Cookieとは
Cookie(クッキー)とは、Webサーバーがクライアントに保存する前に使用していたデータのことをいいます。テキストデータで保存されるため容量は小さいデータです。
クライアントがWebサーバーに接続した際に、CookieがあればWebブラウザがCookieをWebサーバーに送信します。Cookieには自由に情報が格納できるので、一般的には、ユーザー名、買い物かごのデータ、電話番号、パスワードなどが格納されます。
Cookieはこのように、個人情報などの機密性の高いデータが格納されることもあるため、過去には別のWebサーバー用のCookieが読み取られてしまう脆弱性が問題になったこともありました。
現在では信頼できるWebサイトのみCookieを使用するのが一般的であり、WebブラウザでCookieの設定項目を操作し、Cookieの扱いをコントロールすることが可能です。管理の方法には、Cookieの削除や、サードパーティCookie制限などがあり、管理方法はブラウザによって違っています。
令和2年の個人情報保護法改正における改正点や、そもそも昨今の個人情報保護をとりまく情勢は?といったところを一つの資料にまとめました。
個人情報保護管理を担当している方必見です。
Cookieの種類
Cookieにはユーザーがアクセスするドメインの違いにより分類され、具体的には以下の2種類のものがあります。
ファーストパーティCookie
ユーザがアクセスしているWebサイトのドメインから発行されるCookieのことをファーストパーティクッキーといいます。そのWebサイト内に限定した利用に留められるので、他のサイトからアクセスして利用することはできません。
そのため、サードパーティCookieと比べて利便性の点では落ちると考えられますが、プライバシー・個人情報の保護の観点からは、第三者への拡散が限定されている点でユーザーの保護がしやすい面があります。
サードパーティCookie
サードパーティクッキーは、ユーザーがアクセスしているWebサイトのドメイン以外から発行されます。Webサイト上に表示される広告の内容を広告会社のサーバーが決めるためなどに使うものです。
サジェスト機能などを使い、サイトを横断してユーザーの好みにあわせた広告表示が可能になります。その反面、GDPR(EU一般データ保護規則)が適用されるヨーロッパ居住者ユーザーに対する関係では、規制がかかるため意図した利用がしにくい面があります。
Cookieとキャッシュの違い
キャッシュとは、一度読み込んだWebページのデータを一時的に保存したものであり、ページを毎回読み込まなくても済む仕組みのことです。Webサイトから通信により利用するCookieとキャッシュは全く別の仕組みによるものです。
Cookieを使うメリット
Cookieを使うことにはユーザーの利便性を上げるメリットがあり、Cookieを使えばWebサイトをスムーズに閲覧できます。例えばIDやパスワードをCookieに保存すると、次回のログイン画面にアクセスした際に自動的なログインが可能になり、ショッピングサイトでは、買い物かごの中に入れた商品が消えずに残っています。
その他、インターネットバンキングなどのサービス・Webサイトでは、ユーザーのCookieの使用が前提となっています。サービス提供者である企業にとっても重要な意味があり、Cookieから買い物の履歴などを知ることで、企業側もマーケティングに役立てられるのです。
特に、ユーザーが気軽にそして素早くスマホからショッピング・モバイルバンキングを行うことが普通である現在、Cookieの利便性は欠かせないといえるでしょう。
Cookieのデメリット
しかし、Cookieの使い方によっては、ユーザーの意図しない第三者による利用、ユーザの不利益、プライバシーの侵害などもあり得ます。
サードパーティーCookieにおいては、サイトを横断してCookieを発行できるので、個人を特定して追跡することが可能です。追跡が可能なことから、プライバシー保護の観点からCookieを問題視する声も上がっています。
例えば2019年には、Cookieデータをもとにして、学生の内定辞退率を就職情報サイトの事業者が独自分析して企業に販売していた例などがあり、Cookieデータをどこまで利用できるかについて議論となりました。利用目的に照らして違法と言えるかどうかは議論が分かれるところでしたが、倫理的な問題を含んでいました。
反面、企業にとっては、ユーザーの保護のための規制がかかることが意図するマーケティング活動などの妨げになることがあります。
ユーザーのプライバシー保護と、企業の活動およびそれとほぼ表裏一体にあるユーザの利便性とのバランスをとることが必要といえるでしょう。
現在、Cookieデータを利用するには、第三者への個人情報提供の際、同意を必要とする改正個人情報保護法の下、日本でもユーザーの同意が原則として必要です。
サードパーティCookieの利用について、ユーザーがどこまで自身の個人情報やプライバシーをコントロールできるかは、国・地域、およびサービスプロバイダによって違いがあります。
例えばGDPRの適用のある情報の主体であるユーザーについては、国境を越えたCookieデータの利用は原則として禁止されています。
これを踏まえて、サービスプロバイダも、不要なCookieのデータはできる限り削除して、域外移転を防ぐこと・Cookie利用の同意をとる他、プライバシーポリシーへの同意を求めるなど、対策を行っています。
EU圏内に支社がある・EU居住者のアクセスはない、という場合、GDPRの対象として保護対策を行う必要はありませんが、Cookieを利用する上ではプライバシー保護の重要性もあり、改正個人情報保護法のもと、同意が必要とされていることを認識しておきましょう。
Cookieを適切に操作することでプライバシーを守る
ユーザーもCookieの操作により、個人情報を適切にコントロールしておくことが必要です。
スマホでも、PCでもブラウザからCookieを操作しておくと、ユーザー側から不必要な情報を他人に利用されることを防ぐことができ、また、企業側でも不必要な情報を取得しないで済みます。
ブラウザの基本的な機能には、Cookieの削除や、サードパーティCookie制限などがあります。
これらは、ブラウザの「設定」から、簡単な操作からできることなので、対応しておきましょう。
またサイトからCookieの利用を求められた場合は、信頼できるサイトか見極めてからCookieを利用すること、不要なCookieの利用には安易に同意しないことなどの対応が求められます。プライバシー保護の観点からも、また、情報セキュリティの観点から、安全にサイトを利用する観点からも必要と考えられる対応です。
まとめ
以上の通り、Cookieにはユーザーの利便性を高められるメリットがある一方、プライバシー保護・個人情報保護の観点から規制が強まる傾向にあります。
利便性とプライバシー保護のバランスをとるために、ユーザー1人1人がCookieの利用を適切にコントロールすること、また企業も不要なCookie情報をとらないようにすることなどの工夫が必要と考えられます。
また、企業が個人情報を取り扱う際、避けては通れない「個人情報保護法」について、令和2年の改正以降どう対応すべきかのポイントをまとめた資料を作成しておりますので、ぜひ無料でダウンロードして参考にしてくだされば幸いです。
