さまざまなユーザー追跡技術

(1/1)
パソコンによるWebサーフィンでは、cookieをオフにしても追跡を続行できる技術が複数あります。これらはマーケティング(行動ターゲティング)のために行われているものですが、不正請求詐欺などに悪用される可能性があります。

supercookie

2011年(平成23年)8月、米MicrosoftなどのWebサイトがユーザーには管理できない supercookie)を使ってユーザーのネット上の行動を追跡していたことが分かったとして、米スタンフォード大学の研究者がブログで調査内容を報告しました。
supercookieとは通常の cookie を使わずにユーザーの行動を追跡する技術のことで、中にはsupercookieを使って削除したcookieを再生し、ゾンビ cookie を作り出しているWebサイトもあるといいます。

パソコン利用者は自分のプライバシーを守るためにcookieを削除したとしても、supercookieによって行動追跡を続けられることになります。
cookieは個人情報とは認められていないため、この手法は法的には何ら問題はありません。
(※)supercookieがFlashクッキーであるとか、Windows Media PlayerのGUIDであるとする情報が出回っていますが、これらは間違いです。前述のブログでは、supercookieはJavaScriptでMUIDパラメータをキーにcookieを一致させる方法と明記した上で、サンプル・スクリプトも掲載されています。

evercookie

supercookie以外にも通常のcookieに頼らない追跡技術が複数あります。これらは総称してevercookieと呼ばれています。JavaScriptから利用できる下記の技術を組み合わせて実現するものです。
  • 通常のHTTP cookie
  • Local Shared Objects (Flash Cookie)
  • Silverlight Isolated Storage
  • セッションデータをRGB値にエンコードしたPNGファイルを生成し期間20年指定でキャッシュさせる
  • 楽天ad4Uで御馴染みのCSS履歴ハック
  • HTTP ETags
  • Storing cookies in Web cache
  • window.name caching
  • Internet Explorer userData storage
  • HTML5 Session Storage
  • HTML5 Local Storage
  • HTML5 Global Storage
  • HTML5 Database Storage via SQLite
これらの技術のどれかが有効であれば、利用者のWeb閲覧履歴を追跡できることになります。

ユーザー追跡技術が悪用されるケース

これらの技術はマーケティング(行動ターゲティング)のために行われており、悪意も違法性もありません。
しかし、不正請求に悪用される可能性はあります。

たとえば、あるコンテンツ提供者が合法的な会員制サイトと非合法のアダルトサイトを運営していたとします。
合法的なサイトの方で氏名、連絡先などを登録させます。そのユーザーが非合法のサイトにアクセスしてきたら、合法サイトで登録した連絡先に不正請求をするという手口です。

もちろん不正請求を無視すればいいだけの話ですが、このような詐欺が簡単にできてしまうというのは困ったものです。

対策は無い?

残念ながら、パソコン利用者側でできる対策はありません。ブラウザ側でevercookieのすべての技術をオフにするということはできないためです。

利用者がこのようなマーケティング手法を受け入れたくない(オプトアウト)という選択肢を設けるよう、コンテンツ提供者に働きかけていくしか無いでしょう。
さもなければ、自分のWeb閲覧履歴はすべて第三者に筒抜けになっているということを覚悟するしかありません。

国内でも cookie利用を規制する動き

2019年(令和元年)8月、学生の内定辞退率を本人の十分な同意なしに予測し企業に販売していたリクナビ問題が明らかになった。リクルートキャリアは2019年(平成31年)2月まで、cookie を使って個人を特定しないようにして企業に内定辞退率を販売していたが、本人同意なく個人情報を販売していたとして問題になった。

問題再発を防ぐため、政府の個人情報保護委員会は11月、企業のcookie利用を規制する方向で検討していることを明らかにした。規制内容を個人情報保護法に盛り込み、2020年(令和2年)1月の通常国会に改正案を提出する可能性があるという。
公正取引委員会も、cookieの利用を規制する方向で検討に入ったという。

ヨーロッパでは、すでにcookie利用の規制が始まっている。2018年(平成30年)5月に施行された「EU一般データ保護規則」(GDPR)によりcookieは個人データとして扱われ、情報を取得する際にはポップアップなどで利用目的を示し、同意を得る必要がある。

参考サイト

(この項おわり)
header