Cookieの基本的な仕組み

Cookie（クッキー）とは、ユーザーの端末に保存される小さなファイルであり、ユーザーがウェブサイトを閲覧する際に、ウェブサーバーが、ユーザーのインターネット閲覧ソフト（ブラウザ）と情報をやりとりするために用いられます。Cookieの用途は後述するとおり様々ですが、例えば、ECサイトで用いられる「買い物カゴ」機能にも、Cookieが用いられています。

ユーザーがウェブサイトを閲覧すると、ブラウザはウェブサーバーからの指示にしたがってCookieを生成し、その中にウェブサーバーが指定する情報を保存します。保存する情報はウェブサイト側で任意に決めることができますが、通常は、同一のユーザーであることを確認するための「Cookie ID」と呼ばれる識別子も保存しておきます。これによって、ユーザーが異なるウェブページに遷移しても、ブラウザがCookie IDをウェブサーバーに送信することで、ウェブサイト側はユーザーが誰かを知ることができます。

「買い物カゴ」機能の例でいえば、ウェブサイト側ではCookie IDと紐づけて「買い物カゴ」内の商品情報を保存しています。そのため、ウェブサイトは、ユーザーが「買い物カゴ」ページを見に来た時に、ブラウザから受信したCookie IDに応じて、そのユーザーがそれまでに「買い物カゴ」に入れた商品のリストを表示することができます。

なお、「ユーザーが誰かを知ることができ」ると書きましたが、厳密にはユーザーを「人」単位ではなく「ブラウザ」単位で識別できるに過ぎません。したがって、同じユーザーであっても、異なる端末や異なるブラウザでウェブサイトにアクセスすれば、ウェブサーバー側はCookieだけではユーザーの同一性を認識できません。

Cookieの用途と種類

Cookieは、上で挙げた「買い物カゴ」機能を含め、様々な用途で用いられています。次の表は、Cookieの用途に応じた一般的な分類を示したものです。なお、欧州のeプライバシー指令ではCookieを利用するためにはユーザーの同意を取得する必要があるとされていますが（詳しくは「欧州Cookie法について」をご覧ください）、必須Cookieについては例外的にこの同意取得が免除されています。

分類	具体的な用途
必須Cookie	ユーザーが要求したサービスを提供するために必要不可欠なCookieです。例えば、ログイン機能や「買い物カゴ」機能に用いられるCookieがこれに当たります。
機能性Cookie	ユーザーに対して追加的な機能を提供したり、コンテンツをユーザーごとにカスタマイズしたりするために用いられるCookieです。
分析用Cookie	ユーザーによるウェブサイトの利用状況を把握・分析するために用いられるCookieです。
広告Cookie	広告配信やマーケティングに関連して用いられるCookieです。Cookieを用いることにより、ユーザーのオンライン上の行動履歴をトラッキングし、その分析結果に応じて広告を配信する、いわゆるターゲティング広告も可能となります。

以上が用途によるCookieの分類ですが、その発行元によって次のとおり2つに分類することもできます。ここで、「発行」とは、Cookieの作成をブラウザに指示し、Cookieと情報のやり取りを行うことを意味しています。

分類	定義
1st Party Cookie	ユーザーが閲覧しているウェブサイトのドメインが発行するCookieです。
3rd Party Cookie	ユーザーが閲覧しているウェブサイトのドメイン以外のドメインが発行するCookieです。

ログイン機能や「買い物カゴ」機能に用いられるCookieは、通常1st Party Cookieです。1st Party Cookieは、ユーザーが訪問しているドメインと通信を行うだけですので、ユーザーのプライバシーに関する懸念は、相対的に低いといえます。他方で、3rd Party Cookieは、ユーザーが閲覧しているウェブサイトに埋め込まれたタグを介して、ウェブサイト外のドメインから発行されます。広告配信事業者などが自身のタグを様々なウェブサイトに埋め込んでおくことによって、3rd Party Cookieを用いてユーザーの閲覧履歴等をサイト横断的に収集し、それを一つのCookie IDの元に集約することで、個々のユーザーのオンライン上での行動を追跡すること（オンライン・トラッキング）が可能となります。このように、ユーザーが予期しないドメインとの通信が生じる点、及びサイトの垣根を超えたオンライン・トラッキングが可能となる点で、3rd Party Cookieは相対的にプライバシー上の懸念が大きいといえます。

その他の区分として、Session Cookie（セッション・クッキー）とPersistent Cookie（持続クッキー）の分類もあります。Session Cookieは有効期間が定められていないCookieであり、ブラウザを閉じる時に自動的に破棄されます。他方で、Persistent Cookieは有効期間が定められており、ブラウザを閉じても、有効期間内は存続し続けます。長期間トラッキングをし続けることができる点で、Persistent Cookieの方がSession Cookieに比べてプライバシー上の懸念が大きいといえます。

