Semplice - クッキー（Cookie）の諸問題 - トラッキング クッキー ・ 追跡クッキー ・ サードパーティ クッキー

クッキー（Cookie）とは

　クッキーはブラウザ（Internet Explorerやその他）にてサイトを閲覧した際に作成される、テキストファイルである。ビスケットの親戚のような菓子ではない。
　クッキーには何かのアカウント名やセッションID、サイト閲覧時刻や回数、そして稀には（望ましくは無いが）パスワードや何故かIPアドレスが保存される。多くの場合は万が一のリスクを避ける目的で、アカウント名とパスワードをセットでそのまま保存するのではなく、ランダムな値によるセッションIDを保存するだろう。

ファーストパーティ クッキー（first-party cookie）とサードパーティ クッキー（third-party cookie）

　話を続けるに当って、用語の説明を一つ。
　クッキーを大別すると「ファーストパーティのクッキー（First-Party Cookies）」と「サードパーティのクッキー（Third-Party cookies）」に区分される。
　あるサイトAを閲覧時にクッキーはファーストパーティクッキーである。
　サイトAに表示された、サイトBのバナー経由で作成されるクッキー（一例としてad.example.netよりのもの）はサードパーティクッキーである。

　1）www.examplle.com（サイトA）を閲覧、ファーストパーティクッキーがSetされる
　2）ad.example.net（サイトB）のバナーが表示
　3）ad.example.net（サイトB）よりサードパーティクッキーがSetされる

トラッキング クッキー（Tracking Cookies）・追跡クッキー・サードパーティ クッキーについての前置き

　この区分に含められてしまうcookieは、消費者に警戒されるものだ。これらは時には混同され、時には同一のものと考えられてしまう。

　だがサードパーティクッキーの全てがトラッキングクッキーであるとは言い切れない。
　クッキーによるトラッキング行為・ユーザーの追跡は時にはサードパーティ クッキーにより、時にはファーストパーティ、場合によってはいずれでもある。
　一部の何とか対策サイトにてはサードパーティクッキーをトラッキングクッキー（Tracking Cookie）として・もしくはスパイウェア（Spyware）として扱い解説している。
　アンチウイルスソフトメーカーのCAはスパイウェア クッキー（Spyware Cookie）なる用語まで記載しているようだ。

サードパーティクッキー（Third-Party cookies）と情報収集行為

　広告代理店によるサードパーティのトラッキングクッキーを用いた情報収集（またはプライバシー侵害）について考えてみたい。
　君はwww.example.comを閲覧し、表示されたバナー広告経由で広告代理店ad.example.netよりのサードパーティ クッキーを取得したとする。
　このサードパーティ クッキーには、ユニークな・一意の・重複しないIDが含まれるとする。
　後日他のサイトを閲覧した際に、ad..example.netより以前のIDを含んだクッキーを読み込まれるだろう。
　ad.example.netのバナー広告が設置されているサイトを幾つも閲覧すれば、サードパーティクッキーをセットした広告代理店ad.example.net運営者は、多くのサイトより取得した君のWeb上での閲覧や行動（どこのサイトを閲覧したのか等）を知ってしまうだろう、これはプライバシーの侵害では、と。
　やさしいセキュリティ(トラッキングCookie)（Firewall & Forest）にてわかりやすい解説があるので、是非とも推薦したい。

　一部のサードパーティクッキーは、マーケティング上の情報収集目的にて、過剰に個人のネット上における挙動を収集し・時にはプライバシーを侵害したとして非難される。
　サードパーティクッキーによりエンドユーザーのネット上の挙動などをWebマーケティング情報として取り纏め、個人を特定できない形で利用・販売される場合もあるだろう。このような情報収集行為は - 具体的にどこの誰が何をと特定できる情報を含めないとしても - 多くの消費者より嫌悪される。
　サードパーティクッキーを配布するマーケティング業者が、具体的な氏名などを取得する手段を備えていなかったとしても、人の不安と拒絶感は簡単に拭い去れるものではない。

