Cookieそれ自体には、ユーザーを特定できる情報は含まれていない。しかし、前述した広告のCookieであれば、どんな内容のページに表示されていたか、何を買ったかなども、直接関係ない広告会社に漏れてしまうわけだ。さらに、Cookieを利用して収集(トラッキング)した情報により、ユーザーの性別や嗜好、年齢層、収入、居住地域といった属性をかなり正確にプロファイリングできてしまう。
Cookieの利用が、単に好みのジャンルに広告が最適化されていく「ターゲティング広告」程度であればいいが、トラッキングする内容によっては、家族や本人の病気、学校や職場での悩みなど、かなりセンシティブな情報も広告エージェントに漏れてしまう。たとえばウェブ広告がある症状についてのものばかりになっている人のウェブブラウザを見た人は、「ああ、この人はこんな病気なのか」と知られてしまうことになる。プライバシーの重大な侵害につながりかねないわけだ。
そこでEUでは、こうした情報も個人情報であると判断し、法規制が導入された。これが今年3月からEUで施行されたGDPRや、2020年1月に米国で施行されるCaCPAなどだ。日本でも海外の利用者がいるサービスを提供するウェブサービスは、こぞってこうした法規制に対応していたのは記憶に新しいだろう。