インターネットを使っていて、いつの間にか「ログイン状態がキープされていた」「カートの中身が残っていた」「前に見た商品の広告が別のサイトに出てきた」　ーそんな経験はありませんか？

その裏側には、Cookie（クッキー）というしくみがあります。前回は、このCookieとはそもそも何なのか、どんな役割をしているのかをご紹介しました。

第１回「Cookieって何のためにあるの？」

今回はその続きとして、「Cookieにも種類がある」というテーマで、さらに一歩踏み込んで解説していきます。

誰が発行してるの？ファーストパーティ vs サードパーティ

Cookieの分類でまず重要なのが、「誰がそのCookieを発行しているか？」という点です。

ファーストパーティCookie

これは、ユーザーが今見ているウェブサイト（＝表示されているURLのドメイン）が直接発行しているCookieのことです。

たとえば、あなたが、とあるECサイトを見ているときに、そのサイト自身が「ログイン情報」や「カートの中身」を記録するCookieを発行した場合、それはファーストパーティCookieです。

通常、ログイン維持や言語設定など、サイトの基本的な機能に使われるため、ユーザーから見ても「安心」「便利」と感じられる使い方です。ファーストパーティCookieの情報は、他のウェブサイト（表示されているURLのドメイン以外）に共有されることはありません。

サードパーティCookie

一方で、サードパーティCookieは、ユーザーが見ているウェブサイト以外の第三者（表示されているURLのドメイン以外）が発行するCookieです。

たとえば、ECサイトにGoogleの広告バナーが表示されていて、その広告を通じてGoogleがCookieを発行する場合、それがサードパーティCookieです。

サードパーティCookieが問題になるのは、複数のサイトをまたいでユーザーの行動を追跡できてしまうという点です。たとえば、あなたがいろんなカフェサイトを見た後、まったく別のニュースサイトでもカフェ関連の広告が表示されるのは、このしくみによるものです。

こうした広告は「ターゲティング広告」や「行動ターゲティング広告」と呼ばれます。ユーザーの過去の検索履歴、閲覧履歴、購入履歴、位置情報などを分析し、「この人はカフェに興味があるらしい」と判断して、それに合わせた広告を自動的に表示する技術です。

一時的？持続的？保存期間で変わるCookieの違い

次に注目したいのは、「Cookieがどれくらいの期間、保存されるのか？」という点です。

セッションCookie

これは、あなたがウェブサイトを開いているあいだだけ有効で、ブラウザを閉じると自動的に削除されるCookieです。一時的な情報を保存するために使われます。

パーシステントCookie

こちらは、決められた保存期限（たとえば1週間、30日など）が設定されていて、ブラウザを閉じても残るタイプのCookieです。一般的には400日が保存期間の上限となっています。※保存期間はブラウザの仕様や設定により短くなる場合があります。

たとえば、「次回ログイン時にIDを表示する」「サイトの表示言語を記憶する」など、継続的な利便性を提供するために使われます。

海外のガイドラインに基づく、利用目的別4つの基本タイプ

このほか、フランス・パリに本部がある国際的な通商機構であるICC国際商工会議所は、Cookieを目的別に４つのカテゴリーに分けています。海外の多くのCookieポリシー、特にGDPR（EU一般データ保護規則）に準拠したCookieポリシーは、この分類に基づいて構成されています。

厳密に必要なCookie（strictly necessary cookies）

これは、ウェブサイトの基本的な機能を正しく動かすために「絶対に必要」なCookieのことです。たとえば、ログイン状態を維持する、カートの中身を保存する、セキュリティを確保するなど、サイトを正常に使うために欠かせないCookieです。

こうしたCookieは、法律上、ユーザーの明示的な同意がなくても使うことが認められているケースが多いです。なぜなら、これがなければ「サイトそのものがうまく動かない」という基本的なしくみを支えるCookieだからです。

パフォーマンスCookie(performance cookies)

これは、ウェブサイトの使いやすさを改善するために使われるCookieです。どのページがよく見られているか、エラーメッセージが出たページはどこか、などを匿名で記録して、全体の使いやすさを高める目的で利用されます。

たとえば、店内のどの棚がよく見られているかを、カメラで記録して、お客様の動線を見直すようなイメージです。個人を特定する情報ではなく、全体の傾向をつかむためのCookieです。

Googleのアクセス解析ツールであるGoogleアナリティクスには、このパフォーマンスCookieが利用されています。

機能性Cookie（functionality cookies）

これは、ユーザーの選択を記憶するCookieです。たとえば「英語表示に切り替えた」「文字サイズを大きくした」など、サイトの見え方や使い方に関する好みを保存しておくのが、このCookieの役割です。

