今さら3rdパーティCookie トラッキングメモ

Posted at 2025-01-12

今さらながら3rdパーティ Cookieトラッキングについてメモする

3rdパーティCookieは、ユーザーがアクセスしているWebサイト（1stパーティ）とは別のドメイン（サードパーティ）によって発行・読み書きされるCookieのことを指す
これらのCookieは複数のサイト間でユーザーの行動情報を収集し、広告配信や解析に活用されることが多く、「トラッキングCookie」とも呼ばれることがある

以下では、その基本的な仕組みや流れをまとめる

1. Cookieの仕組み

WebブラウザとWebサーバーがやり取りする小さなデータ断片で、ユーザーのセッション情報や訪問履歴などを保存する

1stパーティCookieと3rdパーティCookie
- 1stパーティCookie：ユーザーが直接アクセスしているWebサイトと同じドメインで設定されるCookie
- 3rdパーティCookie：ユーザーがアクセスしているサイトのドメインとは異なるドメインから設定されるCookie

例 : example.com を閲覧中に、そのページ内の広告枠や解析用スクリプトが ads.example2.com や tracker.example3.com を読み込んだ場合、そこから発行されるCookieは3rdパーティCookieとなる

典型的なWebアプリでは、

ユーザーがサイト (例: www.news-site.com) にアクセスすると、そのサイト（1stパーティ）自身がCookieを発行するだけでなく、ページ内で読み込まれるスクリプトや画像などが別ドメイン（3rdパーティ）から提供されている場合がある

サイトが広告サイトや解析サービスのタグ（JavaScriptなど）を埋め込んでいると、ブラウザはそのタグを通して3rdパーティのサーバー (ads-site.com など) にリクエストを送る
その際、3rdパーティサーバーはブラウザにCookieを発行（レスポンスヘッダ Set-Cookie を付与）する。これが3rdパーティCookieとなる

次にユーザーが別のサイト (例: www.blog-site.com) を訪問した場合も、同じ広告ネットワークや解析サービスのタグが埋め込まれていれば、再度3rdパーティサーバーへリクエストが送信される
その際、ブラウザは前回付与された3rdパーティCookieをサーバーに送信する

サードパーティサーバーは、送信されたCookieに含まれる固有IDなどを手がかりに、「同一ブラウザ」からのアクセス履歴を複数サイトにわたって紐付けることができる
このようにしてユーザーの閲覧傾向や興味関心を分析し、行動履歴に基づいた広告の出し分けなどが可能になる

リターゲティング広告
- 以前に閲覧した商品広告が、別サイトで再び表示される現象。広告ネットワークがCookieを利用して「同じユーザーが訪れた」と認識し、関連する広告を出し分ける
アクセス解析・行動分析
- ユーザーがどんなサイトを訪れ、どのような行動パターンをとっているかを3rdパーティの分析サービスが把握し、マーケティングレポートなどを提供する

3rdパーティCookieは、ユーザーのオンライン行動を追跡し、個人情報や関心に基づいて広告を表示する仕組みのため、プライバシーの観点で問題視されている

プライバシー保護の観点から、ブラウザベンダーや規制当局が3rdパーティCookieを規制・制限する動きが活発化し、下記のような対応が行われていた

Safari (ITP: Intelligent Tracking Prevention)
- 3rdパーティCookieの保存期間を短縮・制限するほか、ユーザー行動を追跡しづらくする仕組みを導入
Firefox (ETP: Enhanced Tracking Protection)
- 既定でトラッキングCookieと判断したものをブロックする機能を導入
Chrome (プライバシーサンドボックスなど)
- 3rdパーティCookie廃止方針を打ち出していたが、２４年7月に廃止方針を撤回