日本のクッキー(Cookie)は美味しい、それとも不味い?

日本のクッキー(Cookie)は美味しい、それとも不味い?

国内デファクトスタンダードのCookieがEUでは罰金

タイトルのとおり、Cookieの話だが、お菓子の話ではありません。ブラウザ識別のために使われている小さなファイルCookieの話です。
本ブログの読者にはCookieの説明は不要かもしれないが、念のため、解説しておくと、

・Webサイト運営者が、訪問者のWebブラウザに一時的にデータを書き込んで保存させるしくみのことで、ユーザに関する情報〜たとえば、認証番号、訪問日時、閲覧履歴などを持たせることができます。

一度、ログインしたサイトに2回目訪問すると、自動的にログイン状態になるようなケースは、このCookieが活用されています。ちなみに4096バイト、300個のCookieを書き込むことができるそうです。

つまりはユーザ認証の要というわけですね。弊社でもブラウザのパーソナライズのためにCookieを使ってます。日本国内の同様のサービスはほとんどが、このCookieによるものです。いわば業界標準です。

ところが、先日、広告などの効果測定ツールの機能比較をして気づいたのですが、海外製品の多くがこのCookieによるブラウザ識別をやっていないのです。なぜか? それは法律の問題です。

実は、EUでは数年前に個人情報保護の一環として、CookieLaw(クッキー法)なるものが施行されました。これは、サイト運営者が勝手にブラウザにCookieを書き込んで、パーソナライズサービスや広告に使っちゃいかん!という法律です。違反すると罰金ものです。(罰金は最高で50万ポンドですが、日本円で、8,000万円を超えます。コワっ!)

当初は、サイト運営者を奈落の底に突き落とす悪法として評判は悪く、いろんな企業や団体が反対していたのですが、猶予期間をすぎて、今は普通に実行されています。

実際、かのGoogleも自社製品のサービスに、この法律に対応した通知や同意プロセスを入れるようになりました。以下は、その説明画面です。

image01

日本はいまだCookie王国なのですが、グローバルでサービスをやる事業者にとっては、Cookieへの同意プロセスをサイトやWebサービスに組み入れるか、まったく異なる別の手段で識別を行う必要があります。

その有力な手段がFingerPrint技術です。

FingerPrintとは?

FingerPrintとは、日本語で指紋を指す言葉です。IT業界では、デジタルコンテンツの同一性、つまりはサイトやファイルが改ざんされてないかどうか、をチェックするためにハッシュ値を比較して検査するということに使われています。

これをブラウザ識別にどう使うかというと、ブラウザがWebサイトにアクセスしてきた時に取得できる様々な情報の組み合わせからユニークな値を生成するというものです。

アクセスで得られるデータには、UserAgent、ACCEPTヘッダ、HTTPクッキー、画面の解像度、タイムゾーン、プラグイン、フォントなどがありますが、それらを組み合わせることによって、90%以上の確率でブラウザをユニークに識別できるということらしいです。詳細な統計データを知りたい方は、
https://panopticlick.eff.org/static/browser-uniqueness.pdf
を参照ください。

つまり、100%ではないければ、かなりの高確率で同一ブラウザということがわかるわけです。たとえば、ターゲッティング広告や何かのリコメンドくらいであれば、それでもOKに思えます。

しかし、一方で、100%同一性が担保できないとなると、これを個人別ページのログインなどに使うことはできません。その意味においては、Cookieがなくなることは考えられないですし、FingerPrint技術もまだ発展途上ということでしょうか?

しかし、いずれにせよ、欧米スタンダードに寄り添う日本の流れからすると、サイトで気軽にCookieが使えなくなる日はそう遠くはないかもしれません。それまでに、別の手段をいろいろと準備しておく必要がありそうですね。

コメント