衣袋宏美のデータハックス

Cookieの仕組みとは? データ解析で個人特定されることはあるのか? [アクセス解析Q&A]

Cookie(クッキー)がどのくらいの内容までユーザー情報を取得しているのか疑問に思ったことはありませんか? 実は同一ブラウザを特定しているだけで、個人のIPアドレスや個人情報を取得していたりはしていません。Cookieの仕組みやその種類を解説していきます。
衣袋宏美のデータハックス

質問:クッキーでユーザーを特定する方法があると聞きました。どれぐらいまで正確にユーザーを特定できるのですか?

答えクッキーだけで「どこのだれ」という個人を完全に特定することはできません。クッキーができるのは、「以前にアクセスしたときと同じブラウザである」という「ユニークなブラウザ」の特定で、その目的にはクッキーは比較的優れた方法です。

解説まずクッキーについて説明します。

クッキー(Cookie)は、正確には「人」ではなく「同一ブラウザ」を追跡するための仕組みです。たとえばAmazon.co.jpに自分のIDでログインしてブラウザを終了させた数日後に、またブラウザを立ち上げてアマゾンのページにアクセスすると、自分のIDで自動的にログインしている状態になっています(図1)。この動作にはクッキーが使われています。

Amazon.co.jpのログイン状態
図1:Amazon.co.jpのログイン状態

このようにクッキーは、Webサイト運営者やインターネット広告配信業者などがユーザーのアクセス履歴を取得するためなどに一般的に使われています。

クッキーの情報は、ページや画像などにアクセスする際に、ウェブサーバーからブラウザに対して「この情報をクッキーとして保存」として送られてきて、各ブラウザがファイルなどの形でパソコン内に保存しているものです(JavaScriptがクッキーを保存することもあります)。クッキーが保存されていると、同じサイトにアクセスするときにブラウザが自動的にサーバーに情報を送る仕組みになっています。

クッキーは、「個人」に対してではなく、「個々のブラウザ」に対して発行されるので、同じパソコンであっても、違うブラウザを使えば、異なるクッキーが発行されます。逆に言うと、別の人が同じパソコンの同じブラウザを使うと、クッキー上は同一視されます。つまり厳密に言えば、同一人物の特定はできず、同一ブラウザを特定するだけです。

クッキーには、セッションクッキーと永続クッキーの2種類があります。

  • セッションクッキー ―― ショッピングカートなどで同じセッション(同一ユーザーの一連の利用行動)の間の行動だけを追跡するためのクッキーで、ブラウザを閉じるなどセッションが切れれば消滅します

  • 永続クッキー ―― セッションが切れてもパソコンに記録が残っているものですが、未来永劫に保存されるのではなく、有効期限が設定されているということです。広告効果測定ツールやアクセス解析ツールが使用しているクッキーの有効期間は30日、45日、90日などサービスによってさまざまですし、ユーザーが手動で削除することも可能です。

これとは別に、ファーストパーティクッキーとサードパーティクッキーという区分があります。これはクッキーの保存の仕組みではなく、「そのときブラウザで表示しているページ」と、クッキーを設定しているサーバーとの関係を表します。

  • ファーストパーティクッキー ―― そのときに閲覧中のページと同じドメイン名から発行されるクッキーで、Amazon.co.jpなどECサイトが自社サイトのログイン状態やカートの状態を保持するために発行されるような場合に使われます。

  • サードパーティクッキー ―― そのときに閲覧中のページとは異なるドメイン名から発行されるクッキーで、広告配信サービスやアクセス解析サービスなどの別ドメイン名から発行されるクッキーのことです。

アクセス解析ではファーストパーティクッキーを使う場合もあれば、サードパーティクッキーを使う場合もあります。サードパーティクッキーを使うケースが多いのですが、計測ドメイン名の運営者が意図しない利用のされ方が皆無ではない(特定の2サイト利用者の重複利用状況などが簡単にわかってしまうなど)ため、ファーストパーティクッキーを使うオプションを用意しているサービスもあります。ちなみにGoogle Analyticsではファーストパーティクッキーを使っています。

サードパーティクッキーを使う広告配信サービスでは、そのサービスを利用するすべてのサイトを対象として横断的にそのユーザーのアクセス履歴を把握することが可能になり、行動ターゲティングなどが可能となるわけです。

しかしこれをプライバシーの侵害だと考える人もいます。そのためブラウザの設定で、ある程度クッキーをコントロールできるようになっており、セキュリティ対策ソフトの多くは、サードパーティクッキーを検出・除去する機能を備えているものがあります。

Chromeのクッキー(Cookie)動作設定ダイアログ
図2:Google Chromeのクッキー(Cookie)動作設定ダイアログ

この機能を有効にし、定期的クッキーを削除するようなことを行っていれば、同じブラウザでも別のクッキーが発行されるため、アクセス解析ツール側では別人のアクセスというように判断されます。

このように厳密に言うと、クッキーでのユーザー判定も100%正確ということにはなりませんが、IPアドレスなどで判断するよりは精度は上がると考えてよいでしょう。

この記事が役に立ったらシェア!
メルマガの登録はこちら Web担当者に役立つ情報をサクッとゲット!

人気記事トップ10(過去7日間)

今日の用語

ERP
Enterprise Resource Planningの略。「ERP」(企業資 ...→用語集へ

インフォメーション

RSSフィード


Web担を応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]