TaNA LABO
ビジネス

March 24, 2020

BtoBマーケティング
個人情報
Cookie

個人情報保護法改正で見直されるCookie規制とWebトラッキングの在り方

post 28

以前にリクルートキャリア提供のサービスで、個人を特定出来る情報を収集していたことが問題になっていた。それもプライバシーポリシーが不備な状態で、利用者から同意を得ることなく。

「正直関係ないかな」と考えていたが、Web開発の現場では、Cookieを利用したセッション管理を行うケースも多く、知らんぷりを決め込む事が難しくなってきた!? と思っていた矢先、ChromeでのサードパーティCookie廃止が決まり、携わっていたシステムにも影響が出てしまった。

本内容について、Google Developerでも紹介されている。

Google Chromium blog(英語)

Privacy Sandboxの取り組みでは、サードパーティCookie抜きで個人情報保護を前提に、広告に支えられた無料のインターネットが維持出来るとし、今後2年をかけてサードパーティCookieのサポート廃止を目指し、また透明性、選択肢、コントロールを実現出来るトラッキング手段を考えるとしている。

日本でも個人情報保護法が制定されているが、厳格なルールを定めているGDPRに比べれば、不明確な部分やグレーゾーンも多い。そのため個人情報を扱う企業の中には、世界レベル(GDPR)に合わせようとする動きがチラホラ見られる。

個人情報保護法改正で示されたCookie規制

まず個人情報保護法では「個人データ」を以下のように定義されている。

個人情報とは、生存する個人に関する情報であって、氏名や生年月日等により特定の個人を識別することができるものをいいます。

個人情報には、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものも含みます。

また「生年月日と氏名の組合せ」「顔写真」なども個人情報です。

Cookie自体は個人情報に当たらないが、SNS上にはユーザーアカウントが存在しているので、閲覧履歴がサードパーティCookieでSNS経由されると、得られた閲覧情報から個人に紐付け出来る事がある。

「個人情報保護法 いわゆる3年ごとの見直し 制度改正大綱(骨子)」では、今後このような情報の第三者提供を制限することが述べられており、利用者に対して、利用目的などを情報提供すること、SNS等への情報提供を拒否する権利の保証、個人情報保護委員会に届け出等が義務付けられるそうだ。

個人情報保護法の改正で示されたCookie規制の方向性とは? IIJが解説

冒頭でも示したように、Google ChromeもサードパーティCookieが廃止予定で、サードパーティCookieを活用したシステム(アドテク / トラッキング)は大きな影響を受けることになる模様。

サードパーティCookie廃止の背景

こちらの記事 では、現状におけるCookieのユースケースや、サードパーティCookieが制限される背景、Privacy Sandboxの概念などが説明されている。

本記事によれば、現状のCookieには様々なユースケース(セッション維持 / Credential / SSO / 広告 / Analytics)があり、問題の本質はCookieの仕様ではなく、ユースケース側にあることに言及。

サービス提供側はDNT等を利用し、ユーザーからトラッキング拒否のヘッダを受け取った場合、トラッキングを外せば解決するが、仕様すらほぼ知られておらず、全く遵守もされなければ、普及もしない。これだけ広がったCookieという挙動は維持したいので、ユースケース側の問題を解決する手段として、使い方の如何に限らず、サードパーティCookieの全てをブロックする流れになってしまった。

あらゆるユースケースを担っていたCookieも、今後はファーストパーティCookieの役割に限定され、第一に考えられるのは、企業がユーザーデータにアクセスする際に、ユーザーの同意を得るための施策が標準化されること、もう一つには Privacy Sandbox のアイディアを推奨。

どんな仕様になるのか不明だけど、APIはプライバシーに配慮し、利用者の許諾を取るような権限モデル、利用者がOpt-In/Outを選択出来るなど、新たなエコシステムを考える必要あり。

Cookie用途別の影響度

ちなみに こちらの記事 ではCookieの用途別に影響度を説明されている。

トラッキングへの影響度は限定的と述べられているが、携わっているシステムでサードパーティCookieを活用したトラッキング処理が行われており、Chrome80対応ではもろに影響を受けてしまった(涙)

内容は発行されたトラッキングコードで、複数サイトを管理するケースがあり、今までは同一ユーザーとしてCookie情報が維持されていたが、Chrome80対応でSameSite=NoneとSecure属性を指定し、Cookieをクロスサイトアクセスの対象であることを明示する必要に迫られた。

新しいCookie設定 SameSite=None; Secure の準備を始めましょう

Chrome80以降では、SameSite=None; Secureの設定があるCookieのみが、外部アクセス可能。

_gac Cookieの仕組み

そもそもサードパーティCookieって、どう対処すれば良いのか?

SafariへのITP導入など、サードパーティCookieの問題は以前から話題となっているが、一例としてGoogleは独自に_gac Cookieを使うことで一早く対処していたことを知った。


AdWordsとGoogleアナリティクスをリンクさせ、自動タグ設定を有効にしておけば、広告のURLにURLにGLINKが付与される。このGLINKを含む値情報を_gac Cookieに書き込むことで、広告のクリックをファーストパーティCookieとして保存しITPを回避。

将来どうなるか分からないけど、一技術者も個人情報取扱には一層注意が求められるかも。

参考文献

個人情報保護委員会
個人情報保護法ハンドブック
個人情報保護委、“リクナビの内定辞退率”利用企業に行政指導 トヨタ、京セラなど35社
サードパーティクッキーって何だっけ? 今さら聞けないHTTP Cookieのキホン
Googleの「 プライバシーサンドボックス 」とは?:Cookieの代わりとされる5つのAPI
3rd-party cookieのない2年後のアドテックに向けた動きまとめ 各陣営紹介編


©Copyright2020 TaNA LABO. All Rights Reserved.