アプリで用いられる広告ID

Cookieの大きな用途として、オンライン・トラッキングによる広告やマーケティング目的での解析が挙げられます。しかし、Cookieはウェブブラウザに対してしか用いることができません。そこで、モバイル端末用のアプリケーション（以下では単に「アプリ」といいます。）では、Cookieに替えて、広告ID（広告識別子）を用いたトラッキングが行われてきました。広告IDは、Cookie IDのようにユーザーを識別するために用いられますが、モバイル端末ごとに一意に割り当てられている点で、発行元が自由に設定できるCookie IDと異なります。広告IDには、Android製品向けのGoogle Advertising ID (AAID) と、iOS製品向けのIdentifier For Advertising (IDFA) があります。

これらの広告IDを取得するためには、GoogleやAppleが提供する広告ID取得用のプログラムをアプリ内に組み込んでおく必要があります。また、広告配信事業者などの第三者が用意したSDK（ソフトウェア開発キット）をアプリに組み込むことで、その第三者に対して広告IDが送信されるようにすることも可能です。自社が提供するアプリに第三者のSDKを組み込むことは、ちょうど、自社のウェブサイトに3rd Party Cookie用のタグを埋め込むのと同じような意味を持ち、これにより第三者によるアプリ横断的なトラッキングが可能となります。このように第三者に端末の情報が送信される仕組み（情報収集モジュール）については、総務省に設置された研究会が作成した報告書「スマートフォンプライバシーイニシアティブ」の中で、ユーザーに対するあるべき情報提供の姿が検討されています。

なお、DMPなどの広告関連サービスの中には、異なる端末同士の広告IDをユーザーごとに照合することにより、ユーザーが使用する端末の垣根を越えてユーザーをトラッキングすること（クロスデバイス・トラッキング）を可能とするサービスも存在します。

トラッキング技術への逆風

Cookie IDや広告IDを用いたトラッキングは、広告配信やマーケティング目的での解析のために広く活用されてきました。しかしながら、人々の生活に占めるオンライン上での活動の比重が増すにつれて、ユーザーをオンライン上で継続的にトラッキングすることについて、プライバシーの保護の観点から厳しい目が向けられるようになりました。このような世相を反映し、近年では、ブラウザ提供者等により、トラッキング技術の利用が規制される流れがあります。

例えば、Appleが提供するブラウザ「Safari」では、既に3rd Party Cookieがデフォルトでブロックされており、Googleも、その提供するブラウザ「Chrome」において2023年中に3rd Party Cookieを廃止すると公表しています。また、iOS製品の広告IDであるIDFAについても、iOS 14.5以降のバージョンでは、ユーザーの同意を得ないとIDFAを取得できない仕組みに変更されています。

旧来のトラッキング技術に対する規制が強まる中で、一部には、代替となるトラッキングの手法を生み出そうとする動きがあります。例えば、ブラウザフィンガープリントという手法は、識別子を用いることなく、ブラウザがウェブサイトを閲覧するために送信してくる技術的な情報（例えば、ブラウザの種類やバージョン、OSの種類、画像解像度、言語の設定等）の組み合わせからユーザーを特定しようとします。しかし、このような代替技術には、3rd Party Cookie等と同様のプライバシー上の懸念があり、問題の本質的な解決にはなっていないという批判がなされています。今後、新たな代替技術が生まれても、それを制限する仕組みがブラウザ提供者等により生み出されるという「いたちごっこ」になる可能性が高いでしょう。

さらに、この記事を執筆している時点（2022年2月）においては、電気通信事業法を改正し、ユーザーがウェブサイトやアプリケーションを利用した際に、CookieやSDKなどを用いてユーザーの端末から外部に情報を送信させる場合には、ユーザーに対する通知・公表を行い、又は同意取得若しくはオプトアウト手段の提供を行うことを法律上の義務として定めることが検討されています。

事業者としては、このような日本や世界の情勢、さらには業界の自主規制の状況も踏まえ、Cookieや類似のトラッキング技術を用いる場合には、適用される法令や、ブラウザ提供者等の定めるルールに違反していないかを確認することは当然として、ユーザーのプライバシーに配慮した同意の取得や十分な説明などの対応を検討することが必要です。自社のウェブサイトやアプリに組み込まれるCookieタグやSDKの内容を管理部門が正確に把握することは、そのような検討を行う前提となる非常に重要なステップです。なお、Cookieに関する同意の取得等については、「法務のためのCookie（クッキー）講座②」において解説します。