きな部分を占めています。
私たちはObservePointで多くのWebサイトを見ていますが、大半の組織はWebサイトのCookieをプライバシー規制と整合させるという点で改善の余地があります。
米国の一般的な基準は、デフォルトでCookieにオプトインされることです。ヨーロッパでは正反対で、デフォルトでオプトアウトされます。テストする上で重要なことの一つは、Cookieをオプトアウトして、それでもCookieが設定されていないかということです。
ObservePointには、「Clear All Cookies」という強力な設定があります。これにより、デフォルトでオプトインされている環境でも、まず現在のCookieをすべてクリアしてから Auditを実行し、オプトアウトされた状態が実際に新しいCookieの発生を防いでいるかどうかをテストすることができます。
この機能のもう一つの使い道は、A/Bテストを行っていて、テストが実際に期待通りの比率に分割されているかどうかを知りたい場合です。同じテストを1,000回ロードし、各テストの前にすべてのクッキーをクリアすると、バージョンAとバージョンBがどのくらいの割合になっているか確認することができます。
Webサイトにアクセスし、同意バナーの設定を変更してCookieを許可しないようにした場合、すでにPC上にあるCookieは残るか?
Webサイトには、他のWebサイトに属するサードパーティのCookieを削除する仕組みがないため、Cookieは残ります。一度トラッキングされてしまうと、トラッキングを取り消すことはできません。つまり、Consent Management Platformsが提供するのは、今からはトラッキングされないようにすることだけなのです。もし、Cookieベースのトラッキングを確実に削除したいのであれば、ブラウザの設定でCookieを直接削除する必要があります。
サードパーティのCookieだけをクリアする方法はあるか?
残念ながら、ありません。 ブラウザの設定を見ても、ファーストやサードパーティという区別はありません。ブラウザでWebサイトにアクセスしているとき、そのWebサイトに属しているのかどうかで、ファーストかサードパーティかが決まりますが、Cookieを読み書きする側では、その概念は存在しません。また、ブラウザにはもともと誰がCookieをセットしたのかという情報は残っていないで、それがファーストかサードパーティかはわかりません。
Cookieはなくなるのか?
ファーストパーティのCookieがすぐにはなくなることはないでしょう。
サードパーティCookieについては、いくつかのブラウザ(Safari、FireFox)ですでにかなり厳しい状況になっています。
しかし、かなりのシェアを持つChromeの開発元であるGoogleは、サードパーティCookieのサポートを非推奨にすると言い続けてきましたが、その時期が来るたびに延長してきました。
今のところ、2024年の後半までには、サードパーティのCookieを廃止するソリューションが導入される見込みではあります。
以上、Cookieについて説明しました。 この記事は下記ObservePoint社ブログを翻訳・加筆したものです。
Cookie Governance Highlights
ObservePointを実際にお客様のWebサイトでお試しいただくことができます。
下記の内容を observepoint@ex-ture.jp 宛メールにてお知らせください。 折返し弊社よりトライアルについてご連絡させていただきます。
・御社名
・ご担当者名
・ご連絡先メールアドレス
・対象WebサイトURL
※ トライアルはお客様が直接運営管理されているWebサイトのみ可能です
エクスチュアはObservePointの日本におけるテクノロジーパートナーです。
Webサイトのタグ周りでお困り事があれば、お気軽にメールまたはお問い合わせよりご連絡ください。
ObservePoint日本語サイト