１. はじめに

　「Googleで検索すると、全く別の Webサイトで検索内容が関連する広告として表示された」という経験をする人は珍しくありません。現在、私たちのWeb上での行動は常に追跡されており、日本国内でそれを防ぐのはほぼ不可能と言って良いでしょう。一方、ヨーロッパにおいてこの動きに歯止めをかける動きが一般データ保護規則（General Data Protection Regulation、以下GDPR）とeプライバシー規則（ePrivacy Regulation）の施行です。

　このGDPRは2018年5月25日から施行されています。GDPRに対応する必要があるケースは、EEA諸国（EU加盟国およびノルウェー、アイスランド、リヒテンシュタイン）に居住する人のデータを収集および加工をする場合です。日本国内に居住する人にのみサービスを提供する場合は対応する必要はありませんが、厳密に言えば、EEA諸国に住む日本人が日本のWebサービスを利用する場合も対応していなければなりません。

　さらに、将来的にはeプライバシー規則も施行される予定です。eプライバシー規則は「プライバシーと電子コミュニケーションに関する規則」（The Privacy and Electronic Communications Regulations, PCER）という現状の規制を置き換えるもので、本来であればGDPRと同時に施行されるはずだったのですが、未だにドラフト版のままです。eプライバシー規則はGDPRを補完する形でクッキーの取り扱い等を詳細に規則化したものです。

　今回は 2017 年 9 月から現在までイギリスでのフロントエンドエンジニアとしての経験を元に、EEA諸国向けに Web サイトやブログを運営する場合に、現状のプライバシーにおける問題点と、具体的にどのようなアクションを取れば良いかをクッキー対応を中心に解説します。

２. クッキーの仕組みとプライバシー、その背景

　クッキーとは、Webブラウザが記憶している情報の名称およびテクノロジーそのものを指します。ユーザーがWebサイトを閲覧するとドメイン毎にその情報が保存され、リクエストを送るたびにその情報が送信されます。主な用途としては以下の用途が挙げられます。

　●買い物かごの内容の記憶

　●Webサービスへのログイン状態の維持

　●Web解析およびユーザーのトラッキング

　ヨーロッパでGDPRやeプライバシー規則が制定された背景として、プライバシーへの配慮が第一に挙げられます。例えば、あるユーザーが SNS にログインしたとしましょう（図1）。SNSはユーザーAのセッションIDを生成し保存、それをユーザーAに返します。このとき、ユーザーAのブラウザがそのセッションIDをクッキーとして保存します。このIDはログインを維持する目的で、毎回そのSNSにアクセスするたびにクッキーとして送信されます。

　しかし、ユーザーがログアウトせずに同じブラウザで全く別のWebサイトを開いたとしましょう（図2）。そのWebサイトがそのSNSへのシェアボタンなどのウィジェットを持っていた場合、そのSNSへ別のリクエストがクッキーとともに送信されます。このとき、そのSNSはユーザーがそのページを訪れたことを記録できてしまいます。

　また、この仕組みを広義に利用すると、具体的には以下のようなことが可能になります。

　●Google検索したワードに関連した広告を、Googleアドセンスを利用した他のWebサイトやYouTube上で表示する

　●Facebookボタンが設置されたWebサイトと似た内容の広告をFacebook上で広告として表示する

　以上のような例からGDPRとeプライバシー規則では、ユーザーのプライバシーを守る目的でクッキーを使って個人情報を送信する際には同意を得なければならないとしています。