トラッキングファイルは拒否すべき？リスクや対策を解説

GDPR（EUデータ保護規則）や改正個人情報保護法の影響から、個人情報の取扱いに関する制限が増えています。これには、インターネット上でやり取りされる情報も含まれます。そこで注目すべきが、ブラウザなどに含まれる「トラッキング（追跡）」機能です。

今回は、とある企業のIT部門に所属するセキュリティに精通した中山部長（44歳）と新人セキュリティ担当の石塚さん（24歳）の会話から、インターネット上での個人の行動履歴が含まれるトラッキングファイルについて、基礎知識やリスク、拒否する方法などを学んでいきましょう。

1. トラッキングファイルとは

トラッキングファイルとは、閲覧者の行動履歴や属性、個人情報などが含まれるファイルを指します。広告配信などマーケティングのための材料として活用されることが一般的です。

トラッキングとは

トラッキングとは「追跡」を意味する言葉で、Webサイト閲覧者の行動履歴を追跡する施策、または機能のことです。広告配信をはじめとしたWebマーケティングでは、トラッキングの活用を前提としたものが数多く存在しています。

また、トラッキングには以下のようにいくつかの種類があり、それぞれ異なった特徴を持っています。

Cookie（クッキー）

Cookieは、Webページのステータスを管理するために、Webブラウザに記録されるデータです。Web上でのトラッキングは、大半がCookieを使用して行われます。

ブラウザフィンガープリント

ブラウザフィンガープリントは、ブラウザ本体が持つ「OS情報」や「設定情報」をハッシュ値として管理し、その値をもとにブラウザを識別し、トラッキングに活用する技術です。

アプリトラッキング

おもにスマートフォンなどで用いられるアプリトラッキングは、端末内のさまざまな情報をアプリで取得し、トラッキングに活用する技術です。具体的には、位置情報やアドレス帳、センサー、ストレージに関する情報が活用されます。

広告ID

広告識別子とも呼ばれ、こちらもおもにスマートフォンで活用されています。現状では、Android端末の「AAID」とiOS端末の「IDF」があります。ブラウザ単位でトラッキングを行うクッキーとは異なり、広告IDは端末単位でのトラッキングが可能です。

SensorID

スマートフォンに搭載されているジャイロセンサーや加速度センサーから得られるデータを活用し、端末のトラッキングを行う技術です。

トラッキングファイルとは

トラッキングの根拠となる情報が含まれたファイルで、2022年時点では多くの場合において「Cookieそのもの」を意味します。そのため、ここではCookieを活用したトラッキングを前提として解説していきます。

Cookieは、Webサーバーへの初回接続時に、サーバーからクライアントに付与されるデータです。一般的には、Webブラウザ経由でデバイス（PC、スマートフォン）内の指定の場所に、テキストデータとして保存されています。
また、Cookieの内容はWebサイトの性質によって異なります。具体的な例としては、「ユーザー名・IPアドレスなどの接続情報」や「閲覧した商品」「ショッピングカートの内容」「住所・氏名・電話番号など個人情報」などがあげられます。

トラッキングファイルの種類

Cookieを用いたトラッキングでは、「ファーストパーティCookie」と「サードパーティCookie」が使われます。

ファーストパーティCookieは閲覧中のWebサイト（ドメイン）が直接発行するファイルです。これに対し、サードパーティCookieは、閲覧中以外のWebサイト（ドメイン）から付与されたファイルを指します。

ファーストパーティCookieは閲覧中のWebサイト以外のドメインからはトラッキングできないため、これまではサードパーティCookieの活用が主流でした。
サードパーティCookieは、再訪問時や他サイトの訪問時にブラウザからWebサーバーへと提供され、アクセス解析、広告配信、レコメンド表示などに活用されてきました。

2. 過度なトラッキングから生ずるリスク

近年、個人情報保護の観点からサードパーティCookieの利用を制限する風潮が強まっています。過度なトラッキングによる以下のようなリスクの発生を抑えるためです。

セッションハイジャック

セッションハイジャックとは、Cookie情報に含まれるセッションIDを推測または窃取することでセッションが乗っ取られる状態のことです。
セッションの乗っ取りは「偽の身分証を使用して行動する」ことと同義であり、さまざまな不正・犯罪の温床となります。

個人情報の漏洩

サードパーティCookieを使い続けると、さまざまな情報を断片的に、複数のWebサイトにばらまくことにつながります。とはいえ、どのWebサイトにどのような情報が保存されるのか、閲覧者が完璧に把握することは難しいため、ばらまきを防ぎながら使用し続けることも困難です。
また、断片的な情報を第三者が収集し、メールアドレスやIPアドレスをキーとしてつなげた場合、一意の個人情報になる可能性があるため、情報漏洩のリスクも否めません。

3. トラッキングファイルを拒否する方法

ここでは、主要ブラウザにおけるトラッキングファイルの拒否方法を解説します。

ブラウザのトラッキング拒否機能を活用する

SafariのITP（Intelligent Tracking Prevention）

iPhoneでは「設定」アイコンから「Safari」をタップし、「サイト越えトラッキングを防ぐ」をONにします。

また、Macでは「プライバシー」から「サイト越えトラッキングを防ぐ」のチェックをONにします。

FirefoxのETP（Enhanced Tracking Protection）

左上のハンバーガーメニュー(三本線マーク)から「設定」を選択し、「プライバシーとセキュリティ」をクリックします。
遷移後の画面で「強化型トラッキング防止機能」から、トラッキングブロックのレベルを選択します。
「厳格」を選択することで、一般的なトラッキングの大半がブロックされます。

Google Chromeでのトラッキング拒否

ブラウザ右上の3点マークから「設定」を選択します。
遷移後の画面で「セキュリティとプライバシー」を選択し、「Cookieと他のサイトデータ」をクリックします。
以下のように全般設定の画面で「サードパーティのCookieをブロックする」を選択します。

IEでのトラッキング拒否

右上の歯車マークから「セーフティ」を選択します。

次に「トラッキング拒否要求を有効にする」をクリックします。

ポップアップ画面で「有効にする」をクリックします。

広告ブロックツールの活用

広告ブロックツールのなかに含まれるトラッキング拒否機能を活用することでも、トラッキングの拒否は可能です。

セキュリティソフトで定期的にチェックする

セキュリティソフトにも、トラッキング拒否機能が含まれることがあります。「アンチトラック」「トラッキングCookieの検出」といった機能があれば、トラッキング拒否が可能です。

4. まとめ

トラッキングファイルはおもにマーケティングのために使用されてきました。しかし、なりすましや個人情報漏洩のリスクにもつながることから、利用制限が始まっています。
ブラウザの機能とセキュリティソフトの機能を組み合わせながら、トラッキングのリスクとメリットをコントロールしていきましょう。