　サードパーティー・クッキーを置く行為は、電子プライバシー擁護派の激しい攻撃の的となっている。なぜなら、ユーザーのハードウェアに残されるそうしたクッキーをもとに、第三者が各ユーザーのサイト訪問傾向を把握するかもしれないからだ。
　ダブルクリック社は今年、ウェブサーファーの訪問記録と訪問者の実際の身元との関連づけを行なうという計画を発表し、激しい非難を浴びて計画を撤回した。
　賞賛されるIEのクッキー警告機能(下)（2000年7月21日）（WＩRED NEWS）

サードパーティ クッキーの危険性として以下の点がよく論点とされる。
　1）有効期限の長いサードパーティクッキー
　有効期限が長いクッキーは、何とか対策ソフトウェアにより削除される可能性があるため、適度な間隔を置き入れ替えた方がベターなのだろうか。
　2）サードパーティ クッキーを喰わせるサイトが多ければ、いずれ個人特定に結びつく
　「量より質」のような気がしますね。個人特定までを実現するのは「サイトの数」ではなく「個人特定に至る有用な情報があるサイト」が必要なのではないでしょうか。
　また「個人の特定」とは、住所氏名まで得られてしまうような事例なのだろうか？それとも「ある匿名IDのユーザーに関する情報の寄せ集めに過ぎない」？
　3）どこかのサイトにて個人情報を入力すれば、筒抜けになる
　サイト運営者と第三者cookie発行者が顧客に関する情報を（裏または表で）やりとりしているとの前提が必要ですね。確かに「個人情報を含まない情報をマーケティングに利用します」と記載しているサイトもありますが。
　4）エンドユーザーは許諾しているのか
　サードパーティcookieを発行する業者及びバナーを表示するサイトは、消費者の了解を得ているのか？

バナー等をクリックしたらば - サードパーティがファーストパーティに変わる瞬間

　さて、君が閲覧したサイトに表示されるバナーなり - これはサードパーティクッキーをセットするものではあるが、一見すると個人情報の流出などとは無縁のように思われるものの、少し待ってもらいたい。

　当り前の話ではあるが、サードパーティクッキーを発行したバナーをクリックし表示されたサイトは、「サードパーティ」ではない場合もあるだろう。リンク先サイトにて個人情報を入力すれば、どうなるのかと。
　（考えをまとめるに当って相談に応じていただいた、exさんに感謝。）

　「サードパーティクッキーによるユーザーのトラッキングは、個人情報の深刻な侵害までにはつながらない」との見解は、結論を急ぎ過ぎている。
　バナー広告を表示するのは、広告代理店のみとは限らない。そして（思い込みと言われるのは承知だが）彼らが本当に信頼できのか否かは簡単には判別できないだろう。怪しい事例としてはBogus wareやインチキソフトと区分される業者が、普通のサイト上に直接宣伝目的の詐欺的なバナー広告を直接表示する事例も散見する。

　君が「わざわざ」個人情報を入力した場合は、ネット上での幾つかのサイトにおける挙動の幾つかは、何らかの形で悪用されたりはしないものなんだろうか？
　バナーのリンク先が、個人情報を収集しスパム的なメールを送信する目的でメールアドレスや個人情報・興味のある話題カテゴリを収集するような業者であったらば、どうなんだろうか。
　#悪用なる用語の扱いは、人により様々であるとは思うものの。

コンバージョン トラッキング クッキー（Conversion Tracking Cookies）

　広告代理店によるサードパーティ クッキーが追跡クッキーとして機能する話は、ひとまず置いておく。
　閲覧したサイトやポータルサイトや検索サイトと、掲載される広告・スポンサーへのリンクに関わるコンバージョンクッキー（Conversion Cookies）はWebマーケティングにて広く利用されているが、プライバシーを侵害しているのではないかとの議論も存在する。

　コンバージョンとは閲覧者の挙動 - サイトの閲覧やクリック、注文などを指す。トランザクションとは商品の購入・支払いの購買行為だ。
　君はいずこかの検索ポータルへ広告掲載依頼をし、ゾロゾロと多くの訪問者が現れたとする。どれだけの費用対効果 - クリック数や購買に結びついた成功率 - を知らなければ、広告掲載のために投下した費用が十分には生かされないやもしれない。

