Cookieそれ自体には、ユーザーを特定できる情報は含まれていない。しかし、前述した広告のCookieであれば、どんな内容のページに表示されていたか、何を買ったかなども、直接関係ない広告会社に漏れてしまうわけだ。さらに、Cookieを利用して収集(トラッキング)した情報により、ユーザーの性別や嗜好、年齢層、収入、居住地域といった属性をかなり正確にプロファイリングできてしまう。

Cookieの利用が、単に好みのジャンルに広告が最適化されていく「ターゲティング広告」程度であればいいが、トラッキングする内容によっては、家族や本人の病気、学校や職場での悩みなど、かなりセンシティブな情報も広告エージェントに漏れてしまう。たとえばウェブ広告がある症状についてのものばかりになっている人のウェブブラウザを見た人は、「ああ、この人はこんな病気なのか」と知られてしまうことになる。プライバシーの重大な侵害につながりかねないわけだ。

  • 個人情報への意識が高いEUでは、いち早くCookie規制を導入した

そこでEUでは、こうした情報も個人情報であると判断し、法規制が導入された。これが今年3月からEUで施行されたGDPRや、2020年1月に米国で施行されるCaCPAなどだ。日本でも海外の利用者がいるサービスを提供するウェブサービスは、こぞってこうした法規制に対応していたのは記憶に新しいだろう。

  • ちなみにEUではCookie規制が非常に厳密に規定されており、Cookieの利用目的などを明確に提示する必要がある

  • Cookie規制とはいうが、Cookieではない類似技術にも当然適用される

  • オプトインの際のインターフェースの作り方についても厳密に規定されており、「暗黙の了解」や「同意しなければコンテンツが見られない」は許可されない。ただし包括的な同意は許可されている