さまざまなユーザー追跡技術

(1/1)
パソコンによる Web サーフィンでは、cookie をオフにしても追跡を続行できる技術が複数あります。これらはマーケティング(行動ターゲティング)のために行われているものですが、不正請求詐欺などに悪用される可能性があります。

supercookie

2011 年(平成 23 年)8 月、米Microsoft などの Web サイトがユーザーには管理できない supercookie)を使ってユーザーのネット上の行動を追跡していたことが分かったとして、米スタンフォード大学の研究者がブログで調査内容を報告しました。
supercookie とは通常の cookie を使わずにユーザーの行動を追跡する技術のことで、中には supercookie を使って削除した cookie を再生し、ゾンビ cookie を作り出している Web サイトもあるといいます。

パソコン利用者は自分のプライバシーを守るために cookie を削除したとしても、supercookie によって行動追跡を続けられることになります。
cookie は個人情報とは認められていないため、この手法は法的には何ら問題はありません。
(※)supercookie がFlash クッキーであるとか、Windows Media Player の GUID であるとする情報が出回っていますが、これらは間違いです。前述のブログでは、supercookie は JavaScript で MUID パラメータをキーに cookie を一致させる方法と明記した上で、サンプル・スクリプトも掲載されています。

evercookie

supercookie 以外にも通常の cookie に頼らない追跡技術が複数あります。これらは総称してevercookieと呼ばれています。JavaScript から利用できる下記の技術を組み合わせて実現するものです。
  • 通常の HTTP cookie
  • Local Shared Objects (Flash Cookie)
  • Silverlight Isolated Storage
  • セッションデータを RGB 値にエンコードした PNG ファイルを生成し期間20 年指定でキャッシュさせる
  • 楽天 ad4U で御馴染みの CSS 履歴ハック
  • HTTP ETags
  • Storing cookies in Web cache
  • window.name caching
  • Internet Explorer userData storage
  • HTML5 Session Storage
  • HTML5 Local Storage
  • HTML5 Global Storage
  • HTML5 Database Storage via SQLite
これらの技術のどれかが有効であれば、利用者の Web閲覧履歴を追跡できることになります。

ユーザー追跡技術が悪用されるケース

これらの技術はマーケティング(行動ターゲティング)のために行われており、悪意も違法性もありません。
しかし、不正請求に悪用される可能性はあります。

たとえば、あるコンテンツ提供者が合法的な会員制サイトと非合法のアダルトサイトを運営していたとします。
合法的なサイトの方で氏名、連絡先などを登録させます。そのユーザーが非合法のサイトにアクセスしてきたら、合法サイトで登録した連絡先に不正請求をするという手口です。

もちろん不正請求を無視すればいいだけの話ですが、このような詐欺が簡単にできてしまうというのは困ったものです。

対策は無い?

残念ながら、パソコン利用者側でできる対策はありません。ブラウザ側で evercookie のすべての技術をオフにするということはできないためです。

利用者がこのようなマーケティング手法を受け入れたくない(オプトアウト)という選択肢を設けるよう、コンテンツ提供者に働きかけていくしか無いでしょう。
さもなければ、自分の Web閲覧履歴はすべて第三者に筒抜けになっているということを覚悟するしかありません。

国内でも cookie利用を規制する動き

2019 年(令和元年)8 月、学生の内定辞退率を本人の十分な同意なしに予測し企業に販売していたリクナビ問題が明らかになった。リクルートキャリアは 2019 年(平成 31 年)2 月まで、cookie を使って個人を特定しないようにして企業に内定辞退率を販売していたが、本人同意なく個人情報を販売していたとして問題になった。

問題再発を防ぐため、政府の個人情報保護委員会は 11 月、企業の cookie 利用を規制する方向で検討していることを明らかにした。規制内容を個人情報保護法に盛り込み、2020 年(令和 2 年)1 月の通常国会に改正案を提出する可能性があるという。
公正取引委員会も、cookie の利用を規制する方向で検討に入ったという。

ヨーロッパでは、すでに cookie 利用の規制が始まっている。2018 年(平成 30 年)5 月に施行された「EU 一般データ保護規則」(GDPR)により cookie は個人データとして扱われ、情報を取得する際にはポップアップなどで利用目的を示し、同意を得る必要がある。

参考サイト

(この項おわり)
header