　一例としてGoogleは、AdWords広告へ登録する企業向けにこのようなコンテンツを掲載している。

コンバージョンの定義
　アドワーズ広告コンバージョンが達成されるのは、アドワーズ広告がクリックされ、売り上げの完了や販売促進情報の収集として認識される処理が、ウェブ サイトで実行されたときです。コンバージョンに含まれるのは、デジタル カメラの購入、保険の問い合わせのために連絡先情報を送る訪問者、またはソフトウェアの機能についてのパンフレットをダウンロードした見込みのある顧客などです。
　コンバージョンを測定するときに理解しなければならない別の重要な用語は、"トランザクション(取引)" です。アドワーズ広告を通じてお客様のサイトに訪問があり、購入されたことをコンバージョンが表していると同時に、トランザクションは、購入または訪問者に望まれている取引行動そのものを表しています。
コンバージョン トラッキングの設定
　一般にコンバージョン トラッキングでは、コンバージョン タイプとして実際の購入または販売、販売促進、申し込み、およびページの閲覧を指定できます。
　レッスン 3c: ROI と コンバージョン トラッキングの基本（Google AdWords ラーニング センター）

　Yahoo! Japanにて検索すると、スポンサーサイトなる表示が現れる場合がある。
　広告リンクを開くと、Yahoo!と業務提携しているOverture.comのcookieが作成されるだろう。

　またGoogleの検索結果よりスポンサーリンクを開けば、www.googleadservices.comのクッキーが作成される。

　（可視化するためにIE用Cookieエディタにて表示した状態である）

　一部の「セキュリティ対策ソフトウェア」は、大手検索エンジンによるコンバージョントラッキングクッキーを削除対象としている。
　なおBenjamin Edelman 氏らはCookies Detected by Anti-Spyware Programs: The Current Statusにて、スパイウェア対策ソフトウェアとCookie検出の興味深い記事を掲載している。断っておくが彼らは、これらのコンバージョントラッキングクッキーをスパイウェアとして扱うには賛同しておらず、むしろ反対の立場である。

クッキーに伴う諸問題

いつまでも不変のクッキー

　第三者がクッキーを取得した際に、容易に個人情報が流出する可能性が指摘された事例もある。一例として「はてなの Cookie が洩れると個人情報も洩れる（羊堂本舗）」にて紹介されているように、かつてのはてなにてはCookieはいつまでも同じものが利用され、Cookieを取得してしまえばその後はユーザー登録情報設定画面に接続するためにパスワードの入力を求められない。
　（注：現在でははてなの古いCookieは、何度もログオンするとそのうちに上書きされる）

　高木浩光はブログ中にてこのように記載している。

　どうやら、ユーザ登録した直後に生成されたランダムキー（もしくはアカウント名を暗号化したものかもしれない）が、永久に認証用として使われているようだ。
　ということは、一度この値を盗まれるともうどうしようもなくなるということだ。パスワードを変更しても乗っ取られる状態は続いてしまう。アカウントを放棄するしかない。
　解決方法にはいろいろ考えられるが、標準的な方法は、セッションIDを使うことだ。ログイン時に、新たにランダムな文字列（セッションID）を生成して、cookieにセットし、そのIDからユーザを検索できる管理表をサーバ側で管理する。ブラウザからのアクセスがあると、cookieとしてセッションIDが送られてくるので、それを元にユーザを検索して、ユーザごとの処理を実行する。
　はてなの安全性を考える（高木浩光＠茨城県つくば市の日記」跡地）

　いつまでも・何度ログオンしても不変であるならば、万が一Cookieを第三者に取得された場合に「なりすましログイン」が可能なチャンスは増大するだろう。

クッキーには有効期限が設定される

　セッション クッキー（Session Cookie）はブラウザ（Internet Explorerなど）を終了してしまえば削除されるCookieであり、有効期限が設定されていないと作成される。
　有効期限が設定されている場合はいずれ削除されるが、極めて長い有効期限（数年もしくはそれ以上）が設定されるとユーザーをトラッキングする目的と警戒され・時にはスパイウェア対策ソフトウェアにて削除対象とされる。

　有効期限はどれだけの長さが適切なのだろうか。
　ログイン時に「えぇ？そんなに長期間保持されるのか！」と驚くだけの長期間、例えば5年などパソコンの寿命以上と言われそうな長期間有効である場合もあるだろう。
　登録ユーザーにとってはパスワードの入力を利便性のために避けたいと期待する方も居るでしょう。

　ユーザー自身が望んだ場合、「次回ログオン時にパスワードの入力を省略する」などのボックスにチェックを入れた場合はどうなんだろうか。
　どれだけの期間かは別として、クッキーの有効期間を長くするようエンドユーザーが望んだ場合は、これを不正なもの・不適切なものと考えるべきなのか？
　（エンドユーザーが5年10年を望むか、またこれらに付随する問題を理解したのかが気になりますが）

　有効期限が長い・長すぎるのはどうなのか。様々な見解をあちらこちらより得たのだが、一部を紹介する。

　まぁあまり「好ましいCookieの使い方」だとは私は思いません。
　この辺難しいですね。正直普通の人がこの辺のリスクを認知しているとは思えませんし。
　（ex氏よりのアドバイスより直接引用）

　「エンドユーザーが長期間Cookiesの保持を認めたから別に問題は無いのでは」との自分の見解は、何か大きなものを見逃しておりました。
　有効期限を具体的にユーザーに選択させ、なおかつ長期間有効とするリスク - 一例としてクッキー盗難や第三者がパソコンを取得しなりすましログインする可能性 - をはっきりと説明するべきなのだろう。

　Yahoo! Japanではログオンする登録ユーザーが気付きやすい位置へ、毎回ログインするのは面倒 / 「次回からIDの入力を省略」とは？（Yahoo! Japan）へのヘルプを掲載し、注意を促している。
　また他の例のサイトにおける事例として、Lucaさんが巡回しているとあるサイトにては、クッキーによるログイン保持期間は1時間・1日・1週間・1ヶ月・期限限定無しの5つより選択できる。
　有効期限の長さ・生じ得るリスクをどのように説明するかについては、後日じっくりと考えた上で。

Webメールとセッション管理

　3年ほど前までは、フリーメールとして膨大な数のユーザーが利用するとある著名なWebメールは、Cookieを利用しておらず。
　ログオンした登録ユーザーにはそれぞれ毎回ユニークなセッションIDを含めたURL（URI）を発行するのだが、これが問題であった。

　攻撃手法としては極めて単純な手法であり、まずはアクセス解析を設置したサイトを準備し、相手にそのリンクを含めたhtmlメールを送付する。メール受信者がリンクを踏むと、リファによりアクセス元URIが取得できる。
　取得したセッションID入りURLをブラウザのアドレス欄に入力し接続。
　あら、不思議。他人のフリーメールに。。。。。

　現在ではCookieによるセッション管理が利用され、このような攻撃手法が実行可能なフリーメールサービスはよもや存在しないだろう（まだあったらば運営者にセッセと通報してもらいたい）。

Cookiesとドメイン属性・パス属性

　基本的には・普通は、クッキーを発行したサイト運営者以外の第三者はCookieに記載された情報を利用できないが、稀には運営上の問題なのか同一ルートドメインにて運用されている他のサブドメインサイト（www.example.comとwww2.example.comなど）でも相互に閲覧利用できた事例があった（メモを無くしてしまったため、具体的事例を紹介できない、申し訳無い）。

　君がどこかのサービスと契約し、Webサイトやブログを所有したとする。
　URL（URI）を大別すると3つに分かれるだろう。
　1）独自ドメイン形式
　http://独自のドメイン/
　2）サブドメイン形式
　http://username.example.com/
　3）ディレクトリ形式
　http://example.com/username/

　Domain属性とPath属性を特に指定しなければ、君が見たサイトのそのディレクトリにCookieは設定されるだろう。
　だがCookieのDomain属性は「username.example.com」のみで読み取れるようSetせずに、「*.example.com」つまりexample.comに属するいずれのサブドメインでも利用できるようにしてしまうと、多少問題がある。
　例えば「betujin.example.com」など別のサブドメインに属するサイトより、意図せずCookieを取得されてしまう危険性がある。
　更にはPath属性は不適切な・変な設定であると、ディレクトリ形式のURI（URL）にて第三者が運用するサイトにCookieを取得される可能性が存在する。

　不適切な設定により第三者がクッキーを取得してしまう問題については、Cookie(クッキー)の届く範囲（あいまいモード・コム）なる大変素晴らしいサイトがあるので、この場にて推薦したい。

　一点だけ付記しておく。
　独自ドメインを取得し自分のサイトに設定したとしても、契約した業者によりデフォルトで設定されたURL（URI）が存在する場合もあるだろう。
　一例として君が独自ドメインを取得しサイトを運営し、URL（URI）はhttp://独自ドメイン.com/で通常運用していたとしても、example.comを運用する業者によりhttp://username.example.com/なるURL（URI）も利用可能な場合がある。

リスクが高いクッキー・そうではないクッキー間の尺度の違いと対策

　判断しづらい部分でありますが、exさんより以下のような見解を紹介していただきました。

　「安全なCookie」とは以下ではないかと考えます。
　・Cookieの提供元がはっきりしている（かつそれが十分に信頼できる提供元である）
　・Cookieの目的がはっきりしている
　・Cookieの有効期限が適切に設定されている

　裏返せば、安全ではないCookieとは
　・Cookieの提供元がはっきりしていない
　・Cookieの目的がはっきりしていない
　・Cookieの有効期限が適切に設定されていない

　ただし、これは多くのTracking Cookie、サードパーティのCookieに（当たり前ではありますが）該当してしまいます。それらはサイトの利用者が「意図せずに」食わされていますから。
　（exさんよりのアドバイスより引用）

　提供元が安全・かつ信頼できる業者なのか否か・cookieを利用し取得する情報の範囲及び利用の様態 - これはエンドユーザーには判別できないのではなかろうか。

　さて、何とか対策セキュリティソフトみたいなものを導入してみれば、これでもう終わりなのか？
　特定のドメイン、つまりはある広告代理店よりのクッキーを対策ソフトウェアにて検出対象とするのは、どうなんだろうか。
　変な業者が新たにボコボコと沸いたらば、特定ドメインのクッキーをブロックするような対策は意味を為さないような。

　サードパーティクッキーはInternet Explorerの設定より、容易にブロックできるだろう。
　まずインターネットオプションを開き、「プライバシータブ」より「詳細設定」を選択する。

　「自動 Cookie 処理を上書きする（O）」のボックスにチェックを入れて、「サードパーティ の Cookie」欄にて「ブロックする（L）」を選択すればよい。

　ちなみに、インターネットゾーンのプライバシー設定は、「中-高」が手頃なのではなかろうか。これはP3Pプライバシーポリシーに従いCookieを制御するものであるが、「すべてのCookieをブロック」や「高」ではログオンが必要なほとんどのサービスは利用できなくなる。
　自分はlivedoor Blogへログオンする際には「中-高」を、ログオフ後にはブロックを選択している。
　もちろん、ログオン中のサービス（一例としてmixiやWebメール）より外部リンクを開くのは望ましくないとの議論もある点には配慮を払っている。

Conclusion

　クッキーによるプライバシー侵害の例としてトラッキング クッキー・追跡クッキー（tracking cookie）の問題がよく取り沙汰される。
　またサードパーティ クッキーがトラッキングクッキーや追跡クッキーと同意のものと扱われる事例も散見する。

　ファーストパーティ クッキーであってもユーザーの挙動を追跡する事例（例えば検索サイトや大手ポータルによるコンバージョン トラッキング クッキー）もあるだろう。トラッキング行為はサードパーティ クッキーには留まらない。
　サードパーティ Cookieをブロックすれば、またファーストパーティ Cookieであっても削除してしまえばOKとの議論もまた乱暴だ。

　自分にはクッキーが「どこまで安全」または「どこまで安心できるのか」との定量的判断をこの場にては示せない。
　「消費者はどこまで許容すべきなのか」についても千差万別であるため、正直な話として結論付けられない。

関連記事

　Cookiesを削除するだけの目的でソフトウェアを購入するべきではない
　Tracking cookieはスパイウェアではない - スパイウェア対策ソフトメーカーの姿勢への疑問

Acknowledge

　このブログエントリを掲載するに当り、exさんより様々なアドバイスをいただけたまして、自身の視野が大変広まりました。また毎度ながら冗長で我ながら混沌とした文章を、校閲し整理して下さったSakaiさんに、深く感謝いたします。

更新履歴

　2006年10月13日　序文がわかりづらいとの指摘を受け、一部修正。