そもそも「Cookie」って何？

ネットサーフィンをしていると、サイトにアクセスした際にCookieの利用の同意を求められるポップアップを見かけることも多いでしょう。このCookieとは、PCやスマートフォン、タブレットといった端末からWebサイトを閲覧したとき、訪問者が入力したデータや利用環境などの情報が記録されたファイルのことを指します。

Cookieは、Webサービスを便利に利用するためのものです。Webサーバーは同じ閲覧者からアクセスを受けた際、その閲覧者のデバイスに保存されたCookieを参照することで、IDやパスワード、ネットショッピングでカゴに入れた商品などの情報を復元し、再度操作をする手間が省けます。

このようなCookieは、「ファーストパーティCookie」と呼ばれます。ファーストパーティ（first party）とは、「当事者」という意味で、ユーザーが訪問しているWebサイトのドメインから直接発行されているCookieのことです。閲覧者が訪問したWebサイトとユーザーとの間、つまり当事者間でCookieのやりとりが行われることからこのように呼ばれています。

CookieにはファーストパーティCookieのほかに、「サードパーティCookie」というものが存在します。サードパーティCookieは、ユーザーが訪問していないインターネット事業者が発行したCookieのことです。閲覧者が直接訪問したWebサイトのサーバー間でのやりとりで完結せず、それ以外のサーバー（第三者）との間でCookieのやりとりがされます。

サードパーティCookieは、Web広告でよく使用されます。たとえばネット通販サイトで表示した商品やサービスが、別のポータルサイトを閲覧しているときに広告で表示されることがありますが、これもサードパーティCookieを利用したものになります。

なぜ「サードパーティCookie」は問題なのか？

しかし、2022年6月の電気通信事業法の改正により、この「サードパーティCookie」は、同法による規制の対象となります。

なぜサードパーティCookieは、同法よる規制の対象となったのでしょうか？ その背景には、ユーザーのプライバシーの問題が関わってきます。

サードパーティCookieを利用すると、どのユーザーが、どのデバイスから、どのWebサイトにアクセスしているのかの情報が集積され、そのデータからユーザーの趣味・嗜好を分析することが可能になります。しかもそのデータを、ユーザーが関知しない第三者の企業がビジネス目的で利用することになります。

ユーザー自身が把握していないところで、自分の趣味嗜好を分析されることは、ユーザーのプライバシーの侵害になる恐れがあります。ユーザーのプライバシー保護を目的に、サードパーティCookieが規制されることになったのです。

ネット業界でも、サードパーティCookieの危険性は知れ渡っており、すでに自主規制をスタートしているケースも見られます。たとえばAppleのブラウザ「Safari」では、デフォルトでサードパーティCookieをブロック。Googleが提供するWebブラウザ「Chrome」でも、2024年後半までにサードパーティCookieのサポート完全廃止が宣言されています。

電気通信事業法の改正で、Cookieの扱いはどう変わる？

今回の電気通信事業法の改正にて、サードパーティCookieの使用が規制される企業は、ネット上でサービスや情報提供サイトなどを提供する電気通信事業者です。

もしこれらの事業者が、サードパーティCookieおよび同様のテクノロジーを利用する場合は、その情報を事前に公表すること、もしくは事前に利用者の同意を得ることが義務付けられます。加えて、Cookieデータを含む利用者情報を適正に取り扱うことに関し、政府への届出/公表等の義務も課されることになります。

改正法の施行は2023年度になる予定です。罰則については、原稿執筆段階では不明ですが、1年後にはスタートすることになるため、何らかのWebサービスを展開する企業、およびそれらのサービスを利用している企業は、少なからず影響を受ける可能性があります。

今回の法改正に関して、自社のビジネスにサードパーティCookieを利用している企業が注意するのはもちろんのことですが、サードパーティCookieと全く関係がない、あるいは今まで利用したことがないという企業も、実は日々利用しているサービスにサードパーティCookieが組み込まれており、仕様が変更される可能性もあります。来年の法改正を前に、自社が利用しているサービスをチェックしてみることをおすすめします。

※本記事は2022年9月時点の情報を元に作成されています。