ターゲティングまたは広告Cookie(targeting cookies or advertising cookies)

ユーザーの興味関心や行動を分析して、それに合った広告を表示するためのCookieです。複数のサイトをまたいで情報を記録することで、「この人はカフェが好き」「旅行に興味がある」といったことが分かり、関連広告が表示されるようになります。

このCookieは便利な一方で、プライバシーの観点から強い規制が求められている種類です。

“あの広告”の正体は？ターゲティングCookieのしくみ

このようにCookieは、サイトの機能を支えるものから、利便性を高めるもの、さらにはユーザーの興味や行動をもとに広告を最適化するものまで、用途に応じてさまざまに使い分けられています。

中でも「ターゲティングCookie」は、広告表示に直結する性質を持つため、私たちが日常的に目にする“あの広告”とも深く関係しています。

では、具体的にどのようなしくみで、私たちの行動と広告が結びついているのでしょうか？ 次に、その舞台裏をのぞいてみましょう。

なお、この記事でご紹介する広告のしくみは、正確には「リターゲティング広告」と呼ばれるもので、ターゲティング広告の一種です。いったん訪問したサイトでの閲覧履歴をもとに、他のサイトでも関連広告を表示するという手法で、サードパーティCookieがその実現を支えています。

技術的には、広告ネットワークを提供する第三者企業（たとえばGoogleやFacebookなど）が、複数のサイトに共通して設置されたJavaScriptの「タグ」を使って、サードパーティCookieを発行します。

ここでいう「タグ」というのは、ウェブページの中にこっそりと貼り付けられた短いコード（プログラム）のことです。タグは、見た目には表示されませんが、ページが表示されたときに自動的に読み込まれて、特定の機能（たとえばアクセス記録や広告表示）を働かせるようになっています。

このCookieによって、ユーザーの訪問履歴やクリック動作が記録され、そのデータはネット広告を配信するサーバーに集められます。

広告配信サーバーは、ユーザーごとにプロファイルを作成し、「広告の表示タイミング」「内容」「回数」などをコントロールします。これにより、同じユーザーが異なるウェブサイトを訪れても、一貫したテーマ（たとえば『カフェ』）の広告が表示されるのです。

広告を出す企業にとっては、「関心が高い人にだけ広告を見せられる」という大きなメリットがあります。

しかし、ユーザーからすると「自分の行動がどこかで記録され、勝手に分析されているのではないか？」という不安や違和感を持つきっかけになります。

この「ウェブサイトの閲覧を追跡されること」が、プライバシー上の問題視を生み、世界中でCookie規制の声が高まるきっかけになりました。

たとえば、あるユーザーがAという通販サイトでコーヒーメーカーを探していたとします。そのサイトには広告ネットワークのタグが組み込まれていて、サードパーティCookieがユーザーの閲覧履歴を記録します。

数日後、そのユーザーがまったく別のBというニュースサイトを開いたとき、ページの横に「おすすめのコーヒーメーカー」の広告が表示されます。実はこれ、前回Aサイトで記録されたCookie情報に基づいて、広告配信サーバーが「この人はコーヒーメーカーに関心がある」と判断し、自動で広告を出しているのです。

このように、ユーザーが「何気なく見た情報」が、別のサイトでの広告表示に使われることで、「監視されているように感じる」「自分の興味関心が記録されている」と感じる方が増えました。これが、現在のCookie規制やプライバシー強化の流れにつながっているのです。

Cookieの使い分けで、信頼されるサイト運営を

今回ご紹介したように、Cookieには「どのウェブサイト運営者が発行しているか」「どのくらい保存されるのか」「どんな目的で使われるのか」など、さまざまな分類があります。

こうした分類を理解することは、ただ知識として大切なだけでなく、ホームページを運営するうえで、訪問者に安心して使ってもらうための基本でもあります。Cookieの分類が理解できれば、今後のCookieポリシーやプライバシーポリシー作成にも役立ちます。

中でも、ファーストパーティCookieはサイトの利便性に欠かせない一方、サードパーティCookieは、ユーザーの行動を複数のサイトにわたって追跡するため、プライバシーとのバランスが問題になる場面もあります。

次回は、個人情報保護法の観点から、日本では、Cookie情報がどのような取り扱いになっているのか、海外の法律との比較も交えて、実際のホームページ運営に役立つ情報をお届けします。

参考

ICC UK Cookie guide Second edition November 2012-ICC United Kingdom