やじうまの杜
日本人の約9割が「Cookie」をよく知らない!? ……で、「Cookie」ってなんだっけ?
最近Webブラウザーベンダー各社が対策を試行錯誤している「Cookie」の問題について
2022年6月30日 16:00
“やじうまの杜”では、ニュース・レビューにこだわらない幅広い話題をお伝えします。
『約9割の日本人がインターネット上のCookie (クッキー)についてよく理解していない』。先日発表されたアバスト社の調査でそんな衝撃的な結果が出たそうです。
アバスト調査:約9割の日本人がインターネット上のCookie (クッキー)についてよく理解していないと回答 | アバスト
約9割の内訳をみると、「聞いたことがない・知らない」が4%、「聞いたこと・見たことはあるが、よくわからない」が42%、「大まかなイメージはある」が41%とのこと。残りの13%が「なんであるかよく理解している」と回答したそうですが、「なんであるかよく理解している」かと聞かれたら、窓の杜の記者である私でもちょっと頷くのに躊躇してしまいます。
でも、最近Webブラウザー界隈ではプライバシーの観点からCookieに関する話題が増えています。昔からCookieってあまりよく思われてなかったイメージがありますが、裏方の仕組みで目立たないため、いつの間にかすっかり普及し、問題が表面化しているのが現状です。Cookieってどんなものか、おさらいしてみました。
Cookieってなんだっけ?
Wikipediaでは以下のように説明されています。
HTTP cookie (エイチティーティーピークッキー、単に クッキー ( cookie )とも表記される)は、マジッククッキーの一種であり、RFC 6265などで定義されたHTTPにおけるウェブサーバとウェブブラウザ間で状態を管理する通信プロトコル、またそこで用いられるウェブブラウザに保存された情報のことを指す。ユーザ識別やセッション管理を実現する目的などに利用される。
つまり、アクセスしたWebサイトの状態を記録したファイルをWebブラウザーで保存しておき、次回同じWebサイトにアクセスした際に送信して再現できるようにする仕組みですね。最近ログインしたWebサイトは、次の日に改めてWebブラウザーを起動してアクセスしても再度ログイン操作をしなくても使える、といったことを実現しています(逆に最近ログインしていないWebサイトにアクセスすると、再度ログイン操作が要求されるのはcookieの有効期限か切れて削除されたせいです)。Webアプリの設定を保持するためなどにも使われます。
ログインが必要なサイトが増え、Webアプリもどんどん進化する今では、なくてはならない便利な技術ですが、何が問題なのでしょう?
Cookieが問題となっている理由
問題は、保存される情報の内容と情報を共有するWebサイトの数にあります。Cookieには大きく分けて2つの種類、「ファーストパーティ」と「サードパーティ」があります。「ファーストパーティ」のCookieは、アクセスしたユーザーとWebサイトの間だけ、1対1で共有され、機微な情報を保存しない仕組みになっているため、大きな問題にはなりません。
問題は「サードパーティ」のCookieです。Webサイトにはユーザーがアクセスしたサイトとは別のサイトのコンテンツが埋め込まれていることがよくあります。広告やSNSの共有用ボタンなんかがそうです。この埋め込まれたコンテンツによって保存されるのが「サードパーティ」のCookie。
こういった「サードパーティ」のCookieは同じサイトのコンテンツがたくさんのWebサイトに埋め込まれているため、ユーザーがアクセスした複数のWebサイトで情報を保存できます。1つ1つは問題ない情報でも、たくさん集まるとその組み合わせは個人を識別できる情報になります。単純に自分がどんなサイトにアクセスしたかの情報だけでも知られたら、気持ちが悪い人もいるでしょう。
でも、実際に「サードパーティ」のCookieは保存されており、個人を識別した広告配信などに利用されているのです。
冒頭で触れたアバスト社の調査では、普段Cookieを許可している人のうち、WebサイトがCookieの許可を求めたときに「ブラウジング体験向上のため」「自分の志向に関係のある広告を表示するため」といった能動的な理由で許可している人は36%。一方、25%の人が「あまり深く考えず許可している」そうです。
各種Webブラウザーは対応し始めている
そんな現状を何とかするため、Webブラウザー界隈では「サードパーティ」のCookieを何とかしようと試行錯誤が重ねられています。窓の杜でも取り上げているので是非ご覧になり、Webブラウザーを選ぶ基準としていただければ幸いです。
- 闇雲なCookieのブロックはプライバシー保護に逆効果? Googleが“Privacy Sandbox”を提案
オンライン広告とプライバシー保護を両立した新しいオープン標準規格を開発へ(2019年8月28日) - 「Firefox」がサードパーティー製Cookieをデフォルトブロックへ ~v67.0.1をリリース
まずは新規ユーザーから(2019年6月5日) - Google、「Chrome」のサードパーティーCookie対応を段階的に廃止 ~2年以内の実施を目指す
「Google Chrome 80」から実施されるクロスサイトCookieの扱い見直しにも注意(2020年1月15日) - 「Microsoft Edge 88」でプライバシー&セキュリティ関連の機能が大幅強化 ~パスワード生成に漏洩チェック
CookieやWebサイトの権限管理も手軽に(2021年1月22日) - プライバシー保護と広告を両立 ~「Google Chrome 90」ではPrivacy Sandboxの管理UIが導入へ
サードパーティーCookieは廃止へ。プライバシー情報はAPI経由で適切に管理(2021年1月26日) - 「Firefox 86」が正式公開 ~ピクチャーインピクチャーで複数動画の同時再生が可能
強化型トラッキング防止機能の“厳格”モードに新しいCookieブロック機能。印刷ダイアログも新しく(2021年2月24日) - 「Google Chrome」でFLoCの試験運用が開始 ~個人情報保護型の広告ソリューション
初期テストは日本を含む地域のごく一部のユーザーが対象。4月には管理UIを追加へ(2021年3月31日) - 「Vivaldi 3.8」が公開、GoogleのFLoC拒否&煩わしいCookie確認バナーブロックなどを改善
サイドパネルやタブバーの透明化も可能に(2021年5月7日) - 「Firefox 89」が安定版に ~新デザイン「Proton」を採用
トラッキング保護「Total Cookie Protection」はプライベートウィンドウまでカバー(2021年6月2日) - 強化版Cookieクリーナーを導入した「Firefox 91」が安定版に
プライベートブラウジングで「HTTPS by Default」を有効化。11件の脆弱性に対処(2021年8月11日) - 「Google Chrome」におけるサードパーティ製Cookieの廃止は2023年後半
2022年後半までに「Privacy Sandbox」関連のAPIを開発者コミュニティへ提供(2021年6月28日) - Google、「FLoC」を諦め「Topics」を提案 ~Cookie追跡に代わるよりよいWeb広告の仕組み
近日中に開発者向けのトライアルを開始へ(2022年1月26日) - Mozilla、アンチトラッキング技術の集大成「包括的 Cookie 保護」をデスクトップ版「Firefox」で全面有効化
(2022年6月15日)