政府系 Web サイトと Cookie の関係：大半でサードパーティ・トラッカーが使われている

Nearly all governmental websites serve cookies or third-party trackers

2022/07/11 HelpNetSecurity — いくつかの国々では、政府系 Web サイトの 90％ ほどが、ユーザーの同意なしにサードパーティのトラッカー・クッキーを追加している。Matthias Götze (TU Berlin)／Srdjan Matic (IMDEA Software)／Costas Iordanou (Cyprus University of Technology)／Georgios Smaragdakis (TU Delft)／Nikolaos Laoutaris (IMDEA Networks) といった研究者たちは、「ユーザーのプライバシーに関する厳しい法律のある国でも、この種のことが起こっている」と述べている。

これまでの調査において、Web サイト上でユーザーを追跡するために、クッキーが広く使用されていることが示されていたが、政府機関の Web サイトの調査は行われてこなかった。

研究者たちは、国際機関や政府の公式 Web サイトを介して、市民の情報が提供されたCOVID-19の流行期における、政府 Web サイトの挙動とデータ保護法の遵守／非遵守の調査を検討した。IMDEA Networks の研究者／教授である Nikolaos Laoutaris は、「我々の結果は、COVID-19 に関連する公衆衛生情報を提供する、政府や国際機関の公式 Web サイトなどのプライバシー尊重に関する基準が、一般と比較して高いレベルに達していないことが示されている。これらの政府の多くが、GDPR の施行を推進していることからすると矛盾している」とコメントしている。

この調査では、国際機関／COVID-19 公式情報／G20 政府における、合計で 5,500 の Web サイトが分析された。具体的には、アルゼンチン／オーストラリア／ブラジル／カナダ／中国／フランス／ドイツ／インド／インドネシア／イタリア／日本／メキシコ／ロシア／サウジアラビア／南アフリカ／韓国／トルコ／イギリス／アメリカ などが対象となった。

クッキーの種類

Cookie には、いくつかの種類がある。IMDEA Software の研究助教授である Srdjan Matic は、「ファーストパーティ・クッキー は、訪問した Web サイト自身が作成するものである。サードパーティ・クッキーは、Web サイトに埋め込まれたコンテンツを介して、外部のエージェントが作成するのが一般的である。さらに、クッキーのゴーストライティングがある。外部の事業者が当事者に代わってクッキーを作成するものであるため、その起源は不明だ」と強調している。

また、この論文では、クッキーの持続時間でも区別している。その内訳は、ページへの訪問中にのみ有効なセッション・クッキーと、短期／中期／長期の持続的なクッキーである。

結果：G20 政府 Web サイト

分析された G20 諸国の Web サイトの大半が、ユーザーの同意なしに、少なくとも１つのクッキーをインストールしている。クッキーを導入している Web サイトの割合が、最も低い国は日本の 77.2％ だった。その一方で、韓国／サウジアラビア／インドネシアは、ほぼ 100％ でランキング上位を占めている。

サードパーティ (TP) クッキー とサードパーティ・トラッキング (TPT) クッキーを合わせると、ドイツの場合は約 30％ であり、ロシアの場合は 95％ になる。ドイツに関して言えば、この割合が大きく減少する唯一の国であり、TPT クッキーを含む公式 Web サイトは僅か 9％ である。

分析した 19カ国のうちの 16カ国では、TP (third party)／TPT (third party tracking) クッキーの 50％ 以上が、有効期限の消滅に１日以上を設定していた。

国際機関

調査によると、国際機関の Web サイトの約 95％がクッキーを設定し、これらの Web サイトの約 60％が、少なくとも１つのサードパーティ・クッキーを使用していることが分かった。Matic は、「国際機関の Web サイトの 52％ が、トラッカーに関連したクッキーを、少なくとも１つ設定している。したがって、これらの Web サイトでは、サードパーティ・クッキーを無効化するための特別な措置は行われていない」と説明している。

結果：COVID-19 の Web サイト

COVID-19 の情報調査で分析された Web サイトの 99％ 以上が、ユーザーの同意なしに、少なくとも１つのクッキーを追加している。その一方で、サードパーティ・クッキーの存在感は低く、約 62％ となっている。

Laoutaris が指摘するように、この研究チームの目的は、「まず自分たちの家をきれいにするために、政府にもっと圧力をかけ、そうすることで、GDPR を実施することの重要性について事例を示し、より説得力を持たせる」ということになる。

政府系 Web サイトにおける、クッキーの取扱いに関する調査が行われたようです。IMDEA Networks が実施した、とても良い試みですね。それぞれの Web サイトと、それぞれのユーザーの関係は千差万別ですが、政府系に関しては何らかの基準があってしかるべきだと思います。最近ですが、米企業のクッキーを受け入れる際のカスタマイズが、かなり分かりやすくなり、また、手間も軽減されるようになってきたと感じます。おそらく、米国における COPRA や Safe Data Act などが浸透してきた結果だと思われますが、その伏線として、EU の GDPR があることも忘れてはいけませんね。