ネットプライバシー CASE 2:
Cookieが我々の行動を監視する?

 ホームページにアクセスしただけでは「誰が」アクセスしたのかを教えることはないし、どこからそのページに来たのかも直前のリンク元のURLしかわからない。ユーザーにとって、一定レベルの匿名アクセスを保証しているようなものだ。
 しかし、これではオンラインショッピングなどの商業サイトの場合、顧客情報を収集する手だてがなくなってしまう。今や商売をする上で必須なのがマーケッティングデータという時代に、リピータ率や購買動向すらわからないようでは、現実を見据えたビジネス戦略など成立しない。そこで登場するのがCookieというシカケだ。
 Cookieを使うと、そのサイトを初めて訪れた客の数や、リピート客の数、購入した商品や訪れたページなどを主催者が知ることができる。また、そのサイト内に入力フォームが用意され、氏名や住所、メールアドレスなどを送信するシカケがあれば、これらの情報を取り込んでCookieに盛り込むことさえできる。
 現実に「Cookieを備えたコンビニエンスストア」があったら、どんなことになるだろうか。まず、そのショップでは、かならず訪れた客に固有の「ID番号」の付いたクッキーを食べさせなくてはならない。ここでは仮に『目に見えない名札を客に付ける』ことにしておこう。そして店の入口に識別用のCCDカメラを設置し、中に入ってくる人間が名札をつけているかどうかをチェックする。名札の付いていない客であれば、新たなIDを発行して名札をつけ、既に名札が付いている客であればそのIDを識別して、そのIDの来店カウンタをプラスする。
 また、店内に設けられたカメラが、「どの陳列コーナーをどのように回ったのか」「どの商品を手に取ったのか」「どの広告に興味を持ったのか」などを詳細に記録し、それぞれの項目をその客が店を出るまで集計し続けてゆく。そして、客が店を出ると、入店時間から退店時間を差し引いてその日の店内滞在時間をカウントする、といった具合だ。
 このようにして集められたデータは顧客ごとに集計し、「Aさんは来店回数は12回で、実際に買い物をしたのはそのうち4回で平均滞在時間は10分。成人雑誌コーナーへのアクセスが6回だが購入なし。総菜売場へのアクセスが8回で、購入した品目は××・・」などというデータを簡単に作成できるのだ。これが「Cookieを備えたCDショップや書店」だと、もっと興味深いデータを集計できる。つまり、個人の趣味趣向、思想傾向まで把握されてしまう。オンラインショップは、まさにこのような顧客監視が24時間年中無休で行われているのだから恐ろしい。
 さて、実際にインターネットで発行されるCookieはショップに入ってくる客全員に付ける名札のようなものだ。サイトにアクセスした瞬間、Webブラウザを介して自分のハードディスクに送り込まれ、この時点で、既に名札を付けられた状態になっているわけだ。発行されたCookieの実体は小さなテキストファイルで、これが所定のフォルダに保存される。多くのWebブラウザでは、特に設定を変更しない限り「全てのCookieを受け入れる」という設定になっているので、ユーザーの知らぬ間に無数のCookieが保存されていくようになる。

 Internet Explore(Windows版)の場合は「C:\WINDOWS\Temporary Internet Files」フォルダに保存されている。このフォルダの中にある「Cookie」で始まるファイル名を持つもの、あるいはインターネットアドレスの先頭に「Cookie」と付いたファイルが、Cookieの実体である。
 このファイルを参照するには、Internet Exploreの「ツール(T)」→「インターネットオプション」を選び、「全般」タブにある「インターネット一時ファイル」の「設定」ボタンをクリックする。「表示」ウィンドウの「ファイルの表示(V)」をクリックすると、このフォルダの内容を見ることができる。そこには、おびただしい数のCookieファイルが格納されていることがわかるだろう。
 これらはすべてテキストファイルなので、そのままダブルクリックして内容を確認できる。この際、「システムコマンドをこの項目に実行するのは安全でない可能性があります」などと意味不明のメッセージが表示されるが、気にせず「はい」をクリックすればOKだ。ただし、その内容は見ただけではわからない。肝心の内容は全て数字の並びとなっているからである。
 マックの場合、Internet Explore5の「編集」→「初期設定」を選び、初期設定ウィンドウの左に表示される項目リストから「Cookie」を選ぶ。右ウィンドウに、これまでに食べたCookieが一覧表示される。これをダブルクリックするとその内容を表示させることが可能だ。
 なお、Cookieには必ず発行元のサイトのドメイン名がついている。これを見れば、どのサイトがどの程度Cookieを発行しているのかがわかるだろう。これらは、該当するサイトを訪れたときだけ、そのCookieの内容を接続先のサーバーに送信し、名札が付いているかどうか、つまり、どのような客なのかをを相手に知らせてしまうのだ。

 Cookieはオンラインショッピングやオークションサイトだけではなく、バナー広告(広告代理店)、検索サイトやポータルサイト、銀行、証券会社、出会い系サイトなど、ありとあらゆる商業サイトに仕掛けられており、もはやインターネットはCookieだらけになっている。こんな状況の中、アメリカでは既に「プライバシーの侵害にあたる」として数件の訴訟問題さえ起こっており、ここ数年はプライバシー議論の主犯格として「Cookie論争」と呼ばれるまでに有名になった。
 最も有名なのはアメリカのインターネット広告最大手「DoubleClick社」への提訴だ。その内容は「インターネット利用者を特定し、行動パターンなどをユーザーの同意なしに取得した」というものだ(2000年2月)。また、プライバシー監視団体のEPICが連邦取引委員会に同社のプライバシー侵害の問題を2000年2月に申し立てている。また、2000年1月にはアメリカのUniversal Image社が「Yahoo!がCookieを使ってデータを収集することはテキサス州法の電子ストーカーを禁止する法律に抵触する」として提訴している。

 Cookieはもはやコマーシャルサイトだけのものではない。政府機関が国家保安の目的で使用することだって考えられる。2000年6月にはアメリカの「ONDCP-国家麻薬取締局」のサイトにCookieが設定され、麻薬に興味を持つ訪問者のWeb内の行動を追跡していたことが発覚し、連邦政府が定めたプライバシー保護指針を自らが破るものとして非難の対象となった。
 このように政府機関のサイトが直接非難されるようなケースは非常に希だ。Cookieのようにすぐに発見されてしまうような仕組みを、わざわざプライバシー保護論争真っ盛りのアメリカで、政府サイトに直接組み込むような馬鹿なマネをやるとは考えにくい。ホワイトハウス筋は「下請け業者が勝手に作業した」と弁明しているものの、何者かの陰謀か手痛い管理ミスのどちらかだろう。
 しかし、他のサイトがCookieで収集した情報が、何らかの形で政府機関に流れるという可能性は充分にあるし、インターネットが普及する以前から、民間企業や学校、病院などが警察の要請に『協力』して情報を提供することはかなりの頻度で行われていた。  最近の例では、99年11月に中国の江沢明国家主席が早稲田大学で講演した際、大学が聴講申し込みを元にした「参加者台帳」を警察当局の要請に応じて渡していたことが明らかになった。この資料は外務省などの政府機関にも資料として配付された。この資料が公安当局の手でどのように処理されたのかは、一切明らかにされていない。
 これらの事件に共通していることは、いずれも表向きではプライバシー保護という姿勢を掲げつつ、背後ではこれに反する行動を起こしていることだ。早稲田大学の場合は「個人情報保護規則」というガイドラインがあり、収集した個人情報を目的に反して利用することは原則として禁止されている。しかし、今回は学内の「個人情報保護委員会」の承認を受けた例外的ケースとしており、『大学自治とてお上にはたてつけない』という政治的判断という可能性が高い。
 このようなケースは、既にインターネットでも繰り広げられている。まだ日本では、この事実が公になったケースはないが、インターネットでは、あらゆる意味で政府機関が欲しがる情報が簡単に手に入る。また、このような仕組みは技術的にすぐにでも構築できるのだ。
 たとえば、「goo」や「excite」「Lycos」など一斉にポータル化した最近の検索エンジンは、パーソナルサービスとしての無料メールアカウントや無料ホームページなどが利用できる。この際氏名や住所などを入力する必要があるが、この情報をユーザーが送信することで利用者の個人情報とCookieとを結びつけることができる。つまり、ユーザー登録した人間がその後どのようなものを検索しているかを追跡し、怪しいキーワードを指定した人間だけを抽出することは技術的に充分可能なのだ。このような資料が作成され、ひそかに警察に渡っていたとしても不思議ではない(もちろんこれは推測の域を出ないが)。

[対策] Webブラウザの設定でCookieを受け付けないようにしておく

 監視状態で買い物をしたりサービスを利用するのは絶対に嫌だ!という人は多いだろう。幸いなことに、Internet ExploreやNetscape Navigatorの場合Cookieを拒否したり、ため込んだCookieファイルを削除したり、受け付けないように設定できる。
 ただし、Cookieを受け付けない設定にしておくと、サービスによっては全く利用できなくなるものもある。現状ではCookieが何を目的に発行されたのかをユーザーが知るための仕組みがないため、受け入れるか否かを割り切って利用するしかない。また、現状ではWindows版Internet Explore5.xではこれまでに貯め込んだCookieファイルを消去する方法はない。

1.Internet Explore 5 Windows版

 保存されたCookieを削除するには、「ツール(T)」→「インターネットオプション」を選び、「全般」メニューにある「インターネット一時ファイル」の「設定」ボタンをクリックする。「設定」のウィンドウが表示されるので、「ファイルの表示」をクリックして「Temporary Internet Files」フォルダの内容を表示する。ここで全てのCookieファイルを選び、削除すればよい。なお、インターネットオプションメニューにある「ファイルの削除」をクリックしてもCookieファイルは消えないので注意が必要だ。
 Cookie設定を行なうには、インターネットオプションから「セキュリティ」タブを選び、インターネットゾーンを選択する。セキュリティのレベル欄の「レベルのカスタマイズ」をクリックして「Cookie」の項目を表示させる。ここでは、保存されたCookieの使用許可とセッションごとのCookieの使用許可を「有効」「無効」「ダイアログを表示する」のいずれかに設定できる。

2.Netscape Communicator 4.x Windows版

 Netscape Communicator 4.7では、Cookieファイルは「C:\Program Files\Netscape\Users\default」フォルダにある「cookie.txt」という1つのファイルにまとめて記録されている。Cookieを削除するには、このファイルを削除するだけでよい。
 Cookie設定は、「編集(E)」→「設定(E)」を選んで設定ウィンドウを表示させ、左のカテゴリリストから「詳細」を選ぶ。この中の「Cookie」で「すべてのcookieを受け付ける」「元のサーバに戻されるcookieのみを受け付ける」「cookieを無効にする」のいずれかを選ぶ。また「cookieを受け付ける前に警告する」をチェックしておけば、cookieが発行されたときに警告メッセージが表示される。

3.Netscape Communicator 6 Windows版

 「編集(E)」→「設定(F)」を選ぶと設定ウィンドウが表示される。左のカテゴリリストから「詳細−Cookie」を選ぶとCookie管理メニューが表示される。ここで「保存Cookieを表示する」をクリックすると、保存しているCookieをリスト表示する。ここからCookieを選んで「Cookieを削除」をクリックするとCookieが削除される。
 また、Cookie管理メニューから「すべてのcookieを受け付ける」「元のサーバに戻されるcookieのみを受け付ける」「cookieを無効にする」」のいずれかを選ぶ。また「cookieを受け付ける前に警告する」をチェックしておけば、cookieが発行されたときに警告メッセージが表示される。

4.Internet Explore 5 マック版

 「編集」→「初期設定」を選ぶと設定ウィンドウが表示される。左のリストから「受信ファイル−Cookie」を選ぶ。ここでは、これまでに保存したCookieがリスト表示されるので、削除したいものを選んで「削除」をクリックする。また、「Cookieを受信したとき」のプルダウンメニューから「受け入れる」「サイトごとに警告する」「常に警告する」「受け入れない」のいずれかを選ぶことができる。