欧州「クッキー法」、対応が必要なクッキータイプ:あなたのサイトは大丈夫?

オーディエンスのデータを使う追跡型広告に対する規制が、まもなく強化されそうだ。つまり、長いあいだ追跡型広告の中核を成してきたクッキー(Cookie)の利用が、これまで以上に厳しい目でチェックされるようになる。

クッキーはいま、デジタル広告業界全体でかつてよりも重要性を失い、IDを用いたピープルベースのオーディエンスプランニングにその座を明け渡しているが、それでもまだトラッキングには非常によく使われている。そんなクッキーの規制を強化する「eプライバシー規則(ePrivacy regulation)」法案が現在、欧州連合(EU)で立法手続きを進められており、成立が近づいてきた。

影響はどれほどのものになるだろうか。我々はイギリスのパブリッシャー最大手数社のサイトを対象として、eプライバシー規則の修正法案が可決した場合、使用前に明示的同意を得る必要が生じるサードパーティークッキーがいくつ使われているかを調べた。

デイリー・メール(Daily Mail)の場合、1万9136個。テレグラフ(The Telegraph)では1万4025個使われていることが、クキペディア(Cookiepedia)のデータでわかった。

20171107_cookies1

出典:Cookiepedia

そんないまこそ、法案が可決した場合に新法施行下で合法・違法とされるクッキーのタイプを確認しておきたい。もっともよく利用されているクッキーのタイプは、以下のとおりだ。

◆ ◆ ◆

ファーストパーティークッキー

パブリッシャーやWebサイトのオーナーが、サイト訪問者に渡すクッキー。たとえば、個人がニュースを読むためにあるパブリッシャーのWebサイトを訪問したとき、そのパブリッシャーはその訪問者にファーストパーティークッキーを渡す。これは、ユーザー体験の向上に利用される。ブリティッシュ・エアウェイズ(British Airways)のサイトでは、ユーザーが選んだ言語や国などの情報を記憶するために、クッキーが利用されている。これにより、ユーザーに関係のあるコンテンツや、ユーザーが選択した出発空港を表示できる。すべては、よりシームレスなユーザー体験を実現するためだ。大半のパブリッシャーとWebサイトオーナーは、Google アナリティクスなどの外部ベンダーのサービスを使ってWebサイトのトラフィックを監視しているが、この場合のクッキーも、パブリッシャーの所有するサイトへの訪問者のモニタリングに使われているため、ファーストパーティークッキーと見なされる。新法施行後は、パブリッシャーおよびマーケターは、ファーストパーティークッキーを渡す際に、ユーザーから明示的同意を得なければならなくなりそうだ。

サードパーティークッキー

すべてのリターゲティング広告や行動ターゲティング広告に使われている。広告主は、タグをWebサイトのページに追加することで、異なるWebサイト間でのユーザーまたはそのデバイスを追跡することが可能だ。これにより、ユーザーの行動に基づくプロファイルを作成し、メッセージをユーザーごとの関心に合わせて調整することができる。この種のクッキーの利用は、新しいeプライバシー規則のもとではプライバシーの侵害と見なされ、厳しく規制されることになりそうだ。クッキーの大量使用、過度な頻度のリターゲティングなどのアプローチが長年マーケティングの世界で乱発されてきた結果、欧州議会でサードパーティークッキーが問題視されるようになってしまった。デジタル広告サプライチェーンの複雑な仕組みのせいで、サードパーティークッキーの使用規制はファーストパーティークッキーの場合よりも難しいため、サードパーティークッキーの使用に関する同意はいっそう得にくくなる見込みだ。

セッションクッキー

ブラウザセッション中に、Webサイト側でユーザーのアクションを関連づけるのに使われる。ブラウザのメモリに一時的に保存されるにすぎないため、ユーザーがブラウザを閉じると、このタイプのクッキーは削除される。このためセッションクッキーは、保存期間が長いパーシステントクッキーに比べると、害は少ないと考えられている。Webサイトのログインに使われており、ユーザーが特定のサイトを訪問するたびに使う個人のログイン認証情報を保存する。ほかに、ページロードの高速化などサイトの重要な動作にも使われる。新しいクッキー法では、このタイプのクッキーを使う際には、ユーザーの明示的同意は求められないはずだ。

パーシステントクッキー

「パーシステント(長く残る)」という形容詞が示しているように、ユーザーのコンピューターにより長いあいだ保存されるクッキー。このタイプのクッキーは通常、作成時に数秒から最大20年までの有効期間を設定される。このタイプが使われているかどうかは、簡単に確認できる。Webサイトにログイン後、コンピューターを再起動し、同じサイトを再訪問する。この時点でまだログアウトしていない場合は、そのサイトはパーシステントクッキーを使ってユーザーを記憶している可能性がある。このタイプのクッキーは、Webアナリティクスでサイト訪問者の行動履歴を追跡するために、もっともよく使われている。パブリッシャーは通常、そうしたデータを使ってユーザーの好みを把握することで、ユーザー体験の向上に努めている。

セキュアクッキー

このタイプのクッキーは全員にとって必要なわけではないが、情報を非常に安全に保存するための一手段だ。HTTPSプロトコル経由でのみ、Webサイトとブラウザ間で受け渡される。このあいだ、クッキー内の情報は確実に暗号化される。オンラインショッピングサイトのチェックアウトページによく使われている。クレジットカードやデビットカードの情報を記憶するeコマースサービスのサイトで、安全性を高めるのに役立つ。新しいeプライバシー法では、このタイプのクッキー使用にはユーザーの同意は必要ないはずだ。オンラインバンキングなど、オンラインサービスでの安全性を提供するクッキー使用についてもやはり、事前の同意は必要ないだろう。

Jessica Davies(原文 / 訳:塚本